EtherHidingを採用した攻撃について警告
Googleの脅威インテリジェンスグループ(Google Threat Intelligence Group:GTIG)は2025年10月17日に、暗号資産(仮想通貨)や機密情報を盗むことを目的として「EtherHiding」と呼ばれる手法を採用した攻撃が行われていることを報告しました。
GTIGの報告によると、EtherHidingを採用したサイバー攻撃は北朝鮮と関連するハッカーグループ「UNC5342」によって既に実行されているとのことで、今回のレポートでは「EtherHidingの内容・攻撃チェーン・利点・問題点・取るべき防御策」などについて詳しく解説が行われています。
なお、GTIGチームは2025年2月にUNC5342がEtherHidingを活用していることを確認しているとのことですが、EtherHidingの手法は2023年の段階ですでに登場しているとのことで、一般的には「偽の求人情報」や「悪意のあるサイト・リンクへの誘導」などソーシャルエンジニアリング手法と組み合わせて使用されていると伝えられています。
EtherHidingとは?攻撃の仕組み
EtherHiding(イーサハイディング)とは、マルウェアの中身(JavaScriptなどの実行コード=ペイロード)をスマートコントラクトやブロックチェーン上の取引データに埋め込むことによって隠蔽し、そこから被害者の端末に読み出させて実行させる攻撃手法のことを指します。
これはブロックチェーンを分散型の命令配信(コマンド&コントロール=C2)基盤として悪用する点が特徴で、従来のサーバー型攻撃手法よりも発見・遮断が難しくなる性質を持っています。
具体的には「BNB Smart Chain」や「Ethereum」などのパブリックブロックチェーン上に設置されたスマートコントラクトやトランザクション内に“悪意のあるコード”を埋め込み、これを被害者側の「ローダー」と呼ばれる小さなスクリプトが読み取ってペイロードを取得・実行する仕組みが取られているとのことで、典型的な攻撃の流れとしては以下のようなものが挙げられています。
- 初期誘導(ソーシャルエンジニアリング)
偽の面接、求人スカウト、技術課題という形式で、対象者(主に開発者)を誘導し、マルウェアを実行するように仕向ける。WordPressサイトの脆弱性や盗まれた認証情報を利用するケースも見られる。 - ローダーの注入
侵入したウェブサイトに小さなJavaScriptコード(ローダー)を仕込み、訪問者のブラウザで実行させる。 - ペイロードの取得
ローダーはスマートコントラクトや特定のトランザクションを読み取り、そこに埋められたペイロード(攻撃本体)を取得する。この際、読み取り専用(read-only)の呼び出しを使うことで、チェーン上に目立ったトランザクションを残さず、ガス代もかからない形での取得を可能にしている。 - ペイロード実行
悪意のあるペイロードが被害者の端末で実行され、偽のログイン画面表示・情報を盗むマルウェアのインストール・ランサムウェア(例:INVISIBLEFERRET)の展開などを行う。最終的には遠隔操作やデータ盗難が可能に。
※ペイロード:攻撃の本体となるプログラムのこと。初期の誘導やダウンロードを担当するスクリプト(ローダー)と区別して、実際にデータを盗んだりバックドアを開く部分を指す。
EtherHidingを活用した攻撃は、このような「多段攻撃構造」と「スマートコントラクト上の不可変性」を組み合わせることによって高い柔軟性と耐障害性を獲得しているとのことで、EtherHidingがもたらす攻撃者側の利点としては以下のようなものが挙げられています。
- スマートコントラクトは改変が困難なため、一度設置すれば削除されにくい
- ブロックチェーンの匿名性(仮名性)により、攻撃者の特定が難しい
- 読み取り呼び出しを使うことでトランザクションに痕跡を残さずにペイロード取得できる
- 攻撃用スマートコントラクトのペイロード更新も可能で、攻撃手法を動的に変えられる
北朝鮮の「Contagious Interview」キャンペーン
北朝鮮と関連するハッカーグループ「UNC5342」は、2025年2月以降に「Contagious Interview(伝染的面接)」と呼ばれるキャンペーンで実際に「EtherHiding」を活用していると報告されています。
このキャンペーンでは、主に開発者や技術者を標的として「LinkedIn」や「求人掲示板」を通じて偽の採用誘導を行い、会話のやりとりを「Telegram」や「Discord」に移行させ、技術課題を提出させる流れで被害者がマルウェアを含むファイルをダウンロード・実行してしまうよう仕向けているとのことです。
最終的には「JADESNOW → INVISIBLEFERRET」といったマルウェア段階を重層的に展開し、被害者のシステムを制圧します。このようなソーシャルエンジニアリング戦略とEtherHidingの融合は、技術的検知をかわしつつ高い成功率を得る狙いがあるため注意が必要です。
EtherHidingのリスクと防御策
EtherHidingを活用したこのような攻撃は“伝統的なサイバー防御手法を揺さぶるもの”として注目されており、具体的なリスクとしては以下のようなものが挙げられています。
- スマートコントラクト型の攻撃は取り締まりが困難
- 攻撃の痕跡を隠蔽しやすく、発見が遅れがち
- ペイロードの動的更新が可能で、1つの攻撃構えを長く使われ得る
- 政府や企業の資産(暗号資産や知的財産など)をターゲットにされやすい
暗号資産業界やWeb3分野の企業・開発者は特にこのような攻撃を警戒する必要がありますが、今回のレポートでは企業・組織が取るべき対応・防御策として以下のような複数の施策も提案されています。
- ダウンロード制限ポリシー
実行可能形式ファイル(.exe, .dll等)のダウンロードを禁止 - 自動ブラウザ更新
偽の更新通知を防ぐため、管理側で更新を制御 - URL ブロックリスト
既知悪質サイト、スマートコントラクトノードへのアクセス制限 - 強化されたセーフブラウジング
リアルタイムでフィッシングサイトやマルウェアを警告 - ブロックチェーン活動モニタリング
疑わしいスマートコントラクトの識別・追跡 - API/プロバイダーとの連携
攻撃者が使う中央サービスを識別・遮断
さらに「Chrome Enterprise」などの集中管理型ツールを使い、組織レベルでポリシーを適用することで、個別端末の判断に頼らずに防御レベルを引き上げることも推奨されています。
EtherHidingを活用した攻撃は「国家レベルの攻撃者がブロックチェーンをマルウェア配布・制御手段として使い始めている」ということを示しており、「従来型の防御手法(IPブロック・ドメイン遮断など)が効きにくい攻撃構造、暗号資産企業・Web3プロジェクト・開発者情報漏洩リスクへの直接的脅威、監視/対応体制・脅威インテリジェンス・プロアクティブ態勢の強化が急務」などの点からも警戒が求められています。
仮想通貨市場は順調に成長を続けていますが、その一方では暗号資産や個人情報を盗み取ろうとする攻撃も巧妙化しているため、EtherHidingのような次世代的攻撃の動向を定期的にリサーチして、防御態勢をしっかりと整えることも重要です。
ハッキング関連の注目記事
source:GTIG報告
サムネイル:Freepikのライセンス許諾画像を用いて作成
