このページの本文へ

小島寛明の「規制とテクノロジー」第36回

アメリカの仮想通貨取引所がハッキング未遂の一部始終を公開

2019年08月19日 09時00分更新

文● 小島寛明

  • この記事をはてなブックマークに追加
  • 本文印刷

 アメリカ・サンフランシスコを拠点とする仮想通貨(暗号資産)取引所コインベース(Coinbase)のセキュリティ担当者が、ハッカーから攻撃を受けた際の手口をブログで公開した

 2019年8月9日付で公開されたブログの筆者は、フィリップ・マーティン氏(Philip Martin)。ブラウザのひとつFirefoxの脆弱性を狙った攻撃に対して、どのように対応したかを公開している。

 ブログで紹介されている一連の手口は、極めて巧妙だ。ある日、知人ではないが、素性のしっかりした人からメールが届くところから、ハッキングのプロセスは進行する。

●ユニコーンとして知られるコインベース

 同社のウェブサイトによれば、コインベースは、2012年6月に設立された。

 企業価値が10億米ドルを超えるユニコーン企業として知られ、2016年7月には三菱UFJ銀行との戦略提携も発表している。

 日本進出に向けた準備も進めており、日本法人の関係者らが、金融庁との協議を続けている。

●5月30日:「ケンブリッジ大」からメールが

 攻撃者側からの最初の動きは、1通のメールだった。

 2019年5月30日、英国のケンブリッジ大学の研究助成金管理担当者であるグレゴリー・ハリスを名乗る人物からEメールが送られた。

 メールを受け取ったのは、コインベースの従業員十数人。メールは、ケンブリッジ大の適正なドメイン「@cam.ac.uk」から送られ、迷惑メールの検知機能を突破した。

 その時点では、メールには有害な要素は含まれていなかった。

 その後、数週間にわたって、同様のメールがコインベース従業員に届いたという。

●6月17日:こんどはリンク付きのメール

 6月17日には、「ハリスさん」から別のメールが届く。今度は、メールにURLが含まれていた。Firefoxでこのリンクを開くと、そのPCは乗っ取られてしまう。

 ゼロデイと呼ばれる、修正が施される前の脆弱性を突くものだ。

 攻撃は、高度に目標をしぼり、ソーシャル・エンジニアリングと呼ばれる手法が使われた。

 総務省の情報セキュリティサイトは、ソーシャル・エンジニアリングを「人間の心理的な隙や行動のミスにつけ込むものです」と説明する。

 つまり、よくメールを送ってくる「ケンブリッジ大のハリスさん」からだと思い込み、ついうっかり、メールに含まれるリンクを開いてしまうミスを誘うものだ。

 コインベースのセキュリティチームは、攻撃を検知し、ブロックした。

●クリック誘う巧妙な手口

 攻撃者は、5月28日に、ケンブリッジ大のドメインで2つのメールアドレスを取得。リンク先のランディングページもつくっている。

 コインベースは攻撃者を「CRYPTO-3」と呼んでいる。

 攻撃者側がいつ、ケンブリッジ大のアカウントへのアクセスを得たかについては、不明だという。

 ビジネスSNSのLinkedInにも、当該のハリスさんと思しき偽のアカウントが存在した。

 5月30日に送られた送られたメールは、実際にケンブリッジ大に存在する「アダム・スミス賞」に関するものだ。

 受賞候補になっているプロジェクトを評価することのできる専門家を探しているとのメールが届く。

 最初のメールにも、リンクが貼り付けられているが、そのリンク先は、とくに有害なものではなかった。

 メールの受信者も、巧妙に絞り込まれ、実際に評価者になりうる経歴の従業員を選んで送っていたとみられる。攻撃者は当初、200人ほどを標的としていたが、最終的に5人にまで標的を絞り込んでいる。

●日本の取引所関係者らも反応

この連載の記事

週間ランキングTOP5

ASCII倶楽部会員によく見られてる記事はコレだ!

ASCII倶楽部の新着記事

会員専用動画の紹介も!