GreedyBear、仮想通貨ウォレットから100万ドル盗難｜AI悪用

ロシアに関連するサイバー犯罪集団GreedyBearは8日、大規模な作戦により5週間で100万ドル以上の暗号資産（仮想通貨）を盗んだことが明らかになった。

同集団は活動を大幅に拡大している。

メタマスクやエクソダスなど著名な仮想通貨ウォレットになりすました150種類の悪質なFirefox拡張機能を使用している。

これは、4月から7月にかけて確認された40種類の拡張機能から急増しており、攻撃が組織的な規模に達していることを示している。

🐻 GreedyBear has stolen $1M+ in crypto, ramping up cyber theft risks with industrial-scale tactics.

💼 Two Seas Capital opposes Core Scientific’s $9B buyout, citing undervaluation—potentially shifting sector valuations.#Crypto #Cybersecurity #Investing pic.twitter.com/zmNhj5nZAB

— Market Machina (@market_machina) August 8, 2025

巧妙化するエクステンション・ホローイングの手口

GreedyBearはエクステンション・ホローイングと呼ばれる巧妙な手口を用いる。

最初に正規のウォレット拡張機能を公開して信頼を築き、セキュリティ審査を通過させた後、悪意のあるコードを含む更新プログラムを配信する。

これにより、利用者がログインしようとすると認証情報が盗まれる仕組みだ。

特に利用者の多いメタマスクのようなウォレットが標的になりやすい。

犯行グループは、まずリンククリーナーやYouTubeダウンローダーといった一般的なツールを公開し、肯定的なレビューを集めて信用を確立する。

その後、これらの拡張機能を悪質なものへと変貌させている。

AIの悪用と組織的なインフラ

この攻撃の成功には、AIの活用が大きく影響している。

コード解析の結果、攻撃用ペイロードの作成やセキュリティーシステムの検知回避にAIが生成した痕跡が確認された。

悪意のあるブラウザ拡張機能、マルウェア、フィッシングサイトといった全ての攻撃要素は、単一の指令サーバーから一元管理されている。

これにより、複数の攻撃経路を連携させた組織的な犯行が可能となった。

この作戦は、以前に確認されたFoxy Walletキャンペーンの進化形と見られており、規模と連携が大幅に強化されている。

専門家は、ソフトウェアの入手元を慎重に確認し、ウォレットの多要素認証を有効にするよう警告している。

信頼できる仮想通貨ウォレットおすすめ情報を参照し、公式ストアからのみダウンロードすることが重要である。

AI技術による開発サイクルの高速化は、サイバー犯罪が新たな段階に入ったことを示唆している。

このような手口は、特定の銘柄だけでなく、幅広いアルトコインの保有者にリスクをもたらす。