中国の大口投資家、3700万円相当の仮想通貨が盗難被害に 通信キャリアをハック  |  政治・選挙プラットフォーム【政治山】

  • このエントリーをはてなブックマークに追加
トップ    >   記事    >   中国の大口投資家、3700万円相当の仮想通貨が盗難被害に 通信キャリアをハック

中国の大口投資家、3700万円相当の仮想通貨が盗難被害に 通信キャリアをハック (2016/12/7 ビットコインニュース

関連ワード : セキュリティ 事件 仮想通貨 

EthereumやAugur、Zcash、米Circleなどブロックチェーン関連プロジェクトを専門に投資を行うベンチャーキャピタル「Fenbushi Capital」の創業者ボー・シェン氏が、同氏のアカウントから11万REP(30万ドル)が盗難被害に遭ったことを明かした。その他にも、イーサリアム上で発行されたイーサリアム系トークンも被害に遭っている恐れがある。

サイバーセキュリティ

シェン氏は、先日仮想通貨専門取引所PoloniexにおいてBTC/REP価格が0.0037から一時0.0001に下落し、大規模な下ヒゲを付けたことでハッキングに気がついたという。

CoinDeskの報道によれば、ハッカーグループは2015年に行われたAugurのICOに参加した投資家を狙った無差別攻撃とのことだ。Augurで用いられるREPトークンは今年10月に、当初定めた発行数量を投資金額の割合に応じて投資家へと分配、取引所での売買が開始されていた。現時点におけるREPの時価総額は、$32,243,310(37億円相当)に上っている。

換金に使われたPoloniexは、公式声明として手口の調査と攻撃者の特定に協力するとコメントを出している。

ソーシャル・エンジニアリング

今回の事件はAugurやEthereumのプロトコルに脆弱性があったことで引き起こされたわけではない。また、AugurのICOプラットフォームに問題があったわけでも、シェン氏が利用する取引所(シェン氏は、使用している取引所を明かしていない)に問題があったわけでもない。

具体的には、メールアカウントを特定しハックするという古典的な手法で説明できる。メールアカウントがハッキングされれば、それに紐付く取引所のアカウントは丸裸にされてしまう。

では、どのようにアカウントがハックされたのか? いくつかの報告や予兆によれば、携帯電話キャリアのサポートに対してソーシャル・エンジニアリングを仕掛けることで、ずさんなSIM業者から電話番号を強奪できてしまう「SIMキャリアの脆弱性」を突いたとされている。

すなわち、「スマホを落とした。交換したい」とSIMキャリアに対して報告することで、本来の所有者であるはずのスマートフォンのSIMは停止され、攻撃者が所有するSIMに番号を移すことができてしまったわけだ。このような脆弱性を付くことで、あらゆるデバイスやウェブサービスのアカウントが電話番号に基づいたリカバリ方法を採用している場合、攻撃者は悠々とハッキングできる、ということになるだろう。

こうした事例は、現在国内においては報告されていない。また、ハックの前提にはSIMキャリアによる本人確認の徹底度合いに掛かっているため、利用者としては対策のしようがなく、電話番号に頼らずにアカウントを保護する方法を模索するしかない。したがって、SIMキャリアのセキュリティが、仮想通貨によって顕在化した事例ともいえよう。

米Krakenは11月、SIMキャリアを使ったソーシャル・エンジニアリングによるハッキングの事例を紹介しており、またメールアカウントと電話番号の紐付けを外すことで対策することを推奨するブログを公開している。

関連記事
「現代のお金に欠落しているもの」アンドレアス・アントノポラス氏が語る
ビットコイン―トランプ氏当選で日本株相場・為替相場が荒れるなか、ビットコインは堅調に推移
ビットコイン一時10%下落 中国の規制報道を受け
スイスの国営鉄道がビットコインの販売を開始
ウォルマート、中国の物流でブロックチェーン利用 豚肉を追跡
関連ワード : セキュリティ 事件 仮想通貨