macOSマルウェアがTelegramセッションを乗っ取り暗号資産ウォレットを標的に

ブロックチェーンセキュリティ企業のSlowMist(スローミスト)は、macOSを標的とした情報窃取マルウェアが確認されたと発表しました。このマルウェアは、Telegram(テレグラム)のセッションを乗っ取るための認証情報を盗み出すほか、暗号資産ウォレットを復号したり、偽のアプリケーションを通じてユーザーにウォレットのリカバリーフレーズを入力させたりする機能を持っています。Web3業界のビジネスパーソンにとって、日常的に使用するコミュニケーションツールやウォレットの安全性が直接脅かされるため、セキュリティ対策の観点から極めて重要性の高い出来事です。

Telegramセッションの乗っ取りとアカウントへの侵入

macOSマルウェアがTelegramセッションを乗っ取り暗号資産ウォレットを標的に

SlowMistの調査によると、このマルウェアはmacOSのKeychain(キーチェーン)、Safariのクッキー、Apple Notes(メモ)、そしてTelegram Desktop(デスクトップ版Telegram)のローカルデータを標的にデータを収集しているとされています。

攻撃者がTelegram Desktopのセッションファイルを抽出して互換性のあるシステム上で復元した場合、電話番号の入力や認証コード、2段階認証パスワードを要求されることなく、即座にアカウントにログインできてしまうことが確認されたとされています。これにより、攻撃者は通常のログイン画面を経由せずに、ユーザーのチャット履歴の同期やアカウントの操作権限を完全に掌握することができます。

暗号資産ウォレットに対する複合的な攻撃

このマルウェアは、Telegramの乗っ取りにとどまらず、暗号資産ウォレットそのものも標的にしています。

入力テキストおよびセキュリティ調査によると、複数の暗号資産ウォレットのデータベースを収集し、オフライン環境で復号を試みる仕組みが備わっているとされています。さらに、ユーザーが使用しているハードウェアウォレットなどのアプリケーションを削除し、代わりに偽のアプリケーションを配置することで、ユーザーを騙してウォレットのリカバリーフレーズ(復旧フレーズ)を入力させようとする手法も確認されているとされています。

ビジネスパーソンへの影響と今後の対策

このマルウェアは特定の個人を狙ったものだけでなく、広範囲にわたる無差別なデータ収集を行っていると見られます。Web3業界のビジネスパーソンは、Telegramを主な連絡手段として利用し、日常的に暗号資産を扱う機会が多いため、特に警戒が必要です。

身に覚えのない不審なアプリケーションのインストールを避けることや、リカバリーフレーズの入力を求められた際にそのアプリケーションが本物であるかを徹底的に検証することが、被害を未然に防ぐために重要であると考えられます。

ポイント

  • macOSを標的としたマルウェアが、Telegramのセッション乗っ取りや暗号資産ウォレットの窃取を行っていることがSlowMistにより明らかになりました。
  • Telegram Desktopのローカルデータを盗まれると、認証プロセスをバイパスしてアカウントが即座に乗っ取られるリスクがあるとされています。
  • 複数の暗号資産ウォレットデータベースが収集され、オフラインでの復号が試みられる危険性があります。
  • ハードウェアウォレットの公式アプリを偽アプリに置き換え、リカバリーフレーズを盗み取ろうとするフィッシング手法が確認されているとされています。
  • Web3ビジネスにおいて日常的に使用されるツールが標的となっているため、組織および個人のセキュリティ対策を再考する点で注目されます。

監修者:Pacific Metaマガジン編集部

Pacific Metaマガジン編集部は、ブロックチェーン領域を中心に、RWA(リアルワールドアセット)、セキュリティトークン(ST)、ステーブルコイン、NFTなどのトークン活用や、AI×ブロックチェーン領域における事業開発・実装に関する情報を発信する編集チームです。株式会社Pacific Metaが、グループ累計260社以上・41カ国以上のプロジェクトを支援してきた知見をもとに、記事の企画・監修を行っています。

ビジネスでの活用から個人の学びまで、ブロックチェーンやトークンに関する情報を、最新動向と実務でのナレッジを踏まえてわかりやすくお届けします。編集部や事業内容の詳細は、公式サイトをご覧ください。

ニュース
ブロックチェーンマガジン by Pacific Meta