Bitfinex幹部が語る、最も警戒すべき手口
今月発生したツイッター乗っ取り事件について、コインポストは仮想通貨取引所BitfinexのPaolo Ardoino最高技術責任者(CTO)にインタビューを実施。その中で、CTOは現在仮想通貨ユーザーが最も警戒すべき攻撃について指摘した。
ツイッター乗っ取り事件の経緯
事件は、米国時間15日に著名アカウントが次々乗っ取られ、ビットコイン送金詐欺のために操られたもの。アップル社、米元大統領オバマ、イーロン・マスク、先日出馬を発表したカニエ・ウェストまで幅広い著名人や、仮想通貨取引所を含む企業の公式アカウントがハッキングされた。
犯人は、「このアドレスにビットコイン送金すれば、倍にして返す」などという趣旨のツイートを、乗っ取ったアカウントで投稿。送金を防ぐ目的で、大手仮想通貨取引所は次々に該当アドレスからの送金をブロックしたものの、最終的に1200万円相当の被害が発生したことが判明している。
関連:ツイッター乗っ取り事件、FBIが捜査開始 ビットコイン詐欺の被害額とBTCの行方は
SNSから始まるAPI抽出攻撃
本事件では、Bitfinexもアカウントハッキングの被害を受けていたが、早期にハッカーの投稿を削除し、ユーザーの安全を確保していた。
インタビューで同取引所CTOは、「2020年の現時点で、仮想通貨・ブロックチェーンのセキュリティについて最も懸念される事項は?」という質問に対し、「API(アプリケーション・プログラミング・インターフェイス)抽出攻撃」が該当すると説明した。
仮想通貨取引所が公開しているAPIを利用することで、自動売買を行ったり、資金引き出しリクエストを行うことなどが可能となるため、不用意にAPIキーを第三者に教えることは、大きなリスクとなり得る。
デジタルアセット領域での脅威の1つは、API抽出攻撃だ。これらの攻撃は、犯罪者が「取引コンサルタント」を装い、SNSを使ってトレーダーに働きかけることから始まる。こうした詐欺師は、ユーザーがより高い取引収益を得るためにサポートするとして被害者を騙し、取引口座のAPI資格情報を聞き出そうとする。
CTOによると、APIキーを入手した詐欺師は、同じ取引プラットフォームに設置してある自分のアカウントを使用して、被害者のアカウントを相手とした取引を行う。被害者のアカウントを操作して売り注文を行い、自分のアカウントに同額の買い注文を出す。
それから買い取った仮想通貨を再度、高値で被害者のアカウントに向けて売却、こうして被害者のアカウントから資金を搾取する手口であるという。
こうした詐欺師は、人を騙したり説得するのが非常に巧い。私たちは、こうした詐欺の手口についての情報をユーザーに知らせ、意識させることが重要だと考えている。ユーザーの目が肥え、このような攻撃の次の犠牲者にならないためにも。また、このような脅威を検知して報告できるユーザーを増やすことで、より広いコミュニティの安全を確保することもできる。
金銭的リターンのオファーには警戒を
APIは手動で取引を行う手間を省けるなど便利なものではあるが、認証情報を身元が不確かな第三者に教えることは危険だ。
また他にも注意すべき点として、BitfinexのCTOは、金銭的な見返りがあるとの宣伝につられて、仮想通貨や法定通貨を送金しないこと。複数の経路で、そうした申し出の内容をクロスチェックすることを挙げている。
Bitfinexが、ウォレットアドレスに仮想通貨を送信するように要求することは決してないとも付け加えた。
