そのCISOの求人オファーは「豚の屠殺」詐欺かもしれない

経験豊富なセキュリティリーダーの最近の体験は、偽の求人オファーが「豚の屠殺」詐欺の入り口としてますます使われていることを示しています。

豚の屠殺詐欺とは、ソーシャルエンジニアリングを利用してターゲットと関係を築き、その後、暗号通貨や他の偽投資を通じて金銭的に搾取する投資詐欺の一種です。

米国の暗号通貨取引プラットフォームであるGemini Cryptoを名乗る詐欺師たちは、米国のCISO Walter Williams氏から最低でも1,000ドルをだまし取ろうと、2025年5月から9月までの3か月以上にわたり執拗な詐欺行為を行いました。CISOの極秘求人という口実は十分にもっともらしく、Williams氏はすぐに怪しいと気づきつつも、どこまで進むのか様子を見ることにしました。

「最初はLinkedInで連絡が来ましたが、Geminiのアカウントからではありませんでした」と、インフォセックのパートタイムコンサルタントであるWilliams氏はCSOに語りました。「LinkedInで私を検索して、仕事を探している私がターゲットにしやすいと思ったのでしょう。」

Williams氏はさらにこう述べています。「最初の連絡が十分に奇妙で何かおかしいと感じたにもかかわらず、少しでも相手に時間を割いた理由は、1月に自分から応募していたので、そのフォローアップかもしれないと思ったからです。」

1月にWilliams氏はGemini Cryptoの公式ウェブサイトからセキュリティGRCディレクター職に応募し、応募受付の定型メール以外は何も受け取りませんでした。

数か月後の5月、Gemini Groupの人事部の採用担当者から、LinkedInを通じて当初は詳細不明の上級リーダー職について連絡がありました。興味がある旨と連絡先を伝えたWilliams氏に返ってきたのは、文法的におかしな返信でした。

その後すぐに、Geminiのロサンゼルス支社長で取締役会メンバーとされるLi Jiaxinから、CISO職への応募に言及したSMSメッセージが届きました。Williams氏が簡単に調べたところ、Gemini Cryptoにはロサンゼルス支社もLi Jiaxinという取締役も存在しないことが判明しましたが、どこまで進展するのか様子を見ることにしました。

ディープフェイク面接の悪ふざけ

その後は3か月にわたる絶え間ないメッセージのやり取りが続き、SMSからWhatsAppでの会話、さらには（おそらく）ディープフェイクによるビデオ面接へと発展しました。

「15分の面接以外は、やり取りは1分程度の短いやり取りがほとんどで、もちろんGemini自体や詐欺を仕掛けてきた人物についての必要な調査もしていました」とWilliams氏は説明します。「『彼女』にはWhatsAppのプロフィールと一致するFacebookプロフィールがあり、定期的にプロフィール写真を変えますが、それ以外はほとんど変化がありません。」

面接自体は奇妙だったとWilliams氏は言います。

「面接官は私のキャリアや、CEO、CFO、CIOとの関係についての希望を質問してきました。技術的な質問は一切ありませんでした。」

Williams氏はさらにこう付け加えます。「『彼女』は話す時以外は頭を動かさず、まばたきも表情もありませんでした。顔以外の体の部分は一切見えませんでした。声のトーンも非常に事務的で抑揚がありませんでした。」

面接を無事に終えると、Williams氏は役職と高額な給与パッケージを提示されました。しかし、この「ポジション」に就く前に、暗号通貨デリバティブに関する必須トレーニングを受ける必要があると言われました。

この「トレーニング」を受けるために、Coinbaseで自費で1,000ドル分の暗号通貨を購入するよう指示されました。Williams氏がこれを断り、初月の給与から前払いしてはどうかと提案すると、相手は拒否し、やり取りは終了しました。

「この詐欺がどれほど広がっているかは分かりませんが、犯罪者たちはCISOをターゲットにするためにかなり準備をしていたので、事前調査をしていたのでしょう」とWilliams氏はCSOに語りました。

「やり取りを続けた動機は、会話に十分なリアリティがあり、50％は本物かもしれないと思わせる要素があったからです」とも述べています。

Williams氏はこの一連のやり取りを、解説付きでLinkedInの投稿にまとめています。

「彼らはこの詐欺に多くの時間を投資していました。3か月もの間、絶え間なくメッセージを送り、Gmailアドレスと紐づいた電子署名入り契約書など、興味深い手法も使っていました。これは共有する価値がある話だと思いました」とWilliams氏はCSOに語りました。

豚の屠殺詐欺の手口を解剖

Ashley Jess氏（Intel 471の上級インテリジェンスアナリスト）は、Williams氏が記録した詐欺の手口が典型的な豚の屠殺詐欺だと述べています。

「攻撃者は、LinkedInの求人投稿やリクルーターからの連絡など、信頼できる正規のプラットフォームで最初の接触を図ることが多いです。こうした場では被害者の警戒心が下がるからです」とJess氏は説明します。「関係構築ができたら、会話はWhatsApp、Telegram、DMなどのプライベートチャネルに移り、最終的には偽の取引や投資サイトに誘導され、被害者は資金を預けるよう促されます。この例のように、最初は正規のプラットフォームで始まり、途中から不正なものに移行する場合もあります。」

「豚の屠殺」は、単発の巧妙なトリックではなく、時間をかけて関係を築く長期的な詐欺です。

「CISOが共有した長期的なやり取りは、捜査官が想定する典型例です。毎日の連絡、キャリアの話、何気ないコーヒーチャットが徐々に金銭の話に変わっていきます」とJess氏は付け加えます。「この『グルーミング』段階は数週間から数か月続くこともあり、これが詐欺を深刻にし、攻撃者が説得力のあるストーリーや偽の『リターン』で被害者に多額の送金をさせる要因となっています。」

Chainalysisの推計によれば、2024年の暗号通貨詐欺は約124億ドルにのぼり、その多くが高利回り投資や「豚の屠殺」詐欺によるものです。

「今年だけでも、Intel 471では数千件の偽投資プラットフォームの調査と特定を支援しました」とJess氏は説明します。「最近では、攻撃者が偽の求人オファーを詐欺の入り口として利用するケースが増えています。求職活動では高額な話題（給与、投資、リモートワークなど）が普通なので、プラットフォーム外への誘導も自然に見えるからです。」

数百万ドルもの不正収益の可能性があるため、攻撃者は信頼を築いてから金銭窃取を狙う長期戦を選ぶのです。

「攻撃者はAI生成のプロフィール、ディープフェイク動画や電話、リアルなオンボーディング資料などを駆使し、やり取りのすべてを巧妙に演出します。これにより、最も経験豊富なサイバーセキュリティ専門家でさえ騙されるほど詐欺が説得力を持つのです」とHaris Pylarinos氏（Hack The Box CEO）は述べています。

マルウェアが仕込まれたコーディング課題

場合によっては、偽のリクルーターが候補者に「テスト課題」と称してマルウェアを仕込んだファイルを送り、デバイスを感染させて機密データを盗むという悪質な手口もあります。

Palo Alto NetworksのUnit 42インテリジェンス部門は最近、Slow Pisces（別名Jade Sleet）という北朝鮮の脅威グループが、LinkedInのリクルーターになりすまして標的型攻撃を展開していることを発見しました。彼らは暗号通貨分野の開発者にマルウェア入りの「コーディング課題」を送りつけ、ネットワークを侵害しデータを盗み出そうとしています。このキャンペーンは、2023年だけで15億ドル以上が盗まれたとされる大規模な暗号通貨窃盗事件と関連しています。

警戒が必要

Williams氏の経験は、CISOであってもソーシャルエンジニアリングやフィッシング攻撃の例外ではないことを示しています。

詐欺師たちは、実際の採用プロセスを模倣した説得力のあるストーリーを巧みに作り上げ、本物の応募や企業情報を参照することで信頼性を高めています。これにより、経験豊富なプロフェッショナルでも騙される可能性があります。

Intel 471のJess氏は次のようにアドバイスしています。「実践的な教訓として、身に覚えのないリクルーターや求人オファーは必ず企業の人事部門を通じて確認し、見知らぬプライベートアプリへの移行は避け、独自に確認できない相手には絶対にお金や投資資金を送らず、怪しい連絡はすぐにプラットフォームに通報してください。」