2024年に発生したDMM運営の暗号通貨取引所のハッキング事件は400億円以上の被害に及びました。犯人は北朝鮮の工作員だと言われていますが、思いもよらないリスクが実際に起こりうるとかんがえなければ「甘い」と言われてしまう時代です。
実際に北朝鮮の工作員はソーシャルエンジニアリングという手法を使って保有資産をかすめ取ったと言われています。この文章は、サイバー攻撃の手口、特にソーシャルエンジニアリングを使った暗号資産窃取の手順を解説したものです。
目次
ソーシャルエンジニアリング攻撃のステップ1:身分を詐称して連絡
ソーシャルエンジニアリングとは、一言でいうと社会的にアプローチしてきてもおかしくない人を装って攻撃を仕掛ける詐欺の手法です。実在する人物や実在してもおかしくない組織を装って連絡してきます。
- 攻撃者は、実在の人物になりすまし、SNSで標的となる人物に近づきます。海外のメディアであったり、WEB3業界の開発者、VC、投資家など取材や協業、ビジネス上の取引を持ちかけるなどの状況を設定してきます。
- この攻撃の標的になるのは、国内外の暗号資産関連事業者やWeb3技術者、情報発信を行っているインフルエンサーです。個人資産や組織として保有している暗号通貨を狙ってきます。
- 標的の経歴やスキルに合わせて、関心を引くような話題で近づきます。先ほど例にあげた取材、協業、ビジネス上の依頼・相談などです。
- 攻撃者は、メッセージのやり取りに、記録が残らないメッセージングアプリを好む場合があります。
ソーシャルエンジニアリング攻撃のステップ2:マルウェアを感染させる
- 攻撃者は、標的のPCをマルウェアに感染させようとします。
- 例えば、GitHubにアップロードしたプログラムを実行させて、マルウェアに感染させる手口があります。APIの通信先に、攻撃者が用意したサーバーを含めて、マルウェアに感染させる可能性があります。
- その他にも、AIを活用して英語をはじめとして複数の外国語を同時に翻訳できる画期的な会議アプリがあるなど、様々な手口でマルウェアに感染させようとします。
ソーシャルエンジニアリング攻撃のステップ3:認証情報等の窃取~暗号資産窃取
- 攻撃者は、マルウェアに感染したPCに保存されている認証情報やセッションクッキーなどを盗み取ります。
- 盗み取った情報を使って、暗号資産管理やブロックチェーン関連業務で利用するシステムにアクセスし、暗号資産を窃取しようとします。
- システム構成を短期間で把握し、なりすました標的の権限で暗号資産を窃取する方法を見つけ出そうとします。
ソーシャルエンジニアリング攻撃は詐欺であり攻撃
- 攻撃者は、SNSで巧みに近づき、信頼関係を築きます。
- その信頼関係を利用して、マルウェアに感染させます。
- マルウェアを使って、PCに保存されている情報やアクセス権を盗み取り、暗号資産を盗みます。
ソーシャルエンジニアリング攻撃は防げるか
ソーシャルエンジニアリングは、巧妙な手口で人の心理を突いてくるため、注意が必要なのですが、ありえそうな状況を作りこんでくるので、防ぐことが難しいです。不審なメッセージやプログラムには、安易に反応しないようにしましょう。セキュリティ対策ソフトを導入し、常に最新の状態に保つことが重要なのですが、それだけでは防げません。
- 不審なメッセージやリンクにはアクセスしない。
- 知らない人からのファイルは実行しない。
- セキュリティソフトを導入し、OSやソフトウェアは常に最新の状態に保つ。
- パスワードを定期的に変更する。
- 二要素認証を導入する。
- 怪しいと感じたら、すぐに周りの人に相談する。
などの日ごろからの用心はあたりまえに対処していてもそれだけでは足りません。
では実際にどうするべきか。これは非常に明確な方針があります。つまり暗号資産を管理する端末は物理的に分けておく。普段の作業や外部とのやり取りを行う作業用の端末と、暗号通貨をやり取りする端末はきちんと分けておくという事です。
たとえば重要な取引は普段使わないスマホをコールドウォレットのように利用して、他の用途には使わない。そうすると高い信頼性のあるスマホで資産を安全に管理できます。もちろんコールドウォレットを使ったり、暗号通貨取引専用の端末を用意するという形でもよいです。この端末は極論、自宅や会社のWifiなどのネットワークにもつなげないほうがより安全です。またicloudのようなネットワークストレージにもつなげないようにするべきです。
大切なのはなるべく財産を管理する端末は独立した安全な環境に置いておくという事です。
