海外の対面取引所サイトのフィッシング事件について解説
動画でわかるブロックチェーンNEWSではブロックチェーン関連のニュースを動画で解説します。 本日は「海外の対面取引所サイトのフィッシング事件」について解説いたします。
解説
ジョナサン・アンダーウッド FLOCブロックチェーン大学校校長
海外の対面取引所サイトのフィッシング事件
こんにちは。FLOCブロックチェーン大学校校長の、ジョナサン・アンダーウッドです。
これから、ブロックチェーンに関するトピックスについて解説していきたいと思います。
本日は海外の対面取引所サイトのフィッシング事件についてお話しをいたします。
海外では対面式取引所というものが存在します。1番有名なものは、Local Bitcoinと呼ばれています。やり方ですが伝統的な取引所と違ってオンラインで取引をするのではなくオンラインでユーザー間で、私はいくらの日本円でいくらのビットコインを買いますという約束だけします。そして、現実の世界で落ち合ったり銀行振り込みで、直接P2Pのようにユーザー間でお金のやり取りを行います。
こちらのサイトでは何がフィッシング事件なのかと言うと、このサイトは同じブランディングでメインの仮想通貨の売買をするサイトに加えて掲示板もありました。ですのでユーザー同士が盛り上がったりニュースについて語り合ったりする場所がありました。
この掲示板とメインの仮想通貨を取り扱っているサイトは、別のサーバーで、別のサイトなんですけれども、管理しているのが同じ会社で同じブランディングを使っています。そこでハッカーが掲示板のサーバーを乗っ取って、ユーザーがこの掲示板に入ると、「我々があなたの本番のほうのアカウントで怪しい動きを見たので、パスワードを再入力してログインしてください」と、これが伝統的なフィッシングと呼ばれるものになります。このように本物のサービス運営者ではない、何らかの形でユーザーとサービスの間に立ったハッカーが騙してパスワード情報などを盗み取るというのがフィッシングです。
今回違うのが、2段階認証をフィッシングしていたということです。この2段階認証がフィッシングされた手法なんですけれども、伝統的に取引所では2段階認証というものがあります。一般的には、30秒ごとに6桁のコードが切り替わるパターンの2段階認証が多いです。
今回はその掲示板のサーバーを完全に乗っ取っており、2段階認証のコードも入力してくださいと要求したので、それを完全に受け取って2段階認証コードを流用して、メインのサイトであなたのビットコインの引き出し申請をしてしまう、という事件が起きました。
以上が実際に何が起きたかという話なんですけれども、ユーザーが気をつけるべき点、もしくは取引所が気をつけるべき点、再発防止をどうしたらいいのかというところについて少しお話をしたいと思います。
ユーザーが気をつける点
まずはユーザーの観点から、利用者の観点から何ができるのかというと、まずは怪しいと思ったら疑うことです。
掲示板にログインして本番のパスワードを再入力しろとか、そういったことはあまり普段ないですよね。この掲示板も絶対にそういうことはないと思うんです。なのでいきなりどういうこと?と思った人がいたと思うんですけれども、同じ会社が経営しているサイトなので信用してしまいます。
ですが、サービスが信用できても会社が信用できても、その会社を結局サーバーと言うかパソコン、コンピュータが代表しているので、そのコンピュータが別の人に乗っ取られたら、もはやその会社ではなくなっています。
乗っ取られているのか、自分が信頼している会社がちゃんとコントロールできているのかというのは、我々エンドユーザーが見て分かるようなものではありません。
ですので自分の勘でこれが怪しいなと思ったらまず疑うことです。
例えば、今回は掲示板が原因の一つです。掲示板ではなく公式のフォームから問い合わせをする、例えば「掲示板にログインしたらこういうものがあったんですけど」と問い合わせ待つというのが1番賢いやり方です。
そういうことを見据えたうえで、フィッシング事件というのは、急かすような文言が出たりするんですけど、怪しいものが出てきてそれがあなたを急かしているような文言になっている場合は、なおさら疑いを持つべきです。
そしてもう1つ気をつける点、これは2段階認証をかけることです。今回の事件はちょっと特別で、2段階認証のトークンもフィッシングされていましたけれども、一般的なフィッシングというのは、そのような2段階認証が盗めるようなものではなく、あくまでパスワードだけを盗み取るものです。
ですので2段階認証が今回ダメだったということで、だからと言って2段階認証を絶対にかけないとか意味がないというわけではないです。
2段階認証の種類
ちなみに、2段階認証にはたくさんの種類があります。強さの低い順から言うと、SMSの電話番号入れて、電話番号のSMSで何かコードを送ってもらうのが1番弱いもの。
その次は、アプリをインストールして30秒ごとに6桁のコードを発行する、一般的な仮想通貨の取引所で使う2段階認証です。
その後に、YubiKeyなどと言われている、USBデバイスをパソコンに差して、そのボタンを押さないと2段階認証ができない、ハードウェア2段階認証というものが存在します。実を言うと、一般的な仮想通貨ハードウェアウォレット、TrezorやLedgerにもこの機能が備わっています。これがより強い2段階認証になります。
そして最後に、例えば生体認証などを活用する2段階認証が、実は最近広く普及する運動が始まっていて、これから数年後に、この生体認証を活用した2段階認証というのが一般的になると思われています。
それは、例えば取引所にログインするときに、携帯でログインして、それを生体認証の指紋や顔の認証で、あなたのアカウントであることが確認できます。これはフィッシングが不可能と言われています。
なぜなら公開鍵暗号を使っていて、間に誰かが立っていても盗まれたりしない仕組みと言われているからです。
取引所が気をつけるべき点
取引所が気をつけるべき点、まずは外部サービスに自分のブランディングをむやみにつけるのは控えましょう。今回の事件は、外部の人が開発した掲示板ソフトを、運よくサーバーを分けていましたが、それに自分のブランディングをつけることで、乗っ取られたときに余計に被害が拡大してしまいました。
ですので取引所がこれから気をつけるべき点の1つとしては、自分のブランディングをつけるものに気をつけること、そして2段階認証のより高いセキュリティを持った、先ほど申し上げた、ハードウェア2段階認証や生体認証の2段階認証を、なるべく早い段階で実装することがお勧めです。
もちろんそういう高いセキュリティの2段階認証が実装されたら、利用者の皆さんもぜひ有効にしていただきたいと思っています。
まとめ
今回のフィッシング事件はいろいろと学びがあったと思います。2段階認証の大事さと、2段階認証の種類で弱さが異なってくるということに気づけました。
そして何より、自分の勘でこれが怪しいと思ったらいったん止まって考える、そしてサービスに問い合わせをして、こんな怪しいものがあったよと報告をすることの大事さについて学びました。
今後、同じようにブロックチェーンに関わるイベントがある時に解説をしていきたいと思いますので、引き続き今後もよろしくお願い致します。
FLOCブロックチェーン大学校の校長、ジョナサン・アンダーウッドでした。
以上です。