フィッシング詐欺で被害額1億円以上か
ブロックチェーンセキュリティ企業PeckShieldは10日、暗号資産(仮想通貨)イーサリアム(ETH)の共同創設者ヴィタリック・ブテリン氏のX(旧称ツイッター)がハッキングされたと報告した。
ブロックチェーンの分析を行うZachXBT氏は、すでに悪意のあるリンクをクリックしてしまった被害者が出ており、これまでに合計約1億円(69万1,000ドル)以上が犯人のウォレットに流入したと分析している。
Please do *NOT* click the phishing link pic.twitter.com/sPK7cTAwVw
— PeckShield Inc. (@peckshield) September 9, 2023
フィッシングは、記念のNFT(非代替可能性トークン)が24時間無料で手に入ると偽の情報を流して不正なリンクを踏ませるものだった。最終的にウォレットを接続するように誘導し、資金を盗む手口である。
ブテリン氏の父親も10日、該当の投稿を無視するよう警告。「ヴィタリックは今アクセスを取り戻そうと努力しているところだ」と述べた。不正リンクを掲載した投稿は現在削除されているが、その後ブテリン氏がアカウントのコントロールを取り戻せたのかは不明だ。
イーサリアム開発者のBok Khoo氏も、このフィッシングに引っかかりCryptoPunksのNFTを盗まれたと投稿。他のユーザーに注意を呼びかけた。
Khoo氏が盗まれたのは、CryptoPunksの「3983番」と「1751番」で、これらはそれぞれ市場価格で約154イーサリアム(約3,600万円)と約59イーサリアム(約1,400万円)に相当するものだった。Khoo氏以外からも、Milady 4755、Meebit 9965、Meridian 918などのNFTが盗まれている。
バイナンスのチャンポン・ジャオ(CZ)CEOも、ブテリン氏アカウント乗っ取りを受けて、次のようにコメントした。特に業界の著名人アカウントが狙われやすいことを示唆している。
ツイッター・アカウントのセキュリティは金融プラットフォームとして設計されてはいない。もっと多くの機能が必要となるところだ。例えば、二要素認証、ログインIDをハンドル名やメールアドレスと同じにしないことなどが挙げられる。
過去には、私のアカウントに対してもハッカーによるパスワード総当たり攻撃が行われ、何回かアカウントがロックされている。
攻撃の手口をめぐる議論
あるXユーザーは、これはSIMスワップ攻撃によって行われた可能性があり、ブテリン氏はセキュリティにもっと気を遣うべきだったと主張した。
一方で、ZachXBT氏は、攻撃の手法はまだ分からないと反論。インサイダーが買収された可能性などについても挙げている。
なお、SIMスワップ攻撃とは、攻撃者が被害者の携帯電話番号を不正に取得し、オンラインアカウントやサービスにアクセスするものだ。犯人が管理するSIMカードに被害者のアカウントなどをリンクさせることにより、被害者の通信内容を犯罪者のデバイスに送る。
アカウント乗っ取り相次ぐ
X(旧称ツイッター)乗っ取りによるフィッシング詐欺はこれまでにも度々発生してきた。
2020年7月に、オバマ前大統領やアップル社、バイナンスなどの著名アカウントが乗っ取られ、1,200万円相当の被害が発生したことも記憶に新しい。
関連:SIMスワップ攻撃で米仮想通貨企業から1億円盗んだハッカーに懲役判決
最近では7月に分散型取引所Uniswapのヘイデン・アダムスCEOのアカウントがハッキングされた。Uniswapが攻撃されたという偽のメッセージを投稿し、ユーザーにフィッシングリンクを踏ませようとするものだった。
この際には、アダムス氏は約6時間後にアカウントのコントロールを取り戻している。
