はじめての仮想通貨
TOP 新着一覧 チャート 学習-運用
CoinPostで今最も読まれています

仮想通貨取引所Coinbaseを襲った過去の標的型攻撃 最高情報責任者の報告を読み解く

画像はShutterstockのライセンス許諾により使用

Coinbaseへの標的型攻撃
過去に起きた米Coinbaseへの標的型攻撃。最高情報責任者が公開した内容をセキュリティに詳しいエンジニアが読み解く。

ハッキングされた大学ドメイン経由の攻撃

Coinbaseは、ゼロデイの脆弱性を組み合わせた標的型の攻撃を受けていたとして、最高情報責任者 Philip Martin氏のブログ記事を公開した。

この件については、6月19日にtwitter で第一報を共有しており、後日詳細を開示すると伝えていたものだ。

5月30日木曜日、複数のCoinbase従業員が、ケンブリッジ大学の研究助成金管理者である Gregory Harris からの電子メールを受信しました。このメールはケンブリッジの正当なドメインから送信されたもので、悪いものは含まれておらず、スパム検出機能も通過しました。次の数週間にも、同様にメールを受信しました。何もおかしな要素はありませんでした。

6月17日午前6時31分に、Gregory Harris は別のメールを送信しましたが、これは異なるものでした。Firefoxで開いた場合に、マシンを乗っ取ることができるマルウェアをインストールする URL が含まれていました。

ブログは上記のように始まっており、5月から2週間以上にわたって注意深く攻撃を行われていたことが示唆されている。

Coinbase セキュリティチームは数時間のうちに攻撃を検出してブロック。スピアフィッシングおよびソーシャルエンジニアリングを用い、クリティカルな Firefox の2つの脆弱性を狙った、高度な標的型攻撃であったことを確認したという。

5人まで絞り込まれた標的型攻撃

攻撃者はまず、ケンブリッジ大学から 2つの電子メールアカウントを奪取し、5月28日に新規ドメインを登録した(analyticsfit[.]com)。

攻撃者が最初にケンブリッジアカウントにアクセスしたのはいつか、アカウントが乗っ取られたのか作成されたのかはわかっていない。電子メールアカウントに関連付けられたIDはオンラインでは見つかっておらず、関連付けられた LinkedInプロファイルは偽物とみられている。

そして、最初のメールが 5月30日に送信された。最初に送信されたメールはシンプルなもので、ケンブリッジ大学の Adam Smith Prizeに推薦されたことを伝えるものだった。(ブログでは、対象は 200人だったとしている)

その後、ゼロデイ攻撃を仕掛ける対象を選別し、5人に向けてマルウェアをインストールするURLを含んだメールを送った。

攻撃に用いられた脆弱性

利用された 2つのゼロデイ脆弱性は、Firefox ブラウザの問題を突くもので、それぞれ 6月19日(CVE-2019-11707)、6月20日(CVE-2019-1170)に公開されたものだ。

攻撃に利用された時点で対策が完了しておらず、かつパブリックな情報でもなかったため、未知の脆弱性、ゼロデイ脆弱性とされている。

CVE-2019–11707を報告したGoogle Project ZeroのSamuel Groß氏によれば、攻撃者は恐らく独自に分析を行って脆弱性を見つけた可能性が高い、という。

当該脆弱性は 2月に報告された CVE-2019-9810 と似たようなものであり、この考え方に基づいて類似の問題を探していて、今回の脆弱性を見つけたのだろう、と述べている。

なお、この脆弱性自体は以前から存在していたようですが、攻撃に利用できるようになったのは5月12日以降である。

実際に送出された攻撃用のコードは難読化(コードを読みにくくする加工・圧縮。分析を阻害するためのもの)されていなかったものの、コードの実装は関数が分かりやすく命名されていた上、機能ごとの分割も適切になっていた。

このことから、攻撃者の研究開発スピードは非常に早いこと、コードの開発も経験豊富なグループで実行されている可能性が高い。

2段構えの攻撃

確実にペイロードを動作させるため、攻撃は複数の段階に分かれていた。

攻撃の第1段階では、まずオペレーティングシステムとブラウザーを特定し、Firefox を使用していない macユーザーにはエラーを表示して、Mozilla から最新バージョンをインストールするよう指示していた。

ユーザーがインストールを行うと、CVE-2019–11707 および CVE-2019–11708 を使用して任意のコードが実行できる状態になり、ここでシェル(curl やダウンロードしたバイナリ)を実行した。 Coinbase は「Firefox では通常発生しない動作」としてシェルの実行を検出したという。

実際には、最初に Netwireマルウェアの亜種が動作したのち、バックドア型(Remote Access Tool)の Mokesマルウェアの亜種が動作する形になっていた。

攻撃者は Gmail などクラウドベースの情報も標的にしていたため、この挙動についても不審な動作として検出された。

その後の対応

従業員からの報告と自動アラートの両方を受けて、インシデントの調査が開始された。

Coinbase セキュリティチームは問題を調査し、攻撃者が用意したフィッシングサイトがまだ残っているうちに情報を採取してブロック。影響を受けた従業員については資格情報をはく奪の上でアカウントをロックし、封じ込めた。

さらに Firefox を手掛ける Mozilla のセキュリティチームにも攻撃に関する詳細を連絡したことで、結果として、翌日には CVE-2019-11707、週内には CVE-2019-11708 のパッチがリリースされた。

ケンブリッジ大学にも連絡を行って情報収集を行ったことにより、今回のキャンペーンが 200人以上を狙った標的型攻撃に始まっていたことが分かった。

まとめ

Coinbase の事例は、ゼロデイを用いた攻撃であったにも関わらず、不審な動作によるアラート検知、従業員の資格情報はく奪やセキュリティチームの迅速な調査が功を奏し、ほとんど被害を出すことなく収束できた好例だろう。

もちろん、従業員が報告しやすい空気や文化、インシデント発生時に参照されるプレイブック(手順書)、それらに迅速に対応できるだけの人材といった要素は欠かせない。

坪 和樹

Twitter:https://twitter.com/TSB_KZK

Linkedin:https://www.linkedin.com/in/tsubo/

プロフィール:AWSで働くエンジニア、アイルランド在住。MtGoxやThe DAOでは被害を受けたが、ブロックチェーンのセキュリティに興味を持ち続けている。セキュリティカンファレンスでの講演、OWASP Japanの運営協力やMini Hardeningといったイベント立ち上げなど、コミュニティ活動も実績あり。

CoinPost App DL
厳選・注目記事
注目・速報 市況・解説 動画解説 新着一覧
07/02 水曜日
07:55
NYSE上場DDCが760億円調達完了、ビットコイン準備金戦略を本格始動
アジア食品ブランド運営のDDC EnterpriseがNYSE上場企業として最大規模の仮想通貨専用資金調達を実施。Anson Fundsらから総額5億2800万ドルでビットコイン準備金構築へ。
07:25
XRP戦略推進へ、ナスダック上場のWebusが1億ドル調達合意
ナスダック上場のWebusがリップル・ストラテジー・ホールディングスと1億ドルの資金調達契約を締結。仮想通貨XRPを活用した事業戦略推進により株価が日中130%上昇も最終的には8%反落。
07:15
「ビットコインが25年に20万ドルへ到達するとの予測は維持」Bitwise
仮想通貨運用企業Bitwiseは、2025年の10の予測に対する中間評価を公開。ビットコインが20万ドルに到達するとの予測は維持することなどを記載した。
06:50
ストラテジーのビットコイン循環戦略、NAV超プレミアムを正当化か=TD Cowen分析
ストラテジーの株価は純資産価値(NAV)を大きく上回って推移。継続的な株式発行が1株あたりのBTC保有を押し上げる構造が、投資家の注目を集めている。アナリストはその持続性とリスクに着目している。
06:12
ビットコイン利確が加速 第3四半期は過去最弱の季節性=アナリスト分析
仮想通貨ビットコインの利確が進む一方、市場は方向感に欠ける展開。第3四半期は過去最弱の季節性もあり、アナリストは地政学リスクや米金融政策の不透明感に警戒を示している。
05:50
トランプ大統領の「大きく美しい法案」上院可決も、仮想通貨少額免税案は見送り
トランプ政権が推進する大型予算法案に、仮想通貨の少額免税や報酬課税見直しの修正案は含まれず。ルミス上院議員は今後の再提出を示唆し、業界団体もロビー活動を継続する構え。
05:37
米SEC、ビットコインやXRPに投資するグレースケールの仮想通貨ファンドETF化を承認
米証券取引委員会(SEC)は、グレースケールのバスケット型ファンドのETF転換を加速承認。構成資産の約8割をビットコインが占めており、今後の仮想通貨ETF全体に追い風となる可能性も。
07/01 火曜日
16:00
UXLINKが実現目指すWeb3の大衆化、CEOが語る成長戦略|WebXスポンサーインタビュー
5500万人のユーザーを擁するWeb3成長支援プラットフォーム「UXLINK」。WebX 2025への参加を控え、同社CEOが日本市場への期待を述べた。
14:49
日本初の仮想通貨建てクレジットカード「Slash Card」が登場 β版の事前登録開始へ
日本初の暗号資産建てクレジットカード「Slash Card」がβ版の事前登録を開始する。米ドル連動型ステーブルコインUSDC担保サービスで物理・バーチャル両対応。ソラナやイーサリアムなどマルチチェーン互換性とトークン還元リワードを特徴とし、Web3技術を現実世界の決済に橋渡しする。
13:30
ビットコイン需要減少で市場脆弱性指摘、イーサリアム大口投資家は巨額含み損で売却継続=アナリスト
Cryptoquant分析によると、ビットコインのオンチェーン需要指標がマイナス転換し短期調整リスクが高まる。一方でETH大口投資家は3週間で9万5313ETHを償還、4260万ドルの含み損を抱える状況。
13:05
トランプ家支援のAmerican Bitcoin、約320億円調達でビットコイン購入とマイニング機器導入へ
エリックとトランプ・ジュニア氏が支援するビットコインマイニング企業American Bitcoinが2億2000万ドルを調達。ビットコイン購入とマイニング機器導入に充当予定。
12:00
金融庁、ステーブルコイン健全発展のための報告書を公表 不正リスクや今後の課題を分析
金融庁が仮想通貨ステーブルコインの健全な発展に向けた報告書を公表した。不正利用の実態と今後の規制課題を分析調査する内容だ。
11:05
取引所BybitとKraken、ソラナ基盤トークン化株式「xStocks」を190カ国で提供開始
世界第2位の仮想通貨取引所BybitがBacked社のトークン化株式サービス「xStocks」を取り扱う。Apple、Amazon、Microsoft等60銘柄超をソラナブロックチェーン上で24時間365日取引可能に。
10:40
トランプ氏関連のミームコイン「TRUMP」、口座開設キャンペーンで配布へ
ドナルド・トランプ氏が公認とされるミームコイン「TRUMP」がもらえるキャンペーンがBITPOINTで7月末まで開催中。特典内容や条件を詳しく解説します。
10:20
国内Web3関連企業BACKSEAT、組み込み型Web3体験でブロックチェーン社会実装目指す
BACKSEAT株式会社が第三者割当増資により累計14億円の資金調達を完了。Spiral CapitalとHeadline Asiaが共同リード投資家として参画し、組み込み型Web3体験の実現に向けサービスローンチを本格化。

通貨データ

グローバル情報
一覧
プロジェクト
アナウンス
上場/ペア
重要指標
一覧
新着指標
一覧