北朝鮮ハッカー、ダミー企業から暗号資産開発者にマルウェア配布

2025年4月24日、セキュリティ企業サイレント・プッシュ（Silent Push）は、北朝鮮のハッカー集団がアメリカに偽企業を設立し、暗号資産開発者にマルウェアを配布する作戦を展開していたと発表した。FBIも関与する重大なサイバー脅威案件となっている。

アメリカで設立されたダミー企業とマルウェア配布の実態

サイレント・プッシュによれば、北朝鮮が支援するハッカー集団、ラザルス・グループは、アメリカに偽のテクノロジー企業を設立し、暗号資産開発者を標的とする新たなサイバー作戦を展開していた。
今回設立されたのは、「Blocknovas」と「Softglide」という2社で、いずれもニューヨークとニューメキシコに拠点を置く形で登録されていた。

この作戦では、偽のLinkedIn風プロフィールと求人投稿を使い、開発者に接触。面接プロセスを通じて、マルウェアを含むツールをダウンロードさせる手口が取られた。

サイレント・プッシュの調査によれば、特にBlocknovasを介して多数の被害者が誘導されたとされる。Blocknovasの登録住所はサウスカロライナ州の空き地であることが確認され、Softglideについても登録先はニューヨーク州バッファローの税務署だった。

さらに、サイレント・プッシュは、今回のキャンペーンで使用されたマルウェアに、北朝鮮のサイバー部隊と関連する少なくとも3種類のウイルス株が含まれていたと指摘している。これらのマルウェアは、データ窃取、リモートアクセス機能、さらなるスパイウェアやランサムウェアの侵入を可能にするものであり、高度な被害拡大を狙った設計になっていると見られる。

今回の事件では、アメリカ連邦捜査局（FBI）も迅速に対応を見せた。ロイターによると、FBIは偽企業Blocknovasのドメインを差し押さえ、法執行機関による正式な措置を実施した。サイト上には、「北朝鮮のサイバー犯罪行為者が偽の求人情報で個人を欺き、マルウェアを配布した」とする警告文が掲示されている。

北朝鮮サイバー戦略の進化と今後懸念されるサイバーリスク

今回のダミー企業設立によるマルウェア配布は、北朝鮮のサイバー戦略がさらに巧妙化していることを示す典型例といえる。
過去には単純なフィッシング攻撃や直接的なランサムウェア攻撃が主流であったが、近年は国際的な監視網を回避するため、合法的に見える企業活動を装った長期的な潜伏工作にシフトしている傾向が見られる。

今後懸念されるのは、こうしたフロント企業型攻撃が常態化するリスクだ。サイレント・プッシュによれば、ラザルス・グループは極めて巧妙な社会工学的手法を駆使しており、求職者や企業の警戒心の隙を突く新たな戦術を今後も展開してくる可能性が高い。
特にWeb3領域では、リモートワークや分散型組織の普及により、採用プロセスがデジタル化しているため、こうしたリスクに一層注意が必要だと考えられる。

このような背景から、求職者だけでなく企業側も、採用プロセスにおけるセキュリティ意識を一段と高める必要があると言える。
今後は、求職者との連絡手段や送付されるファイルの真正性をより厳格に確認する体制が求められるだろう。