WebX完全ガイド
TOP 新着一覧 取引所 WebX
CoinPostで今最も読まれています

仮想通貨取引所Coinbaseを襲った過去の標的型攻撃 最高情報責任者の報告を読み解く

画像はShutterstockのライセンス許諾により使用

Coinbaseへの標的型攻撃
過去に起きた米Coinbaseへの標的型攻撃。最高情報責任者が公開した内容をセキュリティに詳しいエンジニアが読み解く。

ハッキングされた大学ドメイン経由の攻撃

Coinbaseは、ゼロデイの脆弱性を組み合わせた標的型の攻撃を受けていたとして、最高情報責任者 Philip Martin氏のブログ記事を公開した。

この件については、6月19日にtwitter で第一報を共有しており、後日詳細を開示すると伝えていたものだ。

5月30日木曜日、複数のCoinbase従業員が、ケンブリッジ大学の研究助成金管理者である Gregory Harris からの電子メールを受信しました。このメールはケンブリッジの正当なドメインから送信されたもので、悪いものは含まれておらず、スパム検出機能も通過しました。次の数週間にも、同様にメールを受信しました。何もおかしな要素はありませんでした。

6月17日午前6時31分に、Gregory Harris は別のメールを送信しましたが、これは異なるものでした。Firefoxで開いた場合に、マシンを乗っ取ることができるマルウェアをインストールする URL が含まれていました。

ブログは上記のように始まっており、5月から2週間以上にわたって注意深く攻撃を行われていたことが示唆されている。

Coinbase セキュリティチームは数時間のうちに攻撃を検出してブロック。スピアフィッシングおよびソーシャルエンジニアリングを用い、クリティカルな Firefox の2つの脆弱性を狙った、高度な標的型攻撃であったことを確認したという。

5人まで絞り込まれた標的型攻撃

攻撃者はまず、ケンブリッジ大学から 2つの電子メールアカウントを奪取し、5月28日に新規ドメインを登録した(analyticsfit[.]com)。

攻撃者が最初にケンブリッジアカウントにアクセスしたのはいつか、アカウントが乗っ取られたのか作成されたのかはわかっていない。電子メールアカウントに関連付けられたIDはオンラインでは見つかっておらず、関連付けられた LinkedInプロファイルは偽物とみられている。

そして、最初のメールが 5月30日に送信された。最初に送信されたメールはシンプルなもので、ケンブリッジ大学の Adam Smith Prizeに推薦されたことを伝えるものだった。(ブログでは、対象は 200人だったとしている)

その後、ゼロデイ攻撃を仕掛ける対象を選別し、5人に向けてマルウェアをインストールするURLを含んだメールを送った。

攻撃に用いられた脆弱性

利用された 2つのゼロデイ脆弱性は、Firefox ブラウザの問題を突くもので、それぞれ 6月19日(CVE-2019-11707)、6月20日(CVE-2019-1170)に公開されたものだ。

攻撃に利用された時点で対策が完了しておらず、かつパブリックな情報でもなかったため、未知の脆弱性、ゼロデイ脆弱性とされている。

CVE-2019–11707を報告したGoogle Project ZeroのSamuel Groß氏によれば、攻撃者は恐らく独自に分析を行って脆弱性を見つけた可能性が高い、という。

当該脆弱性は 2月に報告された CVE-2019-9810 と似たようなものであり、この考え方に基づいて類似の問題を探していて、今回の脆弱性を見つけたのだろう、と述べている。

なお、この脆弱性自体は以前から存在していたようですが、攻撃に利用できるようになったのは5月12日以降である。

実際に送出された攻撃用のコードは難読化(コードを読みにくくする加工・圧縮。分析を阻害するためのもの)されていなかったものの、コードの実装は関数が分かりやすく命名されていた上、機能ごとの分割も適切になっていた。

このことから、攻撃者の研究開発スピードは非常に早いこと、コードの開発も経験豊富なグループで実行されている可能性が高い。

2段構えの攻撃

確実にペイロードを動作させるため、攻撃は複数の段階に分かれていた。

攻撃の第1段階では、まずオペレーティングシステムとブラウザーを特定し、Firefox を使用していない macユーザーにはエラーを表示して、Mozilla から最新バージョンをインストールするよう指示していた。

ユーザーがインストールを行うと、CVE-2019–11707 および CVE-2019–11708 を使用して任意のコードが実行できる状態になり、ここでシェル(curl やダウンロードしたバイナリ)を実行した。 Coinbase は「Firefox では通常発生しない動作」としてシェルの実行を検出したという。

実際には、最初に Netwireマルウェアの亜種が動作したのち、バックドア型(Remote Access Tool)の Mokesマルウェアの亜種が動作する形になっていた。

攻撃者は Gmail などクラウドベースの情報も標的にしていたため、この挙動についても不審な動作として検出された。

その後の対応

従業員からの報告と自動アラートの両方を受けて、インシデントの調査が開始された。

Coinbase セキュリティチームは問題を調査し、攻撃者が用意したフィッシングサイトがまだ残っているうちに情報を採取してブロック。影響を受けた従業員については資格情報をはく奪の上でアカウントをロックし、封じ込めた。

さらに Firefox を手掛ける Mozilla のセキュリティチームにも攻撃に関する詳細を連絡したことで、結果として、翌日には CVE-2019-11707、週内には CVE-2019-11708 のパッチがリリースされた。

ケンブリッジ大学にも連絡を行って情報収集を行ったことにより、今回のキャンペーンが 200人以上を狙った標的型攻撃に始まっていたことが分かった。

まとめ

Coinbase の事例は、ゼロデイを用いた攻撃であったにも関わらず、不審な動作によるアラート検知、従業員の資格情報はく奪やセキュリティチームの迅速な調査が功を奏し、ほとんど被害を出すことなく収束できた好例だろう。

もちろん、従業員が報告しやすい空気や文化、インシデント発生時に参照されるプレイブック(手順書)、それらに迅速に対応できるだけの人材といった要素は欠かせない。

坪 和樹

Twitter:https://twitter.com/TSB_KZK

Linkedin:https://www.linkedin.com/in/tsubo/

プロフィール:AWSで働くエンジニア、アイルランド在住。MtGoxやThe DAOでは被害を受けたが、ブロックチェーンのセキュリティに興味を持ち続けている。セキュリティカンファレンスでの講演、OWASP Japanの運営協力やMini Hardeningといったイベント立ち上げなど、コミュニティ活動も実績あり。

CoinPost App DL
厳選・注目記事
注目・速報 市況・解説 動画解説 新着一覧
07/02 木曜日
14:37
Kウェーブ・メディア、ビットコイン保有ゼロに 1万BTC目標から転換
Kウェーブ・メディアが保有する全ビットコインを売却し、財務戦略を一時停止した。2025年に掲げた1万BTC取得目標は達成前に撤回され、AIインフラ事業へ軸足を移す。売却の経緯をSEC提出書類をもとに整理する。
13:55
MiCA全面施行、EUでポーランドのみ未対応 仮想通貨企業2000社が認可なしで窮地に
2026年7月1日のMiCA全面施行に伴い、ポーランドのみが国内法制化に至らず、規制の空白状態となっている。同国内約2,000社の仮想通貨事業者は自国でのCASP認可取得手段を失い、他国でのライセンス取得か事業撤退の選択を迫られている。
13:05
仮想通貨ハッキング被害額、6月は120億円で前月比7%減少 ヒューマニティプロトコルが最大
ペックシールドの報告によると、6月の仮想通貨ハッキング被害は40件・約7,590万ドルで前月比7%減となった。最大被害はヒューマニティプロトコルからの流出だ。
11:48
仮想通貨大手306億円相当の中間選挙献金、米政治団体で首位に
仮想通貨業界が2026年米中間選挙の政治献金で総額1億8900万ドルに達し、全業種で最大の献金主体になったと米パブリック・シチズンが報告。リップル・コインベース・クリプトコムが主導し、AI業界も同様の手法で追随している。
11:00
サークルCEOがOUSDの優位性主張に反論、有識者「DAOと同じ末路」と懸念
140社超が支援するOUSDの登場を受け、ステーブルコイン大手サークルのCEOがコンソーシアム型モデルの限界を公開反論。米系証券各社はUSDCの競争優位が維持されるとの見方を示した。
10:42
スクウェア・エニックス、脱炭素アプリにブロックチェーン採用
スクウェア・エニックスとENECHANGEが脱炭素アクションを促す新アプリを共同開発。ミッション達成でポイントを得るゲーム設計とし、データ管理にはブロックチェーン「Oasys」を採用する。サービス開始は2026年内を予定。
09:48
イーサリアム財団、政府・機関向けガイド公開 中立性を強調
イーサリアム財団が政府・機関向けに、中立なインフラとしてのイーサリアムを解説する報告書を公開。稼働実績や経済的セキュリティなどOpenZeppelinの客観的指標をもとに他ブロックチェーンとの違いを示している。
09:45
ビットコイン、買い集め広がるもリスク残存 底打ちの確証なし=グラスノード
グラスノードが仮想通貨市場週間レポートを発表。ビットコイン下落局面でも買い集める層が広がる一方、ETF資金流出やレバレッジロング積み上がりなど不安要素も残ると分析した。
09:15
トルコ大手取引所がハイパーリキッドとポリマーケットを統合、規制取引所として初事例
トルコの大手仮想通貨取引所パリブが1日、ハイパーリキッドの無期限先物とポリマーケットの予測市場をアプリ内に統合した。規制済み取引所として世界初の事例とされ、NYSE・ナスダック株の取引ウェイトリストも開設した。
08:25
イーサリアムに新たな独立組織が誕生、機関向けの採用を促進へ
仮想通貨イーサリアムでイーサリアム・インスティテューショナルという独立組織が新たに誕生。L2を含めたイーサリアムのエコシステム全体の機関・企業への普及を加速させる。
07:35
スタンダードチャータード、DeFi拡大でモルフォに強気見通し
スタンダードチャータードはDeFi貸し借りプロトコルのモルフォ(Morpho)の分析カバレッジを開始、2030年末の目標価格を60ドルに設定した。ビットコインとイーサリアムを上回るリターンを見込み、DeFi資産の37倍拡大を原動力とする。
06:55
ロビンフッドチェーン正式公開、トークン化株式を120カ国超に提供
ロビンフッドが独自L2チェーン「ロビンフッドチェーン」のメインネットを正式公開。チェーンリンクをオラクルに採用し、NVDAやAAPL等のトークン化株を120カ国超のユーザーに提供。
06:20
ソラナ版予測市場『ワールド』がリリース、ファントムウォレットと統合
ソラナネイティブの予測市場プラットフォーム「ワールド」が7月1日に正式公開。ファントムウォレットに統合され、ビットコイン価格予測や2026年FIFAワールドカップの試合結果を予測取引できる。
05:55
米クラリティー法案の倫理条項、トランプ大統領の仮想通貨収益報告を受け民主党が明記要求
米クラリティー法案の倫理条項を巡り民主・共和両党の交渉が続く中、トランプ大統領の10億ドル超仮想通貨収益の資産報告を受け、民主党は法案への倫理条項明記を強く求めている。
05:00
バイナンス、英国で集団訴訟 約1700人が320億円超請求
英国の1,692人の投資家がバイナンスとCZ氏を相手取り、ロンドン高等裁判所に集団訴訟を起こした。無認可の仮想通貨デリバティブ販売が英国金融サービス・市場法に違反するとして、1億5,000万ポンド超の損害賠償を求めている。
今から始める仮想通貨特集
通貨データ
重要指標
一覧
新着指標
一覧