ハッキング被害の統括レポート
先週発生したセキュリティインシデントに対応して、暗号資産(仮想通貨)ウォレット企業のLedger社は20日の声明で、被害を受けたユーザーに全面的な支援を提供すると約束した。この攻撃により、総額60万ドル(約8,600万円)の被害が発生したと報告されている。
また、Ledger社のCEO兼会長のPascal Gauthier氏は、Ledgerの顧客でないユーザーも含め、2023年12月14日に攻撃によって資産を盗まれた被害者に対して補償を行うという公約を発表した。
同社のレポートによると、12月14日の午前に、元社員がフィッシング攻撃の被害に遭い、攻撃者はこれを利用してLedger Connect Kitを通じて外部dAppsに悪意のあるコードを注入した。使用されたマルウェアはAngel Drainerで、このタイプの攻撃は直近3か月間で増加している。
出典:Ledger
この攻撃で一部のイーサリアム仮想マシン(EVM)dAppsユーザーは、ウォレット から資産が抜き取られるトランザクションに署名させられた。攻撃は迅速に特定され、5時間以内に対処策が実施されたが、被害は既に発生していた。
攻撃者はLedger Connect Kitではなく、CDNを通じて悪意のあるコードパッケージを配信し、ユーザーの資産をハッカーのウォレットに転送した。このコードは、Connect-Kit-loaderを統合しているdAppsによって動的にロードされた。
対策として、Ledger社のセキュリティチームは、アクセスコントロールのレビューと監査を進めている。また、ポリシーを強化し、外部ツールへのアクセスを徹底的にチェックする方針。2024年初頭には内部セキュリティトレーニングプログラムを強化し、アクセスコントロールやコードプロモーションに焦点を当てたサードパーティによる監査を実施する予定だ。
クリア署名の促進を提案
さらに、Ledger社はエコシステムのパートナー、特にdApps(分散型アプリケーション)の開発者たちに対し、ブラインド署名の廃止と、クリア署名の促進を提案している。これは、トランザクションの詳細を完全に理解し、Ledgerデバイス上で確認できるようにするもの。
同社は2024年6月までにブラインド署名を終了する予定で、外部パートナーと協力して、DApps全体でクリア署名の使用を奨励する新しい基準を確立すると強調した。
クリア署名は取引内容が可読化される 出典:Ledger
クリア署名を採用することで、エンドユーザーは取引の内容をLedgerデバイスの安全なディスプレイ上で正確に確認し、検証することができ、これによりマルウェアやフィッシング攻撃による不正な取引からの保護が強化される。
Ledgerはまた、ハッキング犯人の追跡に動いており、資金回収に向けて法執行機関と協力していると述べた。CEOのPaul Gauthier氏は、「捜査の進展に伴い、被害者の支援と犯人の逮捕、盗まれた資産の回収に向けて当局と密接に協力している」と述べている。
このインシデントを受け、ステーブルコインUSDT発行体のTether社は、攻撃者のアドレスを凍結し、その情報をブロックチェーン分析企業Chainalysisと共有した。攻撃者のコードは約5時間有効で、SushiSwapなどの分散型取引所が被害を受けた。Ledgerは同日中に問題の修正を実施した。
Ledger社は声明で、「我々は先週のセキュリティインシデントのフォローアップに100%集中しており、将来このようなインシデントが防止され、エコシステムが安全であることを確認しています」と確認した。
Angel Drainerとは
出典:Ledger
Angel Drainerは、EVMチェーンに特化したマルウェアで、直近3か月間で増加している。ウォレットから資産を排出するトランザクションを作成するために設計される。必要に応じてスマートコントラクトを展開し、最大限の被害を引き起こすようカスタマイズされたトランザクションを生成する。
ERC20(トークン規格)やNFT(非代替性トークン)の場合は承認と許可メッセージの署名を要求し、ネイティブトークンでは偽の「請求」トランザクションへの署名を求め、後にトークンを排出する。このため、Ledgerとしては、ハードウェアデバイスの信頼性のあるディスプレイ上でトランザクションを検証できるクリア署名を推奨していく方針だ。
関連:メタマスクらが注意喚起 Ledger対応の広範なdAppsで仮想通貨が不正流出か
