WebX完全ガイド
TOP 新着一覧 取引所 WebX
CoinPostで今最も読まれています

仮想通貨取引所Coinbaseを襲った過去の標的型攻撃 最高情報責任者の報告を読み解く

画像はShutterstockのライセンス許諾により使用

Coinbaseへの標的型攻撃
過去に起きた米Coinbaseへの標的型攻撃。最高情報責任者が公開した内容をセキュリティに詳しいエンジニアが読み解く。

ハッキングされた大学ドメイン経由の攻撃

Coinbaseは、ゼロデイの脆弱性を組み合わせた標的型の攻撃を受けていたとして、最高情報責任者 Philip Martin氏のブログ記事を公開した。

この件については、6月19日にtwitter で第一報を共有しており、後日詳細を開示すると伝えていたものだ。

5月30日木曜日、複数のCoinbase従業員が、ケンブリッジ大学の研究助成金管理者である Gregory Harris からの電子メールを受信しました。このメールはケンブリッジの正当なドメインから送信されたもので、悪いものは含まれておらず、スパム検出機能も通過しました。次の数週間にも、同様にメールを受信しました。何もおかしな要素はありませんでした。

6月17日午前6時31分に、Gregory Harris は別のメールを送信しましたが、これは異なるものでした。Firefoxで開いた場合に、マシンを乗っ取ることができるマルウェアをインストールする URL が含まれていました。

ブログは上記のように始まっており、5月から2週間以上にわたって注意深く攻撃を行われていたことが示唆されている。

Coinbase セキュリティチームは数時間のうちに攻撃を検出してブロック。スピアフィッシングおよびソーシャルエンジニアリングを用い、クリティカルな Firefox の2つの脆弱性を狙った、高度な標的型攻撃であったことを確認したという。

5人まで絞り込まれた標的型攻撃

攻撃者はまず、ケンブリッジ大学から 2つの電子メールアカウントを奪取し、5月28日に新規ドメインを登録した(analyticsfit[.]com)。

攻撃者が最初にケンブリッジアカウントにアクセスしたのはいつか、アカウントが乗っ取られたのか作成されたのかはわかっていない。電子メールアカウントに関連付けられたIDはオンラインでは見つかっておらず、関連付けられた LinkedInプロファイルは偽物とみられている。

そして、最初のメールが 5月30日に送信された。最初に送信されたメールはシンプルなもので、ケンブリッジ大学の Adam Smith Prizeに推薦されたことを伝えるものだった。(ブログでは、対象は 200人だったとしている)

その後、ゼロデイ攻撃を仕掛ける対象を選別し、5人に向けてマルウェアをインストールするURLを含んだメールを送った。

攻撃に用いられた脆弱性

利用された 2つのゼロデイ脆弱性は、Firefox ブラウザの問題を突くもので、それぞれ 6月19日(CVE-2019-11707)、6月20日(CVE-2019-1170)に公開されたものだ。

攻撃に利用された時点で対策が完了しておらず、かつパブリックな情報でもなかったため、未知の脆弱性、ゼロデイ脆弱性とされている。

CVE-2019–11707を報告したGoogle Project ZeroのSamuel Groß氏によれば、攻撃者は恐らく独自に分析を行って脆弱性を見つけた可能性が高い、という。

当該脆弱性は 2月に報告された CVE-2019-9810 と似たようなものであり、この考え方に基づいて類似の問題を探していて、今回の脆弱性を見つけたのだろう、と述べている。

なお、この脆弱性自体は以前から存在していたようですが、攻撃に利用できるようになったのは5月12日以降である。

実際に送出された攻撃用のコードは難読化(コードを読みにくくする加工・圧縮。分析を阻害するためのもの)されていなかったものの、コードの実装は関数が分かりやすく命名されていた上、機能ごとの分割も適切になっていた。

このことから、攻撃者の研究開発スピードは非常に早いこと、コードの開発も経験豊富なグループで実行されている可能性が高い。

2段構えの攻撃

確実にペイロードを動作させるため、攻撃は複数の段階に分かれていた。

攻撃の第1段階では、まずオペレーティングシステムとブラウザーを特定し、Firefox を使用していない macユーザーにはエラーを表示して、Mozilla から最新バージョンをインストールするよう指示していた。

ユーザーがインストールを行うと、CVE-2019–11707 および CVE-2019–11708 を使用して任意のコードが実行できる状態になり、ここでシェル(curl やダウンロードしたバイナリ)を実行した。 Coinbase は「Firefox では通常発生しない動作」としてシェルの実行を検出したという。

実際には、最初に Netwireマルウェアの亜種が動作したのち、バックドア型(Remote Access Tool)の Mokesマルウェアの亜種が動作する形になっていた。

攻撃者は Gmail などクラウドベースの情報も標的にしていたため、この挙動についても不審な動作として検出された。

その後の対応

従業員からの報告と自動アラートの両方を受けて、インシデントの調査が開始された。

Coinbase セキュリティチームは問題を調査し、攻撃者が用意したフィッシングサイトがまだ残っているうちに情報を採取してブロック。影響を受けた従業員については資格情報をはく奪の上でアカウントをロックし、封じ込めた。

さらに Firefox を手掛ける Mozilla のセキュリティチームにも攻撃に関する詳細を連絡したことで、結果として、翌日には CVE-2019-11707、週内には CVE-2019-11708 のパッチがリリースされた。

ケンブリッジ大学にも連絡を行って情報収集を行ったことにより、今回のキャンペーンが 200人以上を狙った標的型攻撃に始まっていたことが分かった。

まとめ

Coinbase の事例は、ゼロデイを用いた攻撃であったにも関わらず、不審な動作によるアラート検知、従業員の資格情報はく奪やセキュリティチームの迅速な調査が功を奏し、ほとんど被害を出すことなく収束できた好例だろう。

もちろん、従業員が報告しやすい空気や文化、インシデント発生時に参照されるプレイブック(手順書)、それらに迅速に対応できるだけの人材といった要素は欠かせない。

坪 和樹

Twitter:https://twitter.com/TSB_KZK

Linkedin:https://www.linkedin.com/in/tsubo/

プロフィール:AWSで働くエンジニア、アイルランド在住。MtGoxやThe DAOでは被害を受けたが、ブロックチェーンのセキュリティに興味を持ち続けている。セキュリティカンファレンスでの講演、OWASP Japanの運営協力やMini Hardeningといったイベント立ち上げなど、コミュニティ活動も実績あり。

CoinPost App DL
厳選・注目記事
注目・速報 市況・解説 動画解説 新着一覧
07/09 木曜日
17:51
ソニー銀行、米信託子会社設立へ OCC条件付き承認取得
ソニーフィナンシャルグループ傘下のソニー銀行が、米国に信託子会社を設立へ。米OCCから条件付き承認を取得し、米ドルステーブルコインの発行・管理事業化に向けた布石とする。同社の中長期的なデジタル資産戦略の一環。
17:24
SBIグループDeFimans、Perplexity等5社、次世代取引執行基盤を共同検証
SBIグループDeFimans、Perplexity AI、SMBC日興証券らが、デジタル資産の次世代執行基盤に関する共同検証(PoC)の基本合意書を締結。取引所とオンチェーンを横断した執行基盤の構築を目指す。
16:37
三井住友信託銀行、MMFのトークン化実証を開始 国内信託銀行初
三井住友信託銀行が9日、パブリックブロックチェーン上でマネー・マーケット型ファンドの受益権をトークン化する実証実験の開始を発表した。SecuritizeとFireblocksの支援を受け、2026年度中の発行を視野に取り組む。国内信託銀行によるデジタル証券発行では初の事例となる見込み。
16:35
米ニューハンプシャー州、ビットコイン担保債1億ドルの発行案を否決
米ニューハンプシャー州の行政評議会は7月8日、ビットコイン(BTC)担保のコンジット債1億ドルの発行案を3対2で否決した。ムーディーズの投資適格未満評価などが議論となり、税金に依存しない構造でも承認は見送られた。
15:47
CRYL、ビットコイン担保ローン開始 融資は100万円から10億円
J-CAM系の株式会社CRYLが7月9日、ビットコインを担保に法定通貨を借りられる仮想通貨担保ローン「CRYL」の提供を開始した。融資額は100万円から最大10億円、金利は年率3.5%から7.0%。BTCを売却せずに資金調達できる選択肢を示す。
14:00
Base、B20トークン規格をメインネットで有効化
コインベース支援のL2「Base」が7月8日、メインネットでB20トークン規格を有効化した。ERC-20互換を保ちつつプロトコル層に組み込まれた新規格で、ステーブルコインやRWAの発行コストを削減する。
13:20
トランプ一族WLFI関連企業AIファイナンシャル、中核事業売却で交渉中=報道
トランプ一族WLFI関連のナスダック上場企業AIファイナンシャルが、決済子会社の売却で東京拠点のPerpetuals.comと交渉中だ。WSJが報道した。
11:40
AIエージェントの円建て自律決済、国内企業が技術検証完了
外貨両替サービスのエクスチェンジャーズが、AIエージェント向け決済プロトコル「x402」を用い、日本円電子マネー(XJPY)での自律決済フローの完結を公表。KYC済みウォレット・ガスレスを一体提供するx402実装は国内初と発表した。
11:10
グーグルクローム、予測市場の実マネー取引拡張機能を禁止 8月から
グーグルクロームはクロームウェブストアのポリシーを改定し、実マネーを用いた予測市場向け拡張機能を禁止製品に指定した。データ収集規制の強化とAI安全機能の回避ツール禁止も同時に導入され8月1日から施行される。
10:05
米民主党議員、クラリティー法の開発者保護条項維持を上院幹部に要請
米上院民主党議員が書簡を送り、仮想通貨市場構造法「クラリティー法」に非カストディアル型ブロックチェーン開発者の保護規定であるBRCA条項を維持するよう上院幹部に求めた。
09:40
ビットコインの局面転換に必要な条件は? 5か月間「ディープ・バリュー」続く=グラスノード
グラスノードが仮想通貨週間レポートを発表。ビットコインは投資家の平均取得価格を下回る「ディープバリュー」局面が5か月継続中だ。長期保有者の売却が主な下落圧力となっている。
08:40
クラウドフレア、ステーブルコイン活用の新機能提供へ
クラウドフレアが、新機能Monetization Gatewayの利用者を募集。これは主にAIエージェントの普及に備えた機能で、x402を使い、最初にステーブルコインを決済に活用する。
07:40
ロシア、仮想通貨規制法案を修正可決 ウォレット申告義務を撤廃
ロシア議会下院の金融市場委員会が8日、仮想通貨規制法案の修正版を第2読会向けに承認した。ウォレットアドレスの申告義務を撤廃し、残高・取引量の開示のみに変更。非適格投資家の年間購入上限は30万ルーブルに設定される。
07:22
WIZE、ソラナ追加取得で累計9億円 世界で11位に
株式会社WIZEは7月7日、ソラナを約1億円分追加取得し、累計取得額が約9億円規模に達した。コインゲッコーのランキングで世界第11位に躍進し、トップ10入りが目前に。
06:45
アルゼンチンがW杯ベスト8進出、ARGファントークンが一時12%急騰
2026年FIFAワールドカップでリオネル・メッシ選手が8ゴールを記録し得点首位に立つ中、チリーズ上のアルゼンチン代表ファントークン(ARG)が最大12.4%急騰した。直近7日間では26.7%下落しており、2022年W杯時の最高値からは98%安の水準にある。
今から始める仮想通貨特集
通貨データ
重要指標
一覧
新着指標
一覧