LINEで送る
Pocket

security

EthereumやAugur、Zcash、米Circleなどブロックチェーン関連プロジェクトを専門に投資を行うベンチャーキャピタル「Fenbushi Capital」の創業者ボー・シェン氏が、同氏のアカウントから11万REP(30万ドル)が盗難被害に遭ったことを明かした。その他にも、イーサリアム上で発行されたイーサリアム系トークンも被害に遭っている恐れがある。

シェン氏は、先日仮想通貨専門取引所PoloniexにおいてBTC/REP価格が0.0037から一時0.0001に下落し、大規模な下ヒゲを付けたことでハッキングに気がついたという。

CoinDeskの報道によれば、ハッカーグループは2015年に行われたAugurのICOに参加した投資家を狙った無差別攻撃とのことだ。Augurで用いられるREPトークンは今年10月に、当初定めた発行数量を投資金額の割合に応じて投資家へと分配、取引所での売買が開始されていた。現時点におけるREPの時価総額は、$32,243,310(37億円相当)に上っている。

換金に使われたPoloniexは、公式声明として手口の調査と攻撃者の特定に協力するとコメントを出している。

ハッキングの手口は、しかしながら「ソーシャル・エンジニアリング」だ。

ソーシャル・エンジニアリング

今回の事件はAugurやEthereumのプロトコルに脆弱性があったことで引き起こされたわけではない。また、AugurのICOプラットフォームに問題があったわけでも、シェン氏が利用する取引所(シェン氏は、使用している取引所を明かしていない)に問題があったわけでもない。

具体的には、メールアカウントを特定しハックするという古典的な手法で説明できる。メールアカウントがハッキングされれば、それに紐付く取引所のアカウントは丸裸にされてしまう。

では、どのようにアカウントがハックされたのか? いくつかの報告や予兆によれば、携帯電話キャリアのサポートに対してソーシャル・エンジニアリングを仕掛けることで、ずさんなSIM業者から電話番号を強奪できてしまう「SIMキャリアの脆弱性」を突いたとされている。

すなわち、「スマホを落とした。交換したい」とSIMキャリアに対して報告することで、本来の所有者であるはずのスマートフォンのSIMは停止され、攻撃者が所有するSIMに番号を移すことができてしまったわけだ。このような脆弱性を付くことで、あらゆるデバイスやウェブサービスのアカウントが電話番号に基づいたリカバリ方法を採用している場合、攻撃者は悠々とハッキングできる、ということになるだろう。

こうした事例は、現在国内においては報告されていない。また、ハックの前提にはSIMキャリアによる本人確認の徹底度合いに掛かっているため、利用者としては対策のしようがなく、電話番号に頼らずにアカウントを保護する方法を模索するしかない。したがって、SIMキャリアのセキュリティが、仮想通貨によって顕在化した事例ともいえよう。

米Krakenは11月、SIMキャリアを使ったソーシャル・エンジニアリングによるハッキングの事例を紹介しており、またメールアカウントと電話番号の紐付けを外すことで対策することを推奨するブログを公開している。

  • ビットコインニュースを毎日お届け!

  • BTCN公式アカウントをフォロー

    follow us in feedly
シェアする

この記事を書いた人

ざきやま(山崎大輔)
ざきやま(山崎大輔)from Cryptocurrency world
ビットコイン専門記者 BTCN編集長
ブロックチェインの可能性を、知的財産の保護やゲーミングカルチャーへ応用できないかと考えてます。
monacoin:MTn7hiNovBHyN7gjtvD1Hh7W96Zmghp41B
bitcoin:1NK8S4ep9ZUZ9H9AmTAfvrCVVAKLbpmi36