Information Security Media Groupは毎週、デジタル資産に関するサイバーセキュリティ事件をまとめている。今週は、イランの制裁逃れに関連する英国の暗号資産取引所、npm経由で拡散するNodeCordRATマルウェア、北朝鮮によるQRコードフィッシングに関するFBIの警告、2025年の不正暗号資産が1,540億ドルに達したこと、そして米国のドナルド・トランプ大統領がサム・バンクマン=フリードを恩赦しないと述べたことを取り上げる。
英国の暗号資産取引所がIRGCの制裁逃れネットワークに関与
英国で法人化された2つの暗号資産取引所ZedcexとZedxionは、イランのイスラム革命防衛隊(IRGC)の金融インフラとして機能していたと、TRM Labsによるオンチェーンおよび企業分析は結論づけた。
別個の事業体として登録されているものの、両取引所は単一の企業として運営されているようで、取締役、バーチャル住所、実態の支配を覆い隠す鏡写しの提出書類を共有している。2023年から2025年にかけて、取引所に関連するウォレットはIRGCに関連する約10億ドルを処理し、総活動の約56%を占め、2024年には87%でピークに達した。
このネットワークは、体制関連組織のために石油収入を洗浄したとして以前に制裁対象となったイラン人金融業者ババク・ザンジャニにまで遡る。取引の大半はtronブロックチェーン上のUSDTを経由しており、Zedcexを小売取引所というよりステーブルコインのクリアリング拠点へと実質的に変えていたとTRM Labsは述べた。オンチェーンデータはまた、米国が指定するフーシ派のテロ資金提供者への1,000万ドル超の直接送金も示している。
悪意あるNPMパッケージが新たなNodeCordRATマルウェアを拡散
サイバーセキュリティ研究者は、これまで文書化されていなかったリモートアクセス型トロイの木馬(RAT)「NodeCordRAT」を配布するために使用された3つの悪意あるnpmパッケージを特定した。これらのパッケージ(bitcoin-main-lib、bitcoin-lib-js、bip40)は、「wenmoonx」というユーザーによってアップロードされた。
攻撃者は、人気のビットコイン・エコシステムの正規コンポーネントに見えるようにパッケージ名を付けたとみられる。開発者は、パッケージが11月に削除されるまでに合計で数千回ダウンロードした。
Zscaler ThreatLabzによれば、NodeCordRATはコマンド&コントロール通信にDiscordサーバーを利用する。インストールされると、このマルウェアはGoogle Chromeの認証情報、APIトークン、MetaMaskを含む暗号資産ウォレットのシードフレーズを窃取できる。
FBI、悪意あるQRコードを用いた北朝鮮の「クイッシング」キャンペーンを警告
FBIは、北朝鮮の国家支援ハッカーが米国および国際組織を標的としたスピアフィッシングで悪意あるQRコードを使用しているとして警告する勧告を公表した。同局はこの活動を、北朝鮮の偵察総局に関連する脅威グループであるKimsuky(APT43としても知られる)によるものとした。同グループは「quishing(クイッシング)」と呼ばれる手口を用いており、メールにQRコードを埋め込み、従来のメールセキュリティ制御を回避するためにユーザーをモバイル端末へ誘導しようとしている。
Kimsukyは5月と6月に複数のキャンペーンでQRコードを使用し、外交官、助言者、シンクタンク職員になりすまして情報提供を求めたり、偽のセキュアリンクを配布したり、詐欺的なログインページを通じてGoogleアカウントの認証情報を収集したりした。同グループは、脆弱なDMARC設定を悪用してフィッシングメールを正規のものに見せかける前歴がある。
FBIは、クイッシングがしばしばセッショントークンの窃取を可能にし、攻撃者が多要素認証を回避してクラウドIDを乗っ取り、侵害されたアカウントからさらなるフィッシングを拡散できると警告した。
2025年の不正暗号資産活動は1,540億ドルに到達
国家主体が世界的な金融制限を回避するために犯罪ネットワークに依存したことで、2025年の不正な暗号資産活動は新たな高水準に急増したと、Chainalysisのレポートは示した。同社は、不正アドレスが同年に少なくとも1,540億ドルを受領したと推計しており、前年の改定後合計から162%増となる。主因は制裁逃れやその他の国家関連活動だという。Chainalysisは、この数値は下限推計であり、より多くの不正アドレスが特定されるにつれて増加する可能性が高いと述べた。
国家関連活動では北朝鮮が主導し、ハッカーは主に15億ドル規模のBybitの侵害から20億ドルを盗んだ。ロシアはルーブル連動のA7A5ステーブルコインを多用し、イラン寄りのネットワークや中国のマネーロンダリング集団も大きな役割を果たした。不正取引量の84%をステーブルコインが占め、国境を越えた暗号資産犯罪における支配力の拡大を反映している。
トランプ氏、元FTX CEOサム・バンクマン=フリードの恩赦を否定
米国のドナルド・トランプ大統領は、収監中の暗号資産業界幹部が恩赦を受けるのではないかとの憶測がある中、元FTX CEOサム・バンクマン=フリードを恩赦しないと報じられている。トランプ氏はニューヨーク・タイムズのインタビューでこの発言を行い、複数の物議を醸す人物に対する恩赦の可能性に言及した一方で、バンクマン=フリードは恩赦検討の対象から明確に除外した。
バンクマン=フリードは、現在は消滅した暗号資産取引所FTXの崩壊に起因する複数の詐欺および共謀の罪で2023年に有罪判決を受け、懲役25年の刑に服している。
この判断は、元Binance CEOのチャンポン・ジャオや、Silk Road創設者ロス・ウルブリヒトへの恩赦など、トランプ氏の過去の恩赦措置とは対照的だ。トランプ氏はまた、より広範な暗号資産業界への支持も改めて表明しており、同業界は依然として同氏の政治的メッセージの重要な要素となっている。
翻訳元: https://www.databreachtoday.com/cryptohack-roundup-uk-crypto-firms-tied-to-iran-sanctions-a-30529
