アメリカ・サンフランシスコを拠点とする仮想通貨(暗号資産)取引所コインベース(Coinbase)のセキュリティ担当者が、ハッカーから攻撃を受けた際の手口をブログで公開した。
2019年8月9日付で公開されたブログの筆者は、フィリップ・マーティン氏(Philip Martin)。ブラウザのひとつFirefoxの脆弱性を狙った攻撃に対して、どのように対応したかを公開している。
ブログで紹介されている一連の手口は、極めて巧妙だ。ある日、知人ではないが、素性のしっかりした人からメールが届くところから、ハッキングのプロセスは進行する。
●ユニコーンとして知られるコインベース
同社のウェブサイトによれば、コインベースは、2012年6月に設立された。
企業価値が10億米ドルを超えるユニコーン企業として知られ、2016年7月には三菱UFJ銀行との戦略提携も発表している。
日本進出に向けた準備も進めており、日本法人の関係者らが、金融庁との協議を続けている。
●5月30日:「ケンブリッジ大」からメールが
攻撃者側からの最初の動きは、1通のメールだった。
2019年5月30日、英国のケンブリッジ大学の研究助成金管理担当者であるグレゴリー・ハリスを名乗る人物からEメールが送られた。
メールを受け取ったのは、コインベースの従業員十数人。メールは、ケンブリッジ大の適正なドメイン「@cam.ac.uk」から送られ、迷惑メールの検知機能を突破した。
その時点では、メールには有害な要素は含まれていなかった。
その後、数週間にわたって、同様のメールがコインベース従業員に届いたという。
●6月17日:こんどはリンク付きのメール
6月17日には、「ハリスさん」から別のメールが届く。今度は、メールにURLが含まれていた。Firefoxでこのリンクを開くと、そのPCは乗っ取られてしまう。
ゼロデイと呼ばれる、修正が施される前の脆弱性を突くものだ。
攻撃は、高度に目標をしぼり、ソーシャル・エンジニアリングと呼ばれる手法が使われた。
総務省の情報セキュリティサイトは、ソーシャル・エンジニアリングを「人間の心理的な隙や行動のミスにつけ込むものです」と説明する。
つまり、よくメールを送ってくる「ケンブリッジ大のハリスさん」からだと思い込み、ついうっかり、メールに含まれるリンクを開いてしまうミスを誘うものだ。
コインベースのセキュリティチームは、攻撃を検知し、ブロックした。
●クリック誘う巧妙な手口
攻撃者は、5月28日に、ケンブリッジ大のドメインで2つのメールアドレスを取得。リンク先のランディングページもつくっている。
コインベースは攻撃者を「CRYPTO-3」と呼んでいる。
攻撃者側がいつ、ケンブリッジ大のアカウントへのアクセスを得たかについては、不明だという。
ビジネスSNSのLinkedInにも、当該のハリスさんと思しき偽のアカウントが存在した。
5月30日に送られた送られたメールは、実際にケンブリッジ大に存在する「アダム・スミス賞」に関するものだ。
受賞候補になっているプロジェクトを評価することのできる専門家を探しているとのメールが届く。
最初のメールにも、リンクが貼り付けられているが、そのリンク先は、とくに有害なものではなかった。
メールの受信者も、巧妙に絞り込まれ、実際に評価者になりうる経歴の従業員を選んで送っていたとみられる。攻撃者は当初、200人ほどを標的としていたが、最終的に5人にまで標的を絞り込んでいる。
●日本の取引所関係者らも反応
この連載の記事
- 第313回 アマゾンに公取委が“ガサ入れ” 調査の進め方に大きな変化
- 第312回 豪州で16歳未満のSNS禁止 ザル法かもしれないが…
- 第311回 政府、次世代電池に1778億円 「全固体」実現性には疑問も
- 第310回 先端半導体、政府がさらに10兆円。大博打の勝算は
- 第309回 トランプ2.0で、AIブームに拍車?
- 第308回 自動運転:トヨタとNTTが本格協業、日本はゆっくりした動き
- 第307回 総選挙で“ベンチャー政党”が躍進 ネット戦略奏功
- 第306回 IT大手の原発投資相次ぐ AIで電力需要が爆増
- 第305回 AndroidでMicrosoftストアが使えるように? “グーグル分割”の現実味
- 第304回 イーロン・マスク氏、ブラジル最高裁に白旗
- この連載の一覧へ