WebX完全ガイド
TOP 新着一覧 取引所 WebX
CoinPostで今最も読まれています

仮想通貨取引所Coinbaseを襲った過去の標的型攻撃 最高情報責任者の報告を読み解く

画像はShutterstockのライセンス許諾により使用

Coinbaseへの標的型攻撃
過去に起きた米Coinbaseへの標的型攻撃。最高情報責任者が公開した内容をセキュリティに詳しいエンジニアが読み解く。

ハッキングされた大学ドメイン経由の攻撃

Coinbaseは、ゼロデイの脆弱性を組み合わせた標的型の攻撃を受けていたとして、最高情報責任者 Philip Martin氏のブログ記事を公開した。

この件については、6月19日にtwitter で第一報を共有しており、後日詳細を開示すると伝えていたものだ。

5月30日木曜日、複数のCoinbase従業員が、ケンブリッジ大学の研究助成金管理者である Gregory Harris からの電子メールを受信しました。このメールはケンブリッジの正当なドメインから送信されたもので、悪いものは含まれておらず、スパム検出機能も通過しました。次の数週間にも、同様にメールを受信しました。何もおかしな要素はありませんでした。

6月17日午前6時31分に、Gregory Harris は別のメールを送信しましたが、これは異なるものでした。Firefoxで開いた場合に、マシンを乗っ取ることができるマルウェアをインストールする URL が含まれていました。

ブログは上記のように始まっており、5月から2週間以上にわたって注意深く攻撃を行われていたことが示唆されている。

Coinbase セキュリティチームは数時間のうちに攻撃を検出してブロック。スピアフィッシングおよびソーシャルエンジニアリングを用い、クリティカルな Firefox の2つの脆弱性を狙った、高度な標的型攻撃であったことを確認したという。

5人まで絞り込まれた標的型攻撃

攻撃者はまず、ケンブリッジ大学から 2つの電子メールアカウントを奪取し、5月28日に新規ドメインを登録した(analyticsfit[.]com)。

攻撃者が最初にケンブリッジアカウントにアクセスしたのはいつか、アカウントが乗っ取られたのか作成されたのかはわかっていない。電子メールアカウントに関連付けられたIDはオンラインでは見つかっておらず、関連付けられた LinkedInプロファイルは偽物とみられている。

そして、最初のメールが 5月30日に送信された。最初に送信されたメールはシンプルなもので、ケンブリッジ大学の Adam Smith Prizeに推薦されたことを伝えるものだった。(ブログでは、対象は 200人だったとしている)

その後、ゼロデイ攻撃を仕掛ける対象を選別し、5人に向けてマルウェアをインストールするURLを含んだメールを送った。

攻撃に用いられた脆弱性

利用された 2つのゼロデイ脆弱性は、Firefox ブラウザの問題を突くもので、それぞれ 6月19日(CVE-2019-11707)、6月20日(CVE-2019-1170)に公開されたものだ。

攻撃に利用された時点で対策が完了しておらず、かつパブリックな情報でもなかったため、未知の脆弱性、ゼロデイ脆弱性とされている。

CVE-2019–11707を報告したGoogle Project ZeroのSamuel Groß氏によれば、攻撃者は恐らく独自に分析を行って脆弱性を見つけた可能性が高い、という。

当該脆弱性は 2月に報告された CVE-2019-9810 と似たようなものであり、この考え方に基づいて類似の問題を探していて、今回の脆弱性を見つけたのだろう、と述べている。

なお、この脆弱性自体は以前から存在していたようですが、攻撃に利用できるようになったのは5月12日以降である。

実際に送出された攻撃用のコードは難読化(コードを読みにくくする加工・圧縮。分析を阻害するためのもの)されていなかったものの、コードの実装は関数が分かりやすく命名されていた上、機能ごとの分割も適切になっていた。

このことから、攻撃者の研究開発スピードは非常に早いこと、コードの開発も経験豊富なグループで実行されている可能性が高い。

2段構えの攻撃

確実にペイロードを動作させるため、攻撃は複数の段階に分かれていた。

攻撃の第1段階では、まずオペレーティングシステムとブラウザーを特定し、Firefox を使用していない macユーザーにはエラーを表示して、Mozilla から最新バージョンをインストールするよう指示していた。

ユーザーがインストールを行うと、CVE-2019–11707 および CVE-2019–11708 を使用して任意のコードが実行できる状態になり、ここでシェル(curl やダウンロードしたバイナリ)を実行した。 Coinbase は「Firefox では通常発生しない動作」としてシェルの実行を検出したという。

実際には、最初に Netwireマルウェアの亜種が動作したのち、バックドア型(Remote Access Tool)の Mokesマルウェアの亜種が動作する形になっていた。

攻撃者は Gmail などクラウドベースの情報も標的にしていたため、この挙動についても不審な動作として検出された。

その後の対応

従業員からの報告と自動アラートの両方を受けて、インシデントの調査が開始された。

Coinbase セキュリティチームは問題を調査し、攻撃者が用意したフィッシングサイトがまだ残っているうちに情報を採取してブロック。影響を受けた従業員については資格情報をはく奪の上でアカウントをロックし、封じ込めた。

さらに Firefox を手掛ける Mozilla のセキュリティチームにも攻撃に関する詳細を連絡したことで、結果として、翌日には CVE-2019-11707、週内には CVE-2019-11708 のパッチがリリースされた。

ケンブリッジ大学にも連絡を行って情報収集を行ったことにより、今回のキャンペーンが 200人以上を狙った標的型攻撃に始まっていたことが分かった。

まとめ

Coinbase の事例は、ゼロデイを用いた攻撃であったにも関わらず、不審な動作によるアラート検知、従業員の資格情報はく奪やセキュリティチームの迅速な調査が功を奏し、ほとんど被害を出すことなく収束できた好例だろう。

もちろん、従業員が報告しやすい空気や文化、インシデント発生時に参照されるプレイブック(手順書)、それらに迅速に対応できるだけの人材といった要素は欠かせない。

坪 和樹

Twitter:https://twitter.com/TSB_KZK

Linkedin:https://www.linkedin.com/in/tsubo/

プロフィール:AWSで働くエンジニア、アイルランド在住。MtGoxやThe DAOでは被害を受けたが、ブロックチェーンのセキュリティに興味を持ち続けている。セキュリティカンファレンスでの講演、OWASP Japanの運営協力やMini Hardeningといったイベント立ち上げなど、コミュニティ活動も実績あり。

CoinPost App DL
厳選・注目記事
注目・速報 市況・解説 動画解説 新着一覧
07/18 土曜日
08:45
クラリティー法、「電気通信法以来最重要の技術立法」 元下院委員長が主張
元下院金融サービス委員長のマクヘンリー氏が16日、フォーチュン誌への寄稿でクラリティー法の成立を訴えた。一方、予測市場での成立確率は32%と過去最低水準に低下しており、倫理条項と8月休会が最大の壁となっている。
07:25
FTX、7月31日に1460億円相当の5回目弁済を実施へ
破綻した仮想通貨取引所FTXは、連邦破産法第11条の再建計画に基づく5回目の債権者分配を7月31日に開始すると発表した。総額約9億ドルをビットゴー、クラーケン、ペイオニアを通じて支払う予定。
06:20
米クラリティー法案の年内成立確率、予測市場で過去最低の32%に
クラリティー法の成立確率が予測市場ポリマーケットで過去最低の30%台に低下した。米下院議員は来週の上院可決に楽観的な見方を示したが、倫理条項の合意不成立と8月7日の夏季休会が依然として最大の障壁となっている。
05:50
ウォーレン議員、トランプ大統領に仮想通貨収益の最新開示を要求
ウォーレン米上院議員がトランプ大統領に対し、2026年前半の仮想通貨収益を含む最新資産開示を7月23日までに自発的に公開するよう要求した。上院でクラリティー法案が審議される中、大統領一家の利益相反への懸念が強まっている。
05:00
SBIホールディングス、シンガポールのCoinhakoを連結子会社化
SBIホールディングスは7月16日付で、シンガポールの仮想通貨取引プラットフォーム『Coinhako』の過半数株式を取得し連結子会社化した。シンガポール金融管理局の承認を経て完了し、日本と東南アジアをつなぐデジタル資産回廊の構築を目指す。
07/17 金曜日
17:04
ビットコイン長期保有者、37万BTC買い増しで保有量最高=アナリスト
ビットコインの長期保有者が過去30日間で約37万BTCを買い増し、保有量は過去最高の1634万BTCに達した。一方でコインの活動量を示すCDDは低水準にとどまり、需要不足が価格の重荷になっているとオンチェーン分析は指摘する。
16:30
XRP、レバレッジ比率0.16に低下 24年11月以来=アナリスト
CryptoQuantのアナリストDarkfost氏は、XRPのバイナンスにおけるレバレッジ比率が0.16まで低下し、2024年11月以来の低水準にあると指摘。同氏は当時、整理後に8.9倍の上昇が続いた経緯があると分析した。
16:21
Bitcoin Japan、約97億円調達 初のBTC購入へ6.6億円充当方針
Bitcoin Japan(旧堀田丸正)は7月16日、EVO FUNDを割当先とするCBと新株予約権の発行を決議した。差引手取概算額は約96億5,700万円。未公開株やレアアース鉱山投資に加え、ビットコインへの選別的投資にも充当する計画だ。
15:00
豪州、仮想通貨譲渡益の50%控除廃止へ 27年7月施行=報道
オーストラリアが仮想通貨などの譲渡益課税制度を抜本改革する。保有12ヶ月超で適用の50%控除を廃止し、物価連動のコストベース調整と最低30%課税を新たに導入する。施行は2027年7月、経過措置と投資家が今取るべき対応を解説する。
15:00
バイナンスジャパン新代表が語る、金融インフラへの成長戦略|WebX2026
WebX2026「Binance Keynote」レポート。新たにバイナンスジャパン代表取締役に就任した豊崎亜里紗氏が、PayPayとの協業や暗号資産が金融インフラになる未来、金商法移行・ビットコインETFがもたらす転換期を語った。
13:55
ビザ、AIエージェント決済の未来像を提示 カード決済との融合を目指す
決済大手ビザが「エージェント決済」に関する分析レポートを公開した。AI同士が行う超少額決済「マイクロコマース」について、カード決済の競合ではなく、新たなビジネス領域の拡張として注目している。
13:10
トランプ米大統領のテレプロンプター担当者、予測市場でインサイダー取引か=報道
米トランプ大統領のテレプロンプター操作者が、予測市場カルシで演説情報に基づく取引を行った疑いが浮上。カルシが不審な取引を検出しCFTCに通報したと伝えられる。
12:40
量子は脅威か、誇大広告か — 暗号資産業界の本音|WebX2026
量子コンピュータはビットコインやイーサリアムにとって本当に脅威なのか。WebX 2026で量子研究とブロックチェーンの専門家3人が、リスクの実態・最悪シナリオ・各チェーンの対応策を徹底議論した。
11:00
予測市場と日本市場の未来、Limitless CEOが語る制度設計|WebX2026
予測市場プラットフォーム「Limitless」CEO CJ Hetherington氏が、WebX2026で創業の経緯・米CFTC審査・日本市場戦略・ギャンブルとの違いを語った。
10:20
クリプトドットコム、シタデルから約650億円を資金調達
仮想通貨取引所クリプトドットコムは、シタデル・セキュリティーズから約650億円の出資を受けたことを発表。評価額や今後の計画について説明した。
今から始める仮想通貨特集
通貨データ
重要指標
一覧
新着指標
一覧