DNSハイジャックで仮想通貨を窃取--古典的攻撃手法に警鐘

ZDNET Japan Staff

2018-04-25 15:12

 仮想通貨のウォレットサービスを手がける「MyEtherWallet.com(MEW)」は4月24日、同社ユーザーのウォレットから仮想通貨Ethereumが盗まれる被害が発生したことを明らかにした。原因は同サービスの基盤のセキュリティ問題ではなく、DNSサービスの乗っ取りだったと説明している。

 MEWによると、被害はユーザーの通信がフィッシングサイトに誘導されることで発生した。世界協定時間(UTC)で24日正午に複数のDNS登録サーバが何者かによってハッキングされたことが判明、このサーバを利用していたユーザーがMEWにアクセスしようとするとフィッシングサイトにリダイレクトされ、ウォレットの秘密鍵などの情報を盗み取られたと見られる。ユーザーがフィッシングサイトへ誘導される際、ブラウザ上にSSLの警告メッセージが表示されたにもかかわらず、これを無視してアクセスしたユーザーが被害に遭ったという。

 MEWは、被害者の多くがGoogleのDNSサーバを利用していたと説明したが、CloudflareやOracle傘下のInternet Intelligence(旧Dyn)、セキュリティ研究者のKevin Beaumont氏の分析では、Border Gateway Protocol(BGP)の1つのAmazonが提供するDNSサービス「Route 53」への経路上で通信をハイジャックされたことが判明した。


通信経路をハイジャックする攻撃のイメージ(出典:Cloudflare)

 ユーザーが最終的に、ロシアのプロバイダーにホストされたフィッシングサイトへ誘導される仕組みだった。フィッシングサイトへの誘導は、UTCで24日午前11時頃から午後1時頃までの約2時間に及び、被害規模は16万ドル(約1億7400万円)に上るとしている。

 Beaumont氏は、Route 53はTwitterなども利用しているため、標的がMEWだけではなかった可能性があると指摘。また、攻撃者はシカゴのデータセンターのサーバを踏み台にして中間者攻撃を仕掛け、MEWのサーバ証明書を盗もうとしたが失敗した可能性があるという。

 このため攻撃者は、フィッシングサイトで偽の証明書を使用と見られる。MEWは、被害者のブラウザがこれを検知して警告したにもかからず、ユーザーがアクセスしたことが被害の原因だと主張している。

 通信経路をハイジャックしてユーザーを不正サイトに誘導する攻撃手法は昔から存在するものの、CloudflareやBeaumont氏は、関係先がユーザーやサービス提供企業、通信事業者やデータセンター事業者など複雑であることから、対策が容易ではないと解説する。

 MEWは「大規模な銀行であっても巻き込まれる可能性がある」脅威だとし、ユーザーに対してアクセス先が正規の証明書を使用していることを確認したり、ハードウェアウォレットも利用したりして自身の情報を保護してほしいと呼び掛けた。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    生成 AI の真価を引き出すアプリケーション戦略--ユースケースから導くアプローチ

  2. セキュリティ

    マンガで解説、「WAF」活用が脆弱性への応急処置に効果的である理由とは?

  3. セキュリティ

    セキュリティ担当者に贈る、従業員のリテラシーが測れる「情報セキュリティ理解度チェックテスト」

  4. セキュリティ

    5分で学ぶCIEMの基礎--なぜ今CIEM(クラウドインフラストラクチャ権限管理)が必要なのか?

  5. セキュリティ

    従来型のSIEMを使い続ける弊害とSOC運用を高度化するサイバーセキュリティ対策の進め方

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]