記事内で紹介する商品を購入することで、当サイトに売り上げの一部が還元されることがあります。
EtherHidingとは? 北朝鮮が関与するブロックチェーン攻撃を専門家向けに徹底解説。マルウェア隠蔽技術の正体、Contagious Interviewキャンペーン、防御策まで網羅。
サイバーセキュリティの最前線で業務にあたる皆様は、「EtherHiding」という新たな脅威と、それが「北朝鮮」と関連しているという情報を耳にしたかもしれません。
この未知の脅威に対し、迅速かつ正確な情報把握が求められていることでしょう。
この記事では、サイバーセキュリティ専門家の皆様が抱える疑問に答えるため、以下の構成でEtherHidingの脅威を徹底的に解き明かします。
この記事を読めば、EtherHidingの定義から技術的背景、具体的な攻撃キャンペーン、そして実用的な対策まで、必要な情報を網羅的に理解できます。
アウトライン
- EtherHidingの正体:ブロックチェーンを悪用したマルウェア隠蔽技術
- 北朝鮮の攻撃キャンペーン「Contagious Interview」の全貌
- EtherHidingがもたらす深刻なリスクと影響
- 【実践】組織を守るためのEtherHiding検知・防御策と今後の展望
EtherHidingの正体:ブロックチェーンを悪用したマルウェア隠蔽技術
EtherHidingとは、北朝鮮の国家支援型ハッカー集団が開発した、マルウェアの隠蔽・配信に特化した革新的な技術手法です。
その最大の特徴は、イーサリアムやBNBスマートチェーンといったパブリックブロックチェーン上のスマートコントラクトを悪用する点にあります [1]。
本来、透明性と不変性を保証するはずの分散型台帳技術が、攻撃者にとっては検知システムを回避するための理想的な「隠れ蓑」として転用されています。
一度ブロックチェーンに記録された情報は改ざんや削除が極めて困難であり、特定のサーバーに依存しないため、法執行機関によるテイクダウンも事実上不可能です。
この手法は、従来のコマンド&コントロール(C2)サーバーを利用した攻撃とは一線を画します。
サジェストキーワードに見られる「Ether」や「EtherIP」は一般的なネットワーク技術の名称であり、EtherHidingとは技術的に直接関係しません。
| 比較項目 | 従来型C2サーバー | EtherHiding (ブロックチェーン利用) |
|---|---|---|
| インフラ | 中央集権的なサーバー | 分散型台帳(ブロックチェーン) |
| テイクダウン耐性 | 低い(サーバー停止で無力化) | 非常に高い(事実上不可能) |
| 検知難易度 | 比較的容易(IPアドレスやドメインで追跡可能) | 非常に高い(正当なブロックチェーン通信に紛れる) |
| 情報の不変性 | 低い(攻撃者が変更・削除可能) | 高い(一度記録されると改ざん不可) |
| コスト | サーバー維持コストが発生 | 少額のガス代(取引手数料)のみ |
北朝鮮の攻撃キャンペーン「Contagious Interview」の全貌
EtherHidingは単独の技術として存在するのではなく、北朝鮮のハッカー集団「UNC5342」(別名:ラザルスグループ)が展開する巧妙なサイバー攻撃キャンペーン「Contagious Interview」の中核として利用されています [2]。
このキャンペーンは、主に仮想通貨やテクノロジー分野の専門知識を持つ開発者を標的としています。
攻撃者はソーシャルエンジニアリングを駆使して標的を巧みに誘導し、マルウェア感染へと引き込みます。
侵入経路:LinkedInの偽求人から始まるソーシャルエンジニアリング
攻撃の第一歩は、極めて洗練されたソーシャルエンジニアリングから始まります。
攻撃者はLinkedIn上で偽の採用担当者や人事マネージャーになりすまし、魅力的な求人情報を提示して標的に接触します。
信頼関係を築いた後、会話はTelegramやDiscordといった秘匿性の高いプラットフォームへ移行します。
最終的に、技術試験やコーディング課題と称して、悪意のあるファイルを含んだリポジトリをダウンロード・実行させることで初期侵入を完了させます。
| 攻撃フェーズ | 攻撃者の行動 | 標的(開発者)への誘導 |
|---|---|---|
| 第1段階:接触 | LinkedInで偽の採用担当者を装う | 魅力的な職務内容や高額な報酬を提示し、関心を引く |
| 第2段階:誘導 | TelegramやDiscordでの詳細なやり取りを提案 | よりプライベートで迅速なコミュニケーションを装う |
| 第3段階:侵入 | 技術試験と称し、悪意のあるファイルを含むリポジトリを共有 | コーディング課題を解くよう指示し、ファイルを実行させる |
感染の仕組み:3種のマルウェア(BeaverTail, JADESNOW, InvisibleFerret)による連鎖攻撃
標的がファイルを実行すると、多段階のマルウェア感染プロセスが開始されます。
この連鎖攻撃において、EtherHidingは後続のマルウェアをブロックチェーンから安全に配信する重要な役割を担っています。
各マルウェアはWindows、macOS、Linuxといった複数のOSに対応しており、攻撃の汎用性の高さが伺えます。
| マルウェア名 | 分類 | 主な機能と役割 |
|---|---|---|
| BeaverTail | 情報窃取マルウェア (JavaScript) | 初期感染時に実行され、仮想通貨ウォレットのデータ、ブラウザ拡張機能の情報、各種認証情報などを窃取する。 |
| JADESNOW | ダウンローダー (JavaScript) | EtherHidingを利用してブロックチェーン上のスマートコントラクトにアクセスし、次の段階のペイロード(InvisibleFerret)をダウンロードする。 |
| InvisibleFerret | バックドア (Python/JavaScript) | 感染したホストをリモートで制御する。MetaMaskやPhantomウォレット、1Passwordなどから認証情報を窃取し、長期的なスパイ活動やデータ窃盗を行う。 |
EtherHidingがもたらす深刻なリスクと影響
EtherHidingの出現は従来のサイバーセキュリティの常識を覆すいくつかの深刻なリスクをもたらします。
この技術は単なるマルウェア配信手法に留まらず、国家レベルのサイバー攻撃活動をより持続可能かつ追跡困難なものへと進化させています。
その影響は、個別の組織だけでなく、国際金融システムや国家安全保障にも及びます。
テイクダウン不能な「防弾ホスティング」としての悪用
EtherHidingの最大のリスクは、ブロックチェーンを事実上の「防弾ホスティング」として悪用できる点です [4]。
ブロックチェーンの分散性と不変性という特性により、一度スマートコントラクトに書き込まれた悪意のある情報は、特定の管理者が存在しないため削除できません。
これは、法執行機関が攻撃者のインフラを停止させることが極めて困難になることを意味します。
攻撃者はわずかなガス代(手数料)でマルウェアの情報を更新し続けることができ、防御側は終わりなき戦いを強いられることになります。
国家の資金源:巨額の暗号資産窃取と巧妙なマネーロンダリング
北朝鮮による一連のサイバー攻撃の主な動機は、国際的な経済制裁を回避し、体制維持のための外貨を獲得することです。
国連安保理の報告によれば、北朝鮮はサイバー攻撃によって巨額の暗号資産を窃取しています[3]。
窃取された資産は、Tornado Cashのような「ミキシングサービス」や、カンボジアのフイワン(Huione)グループのような金融機関が関与したとされる複雑なネットワークを通じて資金洗浄されます [5]。
これにより資金の追跡は極めて困難となり、最終的に核・ミサイル開発などの資金源になっていると指摘されています。
| 項目 | 詳細 |
|---|---|
| 推定被害額 | 国連安保理の報告書や報道機関によると、北朝鮮はサイバー攻撃によって多額の暗号資産を窃取しており、その総額は数十億ドルに及ぶと推定されています(参考文献[3]参照)。 |
| 主な標的 | 日本のDMMビットコインを含む、世界中の主要な暗号資産取引所 |
| 資金洗浄手法 | – ミキシングサービス(Tornado Cashなど)の利用 – 海外金融機関(フイワン・グループなど)を経由したロンダリング |
| 攻撃者の進化 | ChatGPTなどのAIツールを悪用し、攻撃コード生成やソーシャルエンジニアリングの手口を高度化 |
【実践】組織を守るためのEtherHiding検知・防御策と今後の展望
EtherHidingのような高度な脅威に対しては、従来型のセキュリティ対策だけでは不十分です。
ブロックチェーン技術の特性を理解した上で、多層的な防御アプローチが不可欠となります。
ここでは技術的対策と組織的・人的対策に分けて具体的な防御策を提案します。
Web3/仮想通貨関連のビジネスに携わる企業は、特に狙われやすいことを認識し、より一層の対策強化が求められます。
当社の運営する「億りBit | Web3×投資メディア」で培った知見に基づき、Web3特有のセキュリティ観点も加味しています。
技術的対策
| フェーズ | 具体的な対策項目 | 推奨事項・ツール |
|---|---|---|
| 予防 | 開発環境のセキュリティ強化 | – 信頼できないソースからのnpmパッケージやソフトウェアの導入を禁止 – サプライチェーン攻撃対策ツールの導入 |
| 検知 | 不審なブロックチェーン通信の監視 | – ネットワークトラフィックを監視し、既知の悪意あるスマートコントラクトアドレスへのアクセスをブロック – EDR (Endpoint Detection and Response) を活用し、不審なプロセスやファイル生成を検知 |
| 対応 | IoC(侵害指標)情報の活用 | – セキュリティベンダーや脅威インテリジェンス機関が公開するIoC情報を迅速にセキュリティ製品(ファイアウォール、IDS/IPS)に適用 – 定期的な脅威ハンティングの実施 |
組織的・人的対策
| 対策項目 | 対象者 | 具体的な実施内容 |
|---|---|---|
| セキュリティ意識向上教育 | 特に開発者、人事担当者 | – LinkedInなどを悪用したソーシャルエンジニアリングの最新手口に関する定期的な研修 – 採用プロセスにおける連絡手段の公式化と徹底 |
| Web3特有のリスク管理 | 全従業員、特に資産管理者 | – 秘密鍵やシードフレーズの厳格なオフライン管理 – ハードウェアウォレットの利用推奨 – スマートコントラクトのやり取りに関する社内ルールの策定と監査 |
| インシデント対応計画 | CSIRT/SOC担当者 | – EtherHidingのようなブロックチェーンを悪用した攻撃を想定したインシデント対応計画の策定と訓練 – 外部の専門機関との連携体制の構築 |
EtherHidingは、国家によるサイバー攻撃が新たなフェーズに突入したことを示す象徴的な事例です。
今後も攻撃者はブロックチェーンやAIといった最先端技術を悪用し、さらに巧妙で検知困難な攻撃を仕掛けてくるでしょう。
我々防御側は、常に最新の脅威情報を収集し、技術と組織の両面から対策を進化させ続ける必要があります。
参考文献
[1] 北朝鮮がブロックチェーンを悪用:次世代の「防弾マルウェア」. (http://blog.livedoor.jp/takosaburou/archives/50887731.html)[2] North Korean Hackers Use EtherHiding to Hide Malware Inside. (https://malware-log.hatenablog.com/entry/2025/10/16/000000_2)
[3] 北朝鮮が昨年から今年にかけて奪った暗号資産4兆ウォン. (https://news.yahoo.co.jp/articles/12b14e6ed7aec301810e0b3f6899ac5316052888)
[4] 北朝鮮がブロックチェーンを悪用:次世代の「防弾マルウェア」. (http://blog.livedoor.jp/takosaburou/archives/50887731.html)
[5] 北朝鮮が昨年から今年にかけて奪った暗号資産4兆ウォン. (https://news.yahoo.co.jp/articles/12b14e6ed7aec301810e0b3f6899ac5316052888)
