はじめに
原著者:クリストファー・ローザ
原訳:AididiaoJP、フォーサイトニュース
週末に、過去の侵害と新たに盗まれたログインデータを含む160億のユーザーIDの大規模データセットがオンラインで流通し始めたというニュースが報じられました。このデータセットを更新し再公開したのが誰なのかは不明です。データベースの多くは過去の侵害の再利用ですが、再度更新された事実は不安を引き起こします。このデータセットは、これまでに侵害されたアカウントの中で最大の単一コレクションの一つと見なされています。ハッカーはこのデータを利用して様々な攻撃を行っており、私はそのターゲットの一人となりました。
フィッシング攻撃の詳細
6月19日に私の個人デバイスとアカウントに対するフィッシング攻撃は、私の10年にわたるサイバーセキュリティキャリアの中で最も洗練されたものでした。攻撃者はまず、私のアカウントが複数のプラットフォームで攻撃されているという錯覚を作り出し、次にCoinbaseの従業員を装って助けを申し出ました。彼らは古典的なソーシャルエンジニアリングの手法を、テキストメッセージ、電話、偽のメールを通じて調整し、緊急性、信頼性、規模の偽の感覚を作り出すように設計しました。この偽の攻撃の広がりと権威が、その欺瞞的な性質の鍵でした。
以下に攻撃プロセスの詳細を説明し、プロセス中に気づいた赤信号と私が取った防護策を分析します。同時に、暗号投資家がますます高まる脅威環境で安全を保つための重要な教訓と実用的な提案を共有します。歴史的データや最近漏洩したデータは、ハッカーによって高度にターゲットを絞ったマルチチャネル攻撃に利用される可能性があります。これは、層状のセキュリティ保護、明確なユーザーコミュニケーションメカニズム、リアルタイムの対応戦略の重要性を再確認させます。
攻撃の進行
攻撃は木曜日の午後3時15分(ET)頃に始まり、匿名のテキストメッセージが届きました。内容は、誰かが私の電話番号を他の誰かに渡すようにモバイルキャリアを騙そうとしているというもので、これはSIMスワッピングとして知られる戦術です。このメッセージはSMS番号からではなく、通常の10桁の電話番号から送信されていることに注意してください。正当なビジネスはSMSメッセージを送信するためにショートコードを使用します。もし、ビジネスからのものであると主張する不明な標準長の番号からのテキストメッセージを受け取った場合、それはほぼ確実に詐欺またはフィッシングの試みです。
メッセージには矛盾も含まれていました:最初のテキストメッセージは侵害がサンフランシスコ湾エリアで発生したと示していましたが、その後のメッセージはアムステルダムで発生したと言っていました。SIMスワッピングは成功すると非常に危険で、攻撃者はほとんどの企業がパスワードをリセットしたりアカウントにアクセスするために使用するワンタイム検証コードを取得できます。しかし、これは実際のSIMスワップではなく、ハッカーはより洗練された詐欺のための基盤を築いていました。
攻撃はその後エスカレートし、私はVenmoやPayPalからのワンタイム検証コードをSMSやWhatsAppで受け取り始めました。これにより、誰かが私の様々な金融プラットフォームのアカウントにログインしようとしていると信じるようになりました。疑わしいキャリアのSMSメッセージとは異なり、これらの検証コードは正当なように見えるショートコードから送信されていました。
攻撃者とのやり取り
テキストメッセージを受け取ってから約5分後、カリフォルニアの番号から電話がかかってきました。自称メイソンという呼び名のその電話の主は、純粋なアメリカのアクセントで話し、Coinbaseの調査チームから来たと主張しました。彼は、過去30分間に30回以上のパスワードリセットとアカウントへのハッキングの試みがCoinbaseのチャットウィンドウを通じて行われたと述べました。
メイソンによると、いわゆる攻撃者はパスワードリセットのための最初のセキュリティ検証を通過しましたが、2番目の認証レベルで失敗したとのことです。彼は、相手が私のIDカードの最後の4桁、運転免許証の番号、住所、フルネームを提供できたが、Coinbaseアカウントに関連する銀行カードのフル番号や最後の4桁を提供できなかったと伝えました。メイソンは、この矛盾がCoinbaseのセキュリティチームの警報を引き起こし、私に真偽を確認するために連絡を取るよう促したと説明しました。
Coinbaseのような公式な取引所は、ユーザーが公式ウェブサイトを通じてサービスリクエストを開始しない限り、決して積極的にユーザーに電話をかけることはありません。
悪いニュースを伝えた後、メイソンは追加の攻撃チャネルをブロックすることで私のアカウントを保護することを提案しました。彼はAPI接続や関連するウォレットから始め、リスクを減らすためにそれらを取り消すと主張しました。彼はBitstamp、TradingView、MetaMaskウォレットなど、いくつかの接続をリストアップしましたが、その中には私が認識しないものもありました。しかし、私はそれらを設定して忘れてしまったのかもしれないと思いました。この時点で、私の警戒心は下がり、Coinbaseの積極的な保護に安心感を覚えました。
警告信号と防護策
次に、緊急性と脆弱性を生み出すための最初の圧力の試みがありました。いわゆるセキュリティチェックを完了した後、メイソンは私のCoinbase Oneサブスクリプションサービスのアカウント保護が終了したと主張しました。これは、私のアカウントが高リスクとしてフラグ付けされたためです。これは、私のCoinbaseウォレットの資産がもはやFDIC保険の対象ではなく、攻撃者が資金を盗んだ場合、補償を受けることができないことを意味しました。
振り返ってみると、この主張は明らかな欠陥であるべきでした。銀行預金とは異なり、暗号資産はFDIC保険によって保護されることは決してなく、Coinbaseが顧客のドルをFDIC保険付きの銀行に保管している場合でも、取引所自体は保険付きの機関ではありません。
メイソンはまた、24時間のカウントダウンが始まったと警告し、期限を過ぎたアカウントはロックされると述べました。ロック解除には複雑で長いプロセスが必要です。さらに恐ろしいことに、彼はこの期間中に攻撃者が私のフルソーシャルセキュリティ番号を取得した場合、凍結されたアカウントから資金を盗むことができると主張しました。その後、私は本物のCoinbaseカスタマーサービスチームに相談し、アカウントをロックすることが彼らが推奨するセキュリティ対策であることを知りました。
次に、私は2通のメールを受け取りました。最初のメールはCoinbase Bytesニュースの購読確認書で、これは攻撃者が公式ウェブサイトのフォームを通じて私のメールアドレスを提出したことによって引き起こされた通常のメールでした。これは明らかに、Coinbaseの公式メールで私の判断を混乱させ、詐欺の信頼性を高める試みでした。
2通目の、より不穏なメールは、no-replyからのもので、私のCoinbase Oneアカウント保護が解除されたと述べていました。このメールは、正当なCoinbaseドメインからのものであるように見えましたが、非常に欺瞞的でした。疑わしいドメインから来ていたら簡単に見抜けたでしょうが、公式のアドレスからのものであるため、本物に見えました。
結論と教訓
金融機関、ITセキュリティチーム、経営者にとって、この攻撃は、歴史的データが再利用され、リアルタイムのソーシャルエンジニアリングと組み合わさることで、ハッカーが最も洗練されたセキュリティ防御をも突破できることを浮き彫りにしています。脅威の行為者はもはや単にブルートフォース攻撃に依存するのではなく、むしろ信頼を得てユーザーを欺くために、正当なワークフローを模倣する調整されたクロスチャネル戦略を実行しています。
私たちは、システムとネットワークのセキュリティを保護するだけでなく、脅威を特定し、自分自身を守るための行動を取る必要があります。暗号エージェンシーで働いているか、自宅で暗号資産を管理しているかにかかわらず、誰もが個人のセキュリティの脆弱性がどのように体系的なリスクに進化するかを理解する必要があります。これらの脅威から保護するために、組織はドメイン名の監視、適応型認証、フィッシングを防ぐための多要素認証、明確なコミュニケーションプロトコルなどの防御を層状にする必要があります。
また、企業はサイバーセキュリティリテラシーの文化を育成し、エンジニアから経営者までのすべての従業員が会社を保護する役割を理解することが重要です。今日の環境では、セキュリティは単なる技術的機能ではなく、個人と組織全体が共有する必要がある責任です。
