Telegramにメッセージが届く。誰かがミーティングを求めている。リンクを開くと、完璧に見えるZoomのページが表示される。接続に小さな問題があるという。心配いらない。Macのターミナルを開いてコマンドを貼り付けるだけで解決できるという。
それで終わりだ。すでに侵害されている。
これがMach-O Manだ。平壌のラザルスグループ(Lazarus Group)が展開する最新のマルウェアキットである。CertiKによれば、同一組織が2026年4月1日にDrift Protocolから2億8,500万ドル、4月18日にKelpDAOから2億9,200万ドルを奪取したことが確認されている。
わずか18日間で2件の攻撃、合計5億7,500万ドル超。そして今、第三の攻撃ベクターが出現した。FSA(金融庁)が暗号資産業者に対する監督を強化する中、bitFlyer・Coincheck・SBI VC Tradeなど国内取引所に関わる幹部や開発者も例外ではない。
Mach-O Manはどのように機能するのか
TL;DR: ラザルスグループのMach-O Manは、偽の会議リンク経由でmacOSターミナルへのコマンド入力を誘導する。認証情報・Keychain・ブラウザセッションを窃取後、自動的に痕跡を消去する。
このキャンペーンは2026年4月21日、BitsoのセキュリティチームQuetzalとサイバー脅威分析プラットフォームANY.RUNの共同調査によって特定された。マルウェアはAppleネイティブのMach-Oバイナリで構築されており、従来のセキュリティツールの大半による検出を回避できる。
攻撃チェーンは4段階で構成される:
- 誘引(Lure):侵害済みアカウントから送られる緊急のTelegramメッセージで、Zoom・Teams・Google Meetへの参加を促す
- クリックフィックス(ClickFix):偽ページが接続エラーを表示し、「問題解決」のためにmacOSターミナルへコマンドを貼り付けるよう誘導する
- ステージャー(Stager):コマンドが
teamsSDK.binを実行し、Gatekeeperを回避するアドホック署名を持つ偽アプリバンドルをダウンロードする - データ窃取(Exfiltration):Chrome・Safari・Firefox・Brave・Operaのブラウザセッション、Keychainデータ、認証情報を収集後、マルウェア自体が自動削除される
Mauro Eldritch
DriftおよびKelpDAOとの関連性
CertiKはMach-O Manと4月の二大エクスプロイトとの直接的な関連を公式に確認した。手口は同じだ。技術的な契約の脆弱性ではなく、ソーシャルエンジニアリングが主要な侵入経路となっている。Driftではマルチシグガバナンスがソーシャルエンジニアリングで操作され、KelpDAOではRPCインフラが内部から侵害された。
CertiKのシニアブロックチェーンセキュリティ研究員Natalie Newsonは明確に述べた:
"これは無差別なハッキングではない。機関と同等の速度とスケールで動く、国家が指揮する金融作戦だ。"
担当組織はラザルスグループの作戦部門であるFamous Chollimaだ。Ellipticによれば、2026年だけで18件の攻撃がこの組織に帰属している。2017年から現在までの総奪取額は約67億ドルに達し、国連はこの資金が金正恩の核兵器開発プログラムに直接充当されていると指摘する。
Lazarus Group Just Released "Mach-O Man" – A Brand-New Native macOS Malware Kit Targeting Fintech, Crypto, and High-Value Executives
— Vladimir S. | Officer's Notes (@officer_secret) April 21, 2026
You get an "urgent" meeting invite over Telegram for a Zoom, Teams, or Google Meet call. The link leads to a convincing fake website that tells…
Mac使用者向けセキュリティ対策チェックリスト
BitsoおよびCertiKの研究者が推奨する対策を示す。JVCEA(日本暗号資産取引業協会)加盟取引所の従業員やDeFiプロジェクト関係者は即座に確認すべきだ。
- ウェブページの指示やチャットで受け取ったリンクによるターミナルコマンドを絶対に実行しないこと
- すべてのミーティング招待は別の独立したチャネル(電話・社用メール)で必ず真偽を確認すること
- OneDriveやウイルス対策ソフトを装った不審なプロセスがないかLaunchAgents(~/Library/LaunchAgents)を定期的に点検すること
- Quetzal Teamが公開した侵害指標(IoC)をブロックする:IP 172.86.113.102 および 144.172.114.220
- ハードウェアウォレットは日常業務に使用するマシンとは必ず分離して使用すること
- リアルタイム情報の更新はSpazioCryptoのHackセクションで確認すること
Mach-O Manマルウェアとは何か?
Mach-O Manは、ラザルスグループが2026年4月に展開したmacOSネイティブのマルウェアキットだ。偽の会議リンクを通じてターミナルコマンドの実行を誘導し、認証情報とKeychainデータを窃取する。
なぜラザルスグループはMacユーザーを狙うのか?
Macは暗号資産・フィンテック業界の幹部に広く使われており、Mach-Oバイナリベースのマルウェアは従来のセキュリティツールによる検出が困難なためだ。
Mach-O Man攻撃を防ぐにはどうすればよいか?
ビデオ通話中のターミナルコマンド実行を拒否し、LaunchAgentsフォルダを定期確認し、IoC IPアドレス172.86.113.102と144.172.114.220をブロックすることが有効だ。
ラザルスグループはこれまでにいくら奪取しているのか?
Ellipticのデータによれば、2017年から2026年にかけて約67億ドルを奪取しており、国連はこの資金が北朝鮮の核兵器プログラムに使用されていると指摘している。
理解すべき核心はこれだ。ラザルスはスマートコントラクトを破る必要がない。必要なのは、あなたがMacのターミナルを開き、無害に見えるコマンドを一つ貼り付けることだけだ。ファウンダー、CTO、相当な資産を持つトレーダー、DeFiコントリビューターであれば、すでに標的リストに載っている。そしてNewsonが指摘したように、おそらくあなたはまだそれを知らない。今すぐ上記のチェックリストを確認し、LaunchAgentsの点検から始めることを強く推奨する。
