アメリカ・サンフランシスコを拠点とする仮想通貨(暗号資産)取引所コインベース(Coinbase)のセキュリティ担当者が、ハッカーから攻撃を受けた際の手口をブログで公開した。
2019年8月9日付で公開されたブログの筆者は、フィリップ・マーティン氏(Philip Martin)。ブラウザのひとつFirefoxの脆弱性を狙った攻撃に対して、どのように対応したかを公開している。
ブログで紹介されている一連の手口は、極めて巧妙だ。ある日、知人ではないが、素性のしっかりした人からメールが届くところから、ハッキングのプロセスは進行する。
●ユニコーンとして知られるコインベース
同社のウェブサイトによれば、コインベースは、2012年6月に設立された。
企業価値が10億米ドルを超えるユニコーン企業として知られ、2016年7月には三菱UFJ銀行との戦略提携も発表している。
日本進出に向けた準備も進めており、日本法人の関係者らが、金融庁との協議を続けている。
●5月30日:「ケンブリッジ大」からメールが
攻撃者側からの最初の動きは、1通のメールだった。
2019年5月30日、英国のケンブリッジ大学の研究助成金管理担当者であるグレゴリー・ハリスを名乗る人物からEメールが送られた。
メールを受け取ったのは、コインベースの従業員十数人。メールは、ケンブリッジ大の適正なドメイン「@cam.ac.uk」から送られ、迷惑メールの検知機能を突破した。
その時点では、メールには有害な要素は含まれていなかった。
その後、数週間にわたって、同様のメールがコインベース従業員に届いたという。
●6月17日:こんどはリンク付きのメール
6月17日には、「ハリスさん」から別のメールが届く。今度は、メールにURLが含まれていた。Firefoxでこのリンクを開くと、そのPCは乗っ取られてしまう。
ゼロデイと呼ばれる、修正が施される前の脆弱性を突くものだ。
攻撃は、高度に目標をしぼり、ソーシャル・エンジニアリングと呼ばれる手法が使われた。
総務省の情報セキュリティサイトは、ソーシャル・エンジニアリングを「人間の心理的な隙や行動のミスにつけ込むものです」と説明する。
つまり、よくメールを送ってくる「ケンブリッジ大のハリスさん」からだと思い込み、ついうっかり、メールに含まれるリンクを開いてしまうミスを誘うものだ。
コインベースのセキュリティチームは、攻撃を検知し、ブロックした。
●クリック誘う巧妙な手口
攻撃者は、5月28日に、ケンブリッジ大のドメインで2つのメールアドレスを取得。リンク先のランディングページもつくっている。
コインベースは攻撃者を「CRYPTO-3」と呼んでいる。
攻撃者側がいつ、ケンブリッジ大のアカウントへのアクセスを得たかについては、不明だという。
ビジネスSNSのLinkedInにも、当該のハリスさんと思しき偽のアカウントが存在した。
5月30日に送られた送られたメールは、実際にケンブリッジ大に存在する「アダム・スミス賞」に関するものだ。
受賞候補になっているプロジェクトを評価することのできる専門家を探しているとのメールが届く。
最初のメールにも、リンクが貼り付けられているが、そのリンク先は、とくに有害なものではなかった。
メールの受信者も、巧妙に絞り込まれ、実際に評価者になりうる経歴の従業員を選んで送っていたとみられる。攻撃者は当初、200人ほどを標的としていたが、最終的に5人にまで標的を絞り込んでいる。
●日本の取引所関係者らも反応
この連載の記事
- 第280回 データセンター建設ラッシュ 日本への投資が熱を帯びる3つの要因
- 第279回 ラピダスがシリコンバレー拠点を作ったワケ
- 第278回 日本円のデジタル化が近づいてきた
- 第277回 仮想通貨取引所の破たんで起きたこと。「史上最大」の詐欺、FTX創業者に禁錮25年
- 第276回 時価1.5兆円の掲示板サイト「Reddit」のビジネスモデル
- 第275回 仮想通貨が通貨危機の引き金に!?
- 第274回 公取委、アマゾンとグーグルに睨み 巨大IT規制の動き、日米欧で相次ぐ
- 第273回 ビットコインが急騰した3つの理由
- 第272回 サイバー犯罪集団LockBit、手口はビジネスさながら “ランサムウェア・アズ・ア・サービス(RaaS)”で企業を脅迫
- 第271回 楽天、5年連続赤字でもストップ高のワケ
- この連載の一覧へ