WebX完全ガイド
TOP 新着一覧 チャート 取引所 WebX
CoinPostで今最も読まれています

仮想通貨取引所Coinbaseを襲った過去の標的型攻撃 最高情報責任者の報告を読み解く

画像はShutterstockのライセンス許諾により使用

Coinbaseへの標的型攻撃
過去に起きた米Coinbaseへの標的型攻撃。最高情報責任者が公開した内容をセキュリティに詳しいエンジニアが読み解く。

ハッキングされた大学ドメイン経由の攻撃

Coinbaseは、ゼロデイの脆弱性を組み合わせた標的型の攻撃を受けていたとして、最高情報責任者 Philip Martin氏のブログ記事を公開した。

この件については、6月19日にtwitter で第一報を共有しており、後日詳細を開示すると伝えていたものだ。

5月30日木曜日、複数のCoinbase従業員が、ケンブリッジ大学の研究助成金管理者である Gregory Harris からの電子メールを受信しました。このメールはケンブリッジの正当なドメインから送信されたもので、悪いものは含まれておらず、スパム検出機能も通過しました。次の数週間にも、同様にメールを受信しました。何もおかしな要素はありませんでした。

6月17日午前6時31分に、Gregory Harris は別のメールを送信しましたが、これは異なるものでした。Firefoxで開いた場合に、マシンを乗っ取ることができるマルウェアをインストールする URL が含まれていました。

ブログは上記のように始まっており、5月から2週間以上にわたって注意深く攻撃を行われていたことが示唆されている。

Coinbase セキュリティチームは数時間のうちに攻撃を検出してブロック。スピアフィッシングおよびソーシャルエンジニアリングを用い、クリティカルな Firefox の2つの脆弱性を狙った、高度な標的型攻撃であったことを確認したという。

5人まで絞り込まれた標的型攻撃

攻撃者はまず、ケンブリッジ大学から 2つの電子メールアカウントを奪取し、5月28日に新規ドメインを登録した(analyticsfit[.]com)。

攻撃者が最初にケンブリッジアカウントにアクセスしたのはいつか、アカウントが乗っ取られたのか作成されたのかはわかっていない。電子メールアカウントに関連付けられたIDはオンラインでは見つかっておらず、関連付けられた LinkedInプロファイルは偽物とみられている。

そして、最初のメールが 5月30日に送信された。最初に送信されたメールはシンプルなもので、ケンブリッジ大学の Adam Smith Prizeに推薦されたことを伝えるものだった。(ブログでは、対象は 200人だったとしている)

その後、ゼロデイ攻撃を仕掛ける対象を選別し、5人に向けてマルウェアをインストールするURLを含んだメールを送った。

攻撃に用いられた脆弱性

利用された 2つのゼロデイ脆弱性は、Firefox ブラウザの問題を突くもので、それぞれ 6月19日(CVE-2019-11707)、6月20日(CVE-2019-1170)に公開されたものだ。

攻撃に利用された時点で対策が完了しておらず、かつパブリックな情報でもなかったため、未知の脆弱性、ゼロデイ脆弱性とされている。

CVE-2019–11707を報告したGoogle Project ZeroのSamuel Groß氏によれば、攻撃者は恐らく独自に分析を行って脆弱性を見つけた可能性が高い、という。

当該脆弱性は 2月に報告された CVE-2019-9810 と似たようなものであり、この考え方に基づいて類似の問題を探していて、今回の脆弱性を見つけたのだろう、と述べている。

なお、この脆弱性自体は以前から存在していたようですが、攻撃に利用できるようになったのは5月12日以降である。

実際に送出された攻撃用のコードは難読化(コードを読みにくくする加工・圧縮。分析を阻害するためのもの)されていなかったものの、コードの実装は関数が分かりやすく命名されていた上、機能ごとの分割も適切になっていた。

このことから、攻撃者の研究開発スピードは非常に早いこと、コードの開発も経験豊富なグループで実行されている可能性が高い。

2段構えの攻撃

確実にペイロードを動作させるため、攻撃は複数の段階に分かれていた。

攻撃の第1段階では、まずオペレーティングシステムとブラウザーを特定し、Firefox を使用していない macユーザーにはエラーを表示して、Mozilla から最新バージョンをインストールするよう指示していた。

ユーザーがインストールを行うと、CVE-2019–11707 および CVE-2019–11708 を使用して任意のコードが実行できる状態になり、ここでシェル(curl やダウンロードしたバイナリ)を実行した。 Coinbase は「Firefox では通常発生しない動作」としてシェルの実行を検出したという。

実際には、最初に Netwireマルウェアの亜種が動作したのち、バックドア型(Remote Access Tool)の Mokesマルウェアの亜種が動作する形になっていた。

攻撃者は Gmail などクラウドベースの情報も標的にしていたため、この挙動についても不審な動作として検出された。

その後の対応

従業員からの報告と自動アラートの両方を受けて、インシデントの調査が開始された。

Coinbase セキュリティチームは問題を調査し、攻撃者が用意したフィッシングサイトがまだ残っているうちに情報を採取してブロック。影響を受けた従業員については資格情報をはく奪の上でアカウントをロックし、封じ込めた。

さらに Firefox を手掛ける Mozilla のセキュリティチームにも攻撃に関する詳細を連絡したことで、結果として、翌日には CVE-2019-11707、週内には CVE-2019-11708 のパッチがリリースされた。

ケンブリッジ大学にも連絡を行って情報収集を行ったことにより、今回のキャンペーンが 200人以上を狙った標的型攻撃に始まっていたことが分かった。

まとめ

Coinbase の事例は、ゼロデイを用いた攻撃であったにも関わらず、不審な動作によるアラート検知、従業員の資格情報はく奪やセキュリティチームの迅速な調査が功を奏し、ほとんど被害を出すことなく収束できた好例だろう。

もちろん、従業員が報告しやすい空気や文化、インシデント発生時に参照されるプレイブック(手順書)、それらに迅速に対応できるだけの人材といった要素は欠かせない。

坪 和樹

Twitter:https://twitter.com/TSB_KZK

Linkedin:https://www.linkedin.com/in/tsubo/

プロフィール:AWSで働くエンジニア、アイルランド在住。MtGoxやThe DAOでは被害を受けたが、ブロックチェーンのセキュリティに興味を持ち続けている。セキュリティカンファレンスでの講演、OWASP Japanの運営協力やMini Hardeningといったイベント立ち上げなど、コミュニティ活動も実績あり。

CoinPost App DL
厳選・注目記事
注目・速報 市況・解説 動画解説 新着一覧
14:26
台湾、仮想通貨包括規制法が成立 ステーブルコインに認可制導入
台湾の立法院は2026年6月30日、仮想通貨サービス業者を包括的に規制する新法を可決した。交換業や保管業など7業態を定義し、ステーブルコイン発行には中央銀行の同意と金管会の許可を義務付ける。不正行為には最大10年の懲役や罰金を科す。
13:55
DAT企業ソラナ・カンパニー、カザフスタン新都市と提携 デジタル資産インフラ整備へ
米ナスダック上場のDAT企業ソラナ・カンパニーが、カザフスタンの新計画都市アラタウ市とデジタル資産・ブロックチェーン普及に関する覚書を締結した。ソラナ財団とも同時期に連携しており、同国とソラナの関係性が深まりを見せている。
13:00
ビットコイン下落、AI株安と連動 底打ち未確認=ウィンターミュート
ビットコイン(BTC)が6万ドルを割り込み、AI関連株の急落と歩調を合わせる形で下落した。マーケットメイカーのウィンターミュートが発信した週次レポートを基に、下落の背景とマクロ動向、ビットコイン保有企業ストラテジーの新方針までを解説する。
12:17
クリプタクト、Gtaxを統合 10月に仮想通貨損益計算サービス一本化へ
pafinがGtaxを子会社化し、2026年10月5日にクリプタクトへ統合・一本化すると発表。Gtaxユーザーはログイン情報・取引データをそのまま移行できる。AI連携機能の書き込み対応も同日公開。
11:50
メタマスク、利回り得られるオールインワン金融口座「マネーアカウント」立ち上げ
仮想通貨ウォレット「メタマスク」は、独自ステーブルコインmUSD預け入れで利回りを得られる新機能「マネーアカウント」を発表。各種取引や送金などもワンストップで行える。
10:45
ジーキャッシュ旧ウォレットの資金が復旧可能に、Sovrightが「Argos」ツール公開
仮想通貨ジーキャッシュ関連団体Sovrightが、2022年に保守終了した旧ウォレット「ZEC Wallet Lite」の資金を復旧できるデスクトップアプリ「Argos」を公開した。
10:30
JVCEA、任期満了で新たに役員を選任 会長はコインチェックの蓮尾氏
日本暗号資産等取引業協会は、任期満了に伴い役員を新たに選任。代表理事には、仮想通貨取引所運営のコインチェックの代表取締役会長執行役員である蓮尾氏が就く。
10:11
RLUSD、XRP上の決済額1年半で75倍 流通シェアも51%に
ドル型ステーブルコインRLUSDの、XRP上での決済額が1年半で75倍に拡大した。エバーノースが公表した分析データに基づき、循環供給シェアの逆転や取引拡大の実態、発表元の利害関係まで解説する。
08:25
米資産運用大手NYLIM、トークン化社債ファンドをローンチ
米ニューヨークライフ・インベストメント・マネジメントは、RWAトークン化プラットフォームのセントリフュージと提携。最初に提供するトークン化商品を発表した。
07:55
ナスダック株式データ、初めてオンチェーンで利用可能に
ナスダックが6月30日、パイス・データ・マーケットプレースにデータパブリッシャーとして参加すると発表。株式板の全深度を示すトータルビューのオンチェーン配信が始まり、ブロックチェーン上の金融アプリから利用できるようになる。
07:20
トランプ大統領の2025年仮想通貨収益、1950億円超と判明
トランプ米大統領が提出した2025年の資産公開文書で、仮想通貨・ミームコイン関連事業の収益が合計12億ドルを超えたことが判明した。ワールドリバティファイナンシャルが5.8億ドル超、ミームコイン事業では6.3億ドルを稼いだとしている。
06:45
セキュリタイズのSPAC合併、株主承認で7月2日にNYSE上場へ
RWAトークン化インフラ企業セキュリタイズは30日、SPAC「カンター・エクイティ・パートナーズII」との合併について株主承認を取得した。7月1日のクローズを経て、7月2日よりNYSEに上場する予定だ。
06:20
米SECが新興ETF規制を見直しへ、仮想通貨や予測市場ETFが対象
米SECは30日、仮想通貨・予測市場などに連動する「新興ETF」の規制枠組みについてパブリックコメントを募集した。アトキンズ委員長のもとで急拡大したETF市場の制度整備が本格化。
06:02
シャープリンク、8ヶ月ぶりにイーサリアム購入
米ナスダック上場のシャープリンクが10,000ETHのイーサリアムを追加取得し、総保有量は886,725ETHとなった。7,500万ドルの資金調達完了後の初の購入で、自社株買いも同時実施した。
05:40
ビザやブラックロックなど140社超、新ステーブルコインOUSD立ち上げ
決済向けステーブルコインを手がけるオープン・スタンダードが30日、OUSD(オープンUSD)を発表した。ビザやブラックロック、コインベースなど140社超が参加し、準備金収益の大半をパートナーに還元する。
今から始める仮想通貨特集
通貨データ
重要指標
一覧
新着指標
一覧