米大手機関投資家カストディアン企業関係者が「1100万円相当のビットコイン」盗難被害を吐露

BitGoのエンジニアリング・マネージャー、1100万円以上のBTC盗難被害体験談とともに警告呼びかけ

日本の大手SBIホールディングスと提携するマルチシグウォレットサービス、BitGoのエンジニアリング・マネージャーSean Coonce氏が個人的に保有していた10万ドル（約1100万円）以上のBTCをハッキングで失った体験談を明らかにした。

犯人は「SIMポート攻撃」という手段を用い、わずか24時間以内に同氏のCoinbaseのアカウントから大量のBTCを盗み取った模様だ。

同氏はソーシャル・パブリッシング・ネットワークMediumに投稿した『私の人生で最も高くついたレッスン：SIMポートハックの詳細』という記事にて、事件の詳細について述べた。

「SIMポート攻撃」とは？

通信事業者や機種を変更する際、固有IDを記録したSIMカードを他の端末に入れ替える目的で、通信事業者がSIMカードの情報を新しいデバイスに転送するというサービスは一般的に利用されている。

このサービスを悪用したハッキング法が、「SIMポート攻撃」だ。攻撃者は被害者のSIMカードを自分がコントロールしている電話機に転送後、被害者のEメールアカウントでパスワードの再設定を開始する。

確認コードが被害者の電子メールプロバイダーから被害者の電話番号に送信されるが、これは攻撃者によって傍受されている。

被害者のEメールアカウントに不正アクセスすると、そのアカウントから被害者が利用しているオンラインサービスの情報（銀行口座やSNSアカウントなど）を引きだすという流れだ。最悪のケースでは、Eメールアカウントや銀行口座そのものが乗っとられる。

Coonce氏が受けた「SIMポート攻撃」

Coonce氏は自らの被害を「自分が体験したこと」「攻撃者がしかけていたこと」「自分が認識している脅威レベル」「自分が認識しておくべきだった脅威レベル」という4つのカテゴリに分類し、事件の全貌を詳しく説明している。

事件の当日、同氏はベッドに入った後、携帯電話のサービスが不通になっていることに気付いたが、「圏外になっているだけだろう」と気にとめていなかった。その直後、Googleからアカウントへのログイン通知を受けとった。

この時点で既に攻撃は始まっていたのだが、同氏は携帯電話のサービス障害という憶測と紐づけていた。「パスワードが変更されている」という理由でログイン認証が拒否されたにも関わらず、そのまま寝てしまったという。

同氏が眠っている間に攻撃者はEメールアカウントにアクセスし、本格的な攻撃が開始された。 翌朝、Coonce氏は携帯会社から新しいSIMを受けとり、全てが解決したと思い込んでいた。その晩も前夜同様、サービスが不通になっていることに気付いたが、やはりそのまま眠ってしまった。

異変に気が付いたのは、翌朝再び携帯電話キャリアの店舗を訪れた際だ。Coinbaseのアカウントもアクセス不可能になっており、カスタマーサービスを通して全ての保有通貨が引き出されていたことを知った。

5つの予防対策

Coonce氏は被害体験を公表した動機について、「人生で最も高くついたレッスン」に関する情報を可能な限り多くの人と共有することで、SIMポート攻撃を含む同様の攻撃に対する消費者の意識を高め、オンラインIDやセキュリティ対策を強化するよう、警告する意図だと述べている。

それと同時に、以下の5つの予防対策を推奨した。

Coonce氏の体験談とアドバイスを活かし、オンライン上のセキュリティー対策や個人情報の共有について見直したいところだ。