仮想通貨取引所への「ホモグラフ攻撃」が相次ぐ|GMOコインやリミックスがパスワード盗難被害を注意喚起
- 仮想通貨取引所のフィッシング詐欺(パスワード盗難)に要注意
- 日本国内の仮想通貨取引所を標的にしたフィッシング詐欺事例が相次いだことを受け、GMOコインやリミックスが注意喚起した。ビットコインなどの盗難被害に遭わないよう、予備知識や個人投資家の対策をまとめている。
- フィッシング詐欺とは
- インターネットのユーザから経済的価値がある情報(ユーザ名、パスワード、秘密鍵などの情報)を奪うために行われる詐欺行為
仮想通貨取引所のフィッシング詐欺(パスワード盗難)に要注意
海外を中心にフィッシング詐欺が話題になっているが、日本国内の仮想通貨交換業者を偽装した、不審な勧誘や不正広告が相次いでいる。
GMOコインの発表によれば、同社を装った不正広告で偽のログインページに誘導するフィッシング詐欺行為を確認しているという。
これを受け、国内大手のGMOコインを運営する株しい会社GMOコインとリミックスポイントを運営する株式会社ビットポイントジャパンは、仮想通貨交換所のIDやパスワードなどの重要情報を不正な誘導に騙されて第三者に伝えないよう、注意喚起を促している。
今年1月には、仮想通貨取引所「コインチェック」を運営するマネックスグループも、詐欺案件に対する注意喚起を行っている。
「マネックスコインマネージメント」を名乗り、電話で「自動売買システムを譲ってほしい」との勧誘を受けたとの情報が寄せられていると公表。マネックスグループ及び当社グループ各社は、上記会社とは無関係であり、勧誘も行なっていないとした。
この事例の自動売買システムは、株や為替のツールのことで仮想通貨関連ではないと考えられるが、仮想通貨関連企業を謳った詐欺案件や模倣犯は後を絶たないため、十分に注意したい。
GMOコイン株式会社の3月8日の発表によると、同社を騙った不正広告で虚偽のログインページに誘導するフィッシング詐欺行為を確認しているという。URLの偽装方法
小文字のエル「l」の代わりに大文字のアイ「I」を使用するなど、アルファベットの視認性を悪用した手口で、以下のようなものが代表的とされるが、パッと見では判別が付かない。
| 本物のURL | 偽物のURL |
|---|---|
より巧妙な手口としては、偽の国際化ドメイン(IDN:日本語ドメインの海外版)を取得する方法もある。ドメイン名の「.com」をギリシャ文字の「ο(オミクロン)」に変更するなどした場合、じっくり見比べても正規表記と見分けが付かないほどだ。
このような偽装は、ホモグラフ攻撃と呼ばれ、「URLのホスト名の文字として、真正なサイトに酷似した文字を用いて偽装し、偽のサイトに誘導するスプーフィング(偽装)攻撃の一種とされる。
中には、SSL証明書を取得していることもあり、URLの先頭にある「HTTPS」の確認や、URLに鍵マークがついているからといって過信は禁物だ。
偽アプリの例
過去には、仮想通貨ウォレットサービス「Ginco」の偽アプリも出現した。
Gincoは、Android端末でインストール可能な「GooglePlay」上に、Gincoを装った不審なアプリがあるとして、公式サイト上で注意喚起を行った。
偽アプリがフィッシング詐欺目的だった場合、仮想通貨の「秘密鍵(資産認証コード)」や、スマホ端末のパスワードなどの個人情報が不正に取得され、不正送金被害につながる可能性がある。
不審な電話も
昨年7月には、国内最大手取引所のコインチェックやbitFlyerの顧客に対し、確認コードを聞き出そうとする不審な電話が相次いだとして、注意喚起を行った。利用客の防止策
企業を装って電話やメールなどで個人情報を聞き出す手口は、フィッシング詐欺の常套手段であり、Bitcoin.comの調査によると、2018年最初の2ヶ月間だけで、総額13.6億ドル(150億円)相当の仮想通貨がハッキングやフィッシング被害で流出した。
自己防衛手段の防止策としては、以下のようなものが考えられる。
- 目的のサイトには「ブックマーク」からアクセスする(直接アドレスを入力してアクセスする)
- メール中のリンクはクリックしない(ウイルスのリスクもある)
- 個人情報をメール送信しない
- Webブラウザには最新のパッチをあてる
- サーバ証明書で本物のサイトかどうか確認する
取引所側のセキュリティー対策だけでは防げないようなフィッシング詐欺事例も存在するため、不審なメールやリンク先には慎重に対応するよう、日頃から十分注意することが重要だ。
画像はShutterstockのライセンス許諾により使用
「仮想通貨」とは「暗号資産」のことを指します