原作者:クリストファー・ローザ
原文翻訳:AididiaoJP、Foresight News
このサイバーセキュリティの専門家でさえ、捕まりそうになった
週末、過去の侵害データと新たに盗まれたログインデータを含む、160億件のユーザーIDを含む膨大なデータセットがオンラインで流通し始めたというニュースが報じられました。誰がデータセットを更新し、再公開したのかは不明です。データベースの大部分は過去の侵害データの焼き直しですが、再び更新されたという事実は憂慮すべきものです。このデータセットは、侵害されたアカウントの単一のコレクションとしては史上最大規模とされています。
ハッカーたちはこのデータを使ってさまざまな攻撃を仕掛けており、私はその標的の一人となっているのです。
6月19日に私の個人デバイスとアカウントを狙ったフィッシング攻撃は、10年にわたるサイバーセキュリティのキャリアの中で、これまで遭遇した中で最も高度なものでした。攻撃者はまず、私のアカウントが複数のプラットフォームで攻撃を受けているという幻想を作り上げ、次にCoinbaseの従業員を装って「助ける」と申し出ました。彼らは、従来のソーシャルエンジニアリングの手法に加え、テキストメッセージ、電話、偽メールといった組織的な手法を組み合わせ、偽の緊急性、信頼性、そして規模感を醸成しようとしました。この偽装攻撃の規模と威力こそが、その欺瞞性に大きく影響していました。
以下では、攻撃のプロセスを詳細に解説し、その過程で私が気づいた危険信号を分析し、私が講じた防御策について解説します。同時に、ますますエスカレートする脅威環境において暗号資産投資家が安全を確保するための重要な教訓と実践的な提案を共有します。
過去のデータや最近漏洩したデータは、ハッカーが高度に標的を絞ったマルチチャネル攻撃を実行するために利用される可能性があります。これは、多層的なセキュリティ保護、明確なユーザーコミュニケーションメカニズム、そしてリアルタイムの対応戦略の重要性を改めて証明するものです。機関と個人ユーザーの両方が、この事例から、検証プロトコル、ドメイン名識別の習慣、対応手順といった実用的なツールを学ぶことができ、一時的な不注意が重大なセキュリティ脆弱性につながるのを防ぐのに役立ちます。
SIMハイジャック
攻撃は木曜日の東部標準時午後3時15分頃、匿名のテキストメッセージで始まった。そのメッセージには、誰かが携帯電話会社を騙して私の電話番号を他人に渡そうとしている、いわゆるSIMスワッピングという手口だと書かれていた。
このメッセージはSMS番号ではなく、通常の10桁の電話番号から送信されたものであることにご注意ください。正規の企業はショートコードを使用してSMSメッセージを送信します。企業を名乗る身元不明の標準長の番号からテキストメッセージを受信した場合、詐欺またはフィッシングの可能性があります。
メッセージには矛盾もあった。最初のテキストメッセージでは侵入はサンフランシスコ湾岸地域で発生したと示されていたが、次のメッセージではアムステルダムで発生したと述べられていた。
SIMスワップは、成功すれば極めて危険です。攻撃者は、多くの企業がパスワードのリセットやアカウントへのアクセスに使用しているワンタイム認証コードを入手することができるからです。しかし、今回のケースは本物のSIMスワップではなく、ハッカーたちはより巧妙な詐欺の布石を敷いていました。
ワンタイム認証コードとパスワードリセット
その後、攻撃はエスカレートし、VenmoとPayPalを装ったワンタイム認証コードがSMSとWhatsAppで届くようになりました。これにより、誰かが様々な金融プラットフォームの私のアカウントにログインしようとしているのではないかと考えました。しかし、疑わしい通信事業者からのSMSメッセージとは異なり、これらの認証コードは、一見正当なショートコードから送信されていました。
Coinbaseのフィッシング電話
テキストメッセージを受け取ってから約5分後、カリフォルニアの番号から電話がかかってきました。「メイソン」と名乗る発信者は、純粋なアメリカ訛りで話し、Coinbaseの調査チームのメンバーだと主張しました。彼は、過去30分間でCoinbaseのチャットウィンドウを通じて、パスワードリセットやアカウントへのハッキングの試みが30回以上あったと述べました。「メイソン」によると、いわゆる攻撃者はパスワードリセットのための第1レベルのセキュリティ検証は通過したものの、第2レベルの認証で失敗したとのことです。
メイソン氏によると、相手は私の身分証明書の下4桁、運転免許証番号、自宅住所、氏名は提供できたものの、身分証明書番号全体とCoinbaseアカウントに紐付けられた銀行カードの下4桁を提供しなかったとのことでした。メイソン氏によると、この矛盾がCoinbaseのセキュリティチームに警鐘を鳴らし、私に連絡して真正性を確認させたとのことです。
Coinbaseのような公式取引所は、公式ウェブサイトからサービスリクエストを送信しない限り、ユーザーに積極的に電話をかけることはありません。取引所のカスタマーサービス規制の詳細については、こちらのCoinbaseのドキュメントをご覧ください。
セキュリティチェック
メイソンは「悪い知らせ」を伝えた後、追加の攻撃チャネルをブロックすることで私のアカウントを保護することを提案しました。彼はまずAPI接続と関連ウォレットから始め、リスク軽減のためにそれらを無効化すると主張しました。彼はBitstamp、TradingView、MetaMaskウォレットなど、複数の接続をリストアップしました。中には見覚えのないものもありましたが、設定したまま忘れてしまったのかもしれないと思いました。
この時点で私の警戒心は薄れ、Coinbase の「アクティブ プロテクション」に安心感さえ覚えました。
これまでのところ、メイソンは、フィッシング詐欺師が通常要求する個人情報、ウォレットアドレス、2要素認証コード、ワンタイムパスワードを一切要求していません。やり取りのプロセス全体は、非常に安全で予防的な対策が講じられています。
隠れた圧力戦術
そして、最初のプレッシャーがかけられました。それは、緊急性と脆弱性を煽ることでした。いわゆる「セキュリティチェック」を終えた後、メイソンは、私のアカウントが高リスクと判断されたため、Coinbase Oneサブスクリプションサービスのアカウント保護が停止されたと主張しました。これは、私のCoinbaseウォレットの資産がFDIC保険の対象外となり、攻撃者が資金を盗んだとしても、私は一切の補償を受けられないことを意味しました。
今にして思えば、この主張は明白な欠陥だったはずだ。銀行預金とは異なり、暗号資産はFDIC(連邦預金保険公社)の保険で保護されることはなく、Coinbaseは顧客の資金をFDICの保険対象銀行に保管しているものの、取引所自体は保険の対象ではない。
メイソン氏はさらに、24時間のカウントダウンが始まり、滞納した口座はロックされると警告した。ロック解除には複雑で時間のかかる手続きが必要だ。さらに恐ろしいことに、もし攻撃者がこの期間中に私の社会保障番号を完全に入手すれば、凍結された口座から資金を盗むことさえ可能だと主張した。
その後、Coinbaseのカスタマーサービスチームに相談したところ、アカウントをロックすることが推奨されているセキュリティ対策だと分かりました。ロック解除のプロセスは実に簡単で安全です。身分証明書の写真と自撮り写真を提出すれば、取引所側が本人確認を行い、すぐにアクセスを回復してくれます。
その後、2通のメールが届きました。1通目はCoinbase Bytesのニュース購読確認メールでしたが、これは攻撃者が公式サイトのフォームから私のメールアドレスを入力したことで送信された、ごく普通のメールでした。これは明らかに、Coinbaseの公式メールと私の判断を混同させ、詐欺の信憑性を高めようとする意図があったのでしょう。
2通目、より不穏なメールはno-reply@info.coinbase.comから届き、Coinbase Oneアカウントの保護が解除されたという内容でした。正規のCoinbaseドメインから送信されたように見えるこのメールは、非常に欺瞞的でした。疑わしいドメインから送信されたのであれば簡単に見分けがつくはずですが、公式アドレスから送信されたように見えるため、本物に見えました。
提案された修復
メイソンは、セキュリティのために資産をCoinbase Vaultというマルチシグネチャウォレットに移すことを提案しました。さらに、これがCoinbaseが長年提供してきた正当なサービスであることを証明するために、「Coinbase Vault」をGoogleで検索して公式ドキュメントを確認するように指示しました。
十分な調査もせずにこのような大きな変更をするのは気が進まないと伝えました。彼は私の話を理解し、慎重に調査するよう促し、SIMカードの交換を防ぐためにまず通信会社に連絡するよう勧めてくれました。彼は30分後に折り返し電話し、次のステップに進むと言いました。電話を切った後、すぐに電話と予約の確認のテキストメッセージが届きました。
Coinbase Vault によるコールバック
キャリアからSIMカードの移行を試みていないことを確認した後、すぐにすべてのアカウントのパスワードを変更しました。メイソンは予定通り電話をかけ直し、今後の対応について話し合いました。
現時点で、Coinbase Vault がCoinbaseが提供する本物のサービスであることを確認しました。これは、マルチ署名認証と24時間遅延出金によってセキュリティが強化されたカストディソリューションですが、真のセルフカストディ型コールドウォレットではありません。
その後、メイソンはvault-coinbase.comへのリンクを送ってくれ、最初の電話で話し合ったセキュリティ設定を確認できると言っていました。確認が完了すると、資産はVaultに移管される予定で、この瞬間、私のネットワークセキュリティに関する専門知識がようやく発揮されました。
彼が提供したケース番号を入力すると、開いたページには「API接続が削除されました」というメッセージと「Coinbase Vaultを作成」ボタンが表示されました。すぐにウェブサイトのSSL証明書を確認したところ、登録からわずか1ヶ月しか経っていないこのドメイン名はCoinbaseとは全く関係がないことがわかりました。SSL証明書はしばしば偽りの正当性を与えてしまうことがありますが、正式な企業証明書には明確な所有権があるため、この発見により私は直ちに操作を中止しました。
Coinbaseは、非公式ドメイン名を決して使用しないことを明確にしています。サードパーティのサービスを使用する場合でも、vault.coinbase.comのようなサブドメインを使用する必要があります。取引所アカウントに関する操作はすべて、公式アプリまたはウェブサイトから行う必要があります。
私はメイソンに懸念を伝え、公式アプリからのみ取引を行うことを強調しました。彼は、アプリでの操作には48時間の遅延が発生し、24時間後にアカウントがロックされると主張しました。私は再び性急な決断を拒否したため、彼はケースを「レベル3サポートチーム」にエスカレーションし、Coinbase Oneの保護を回復させるよう指示しました。
電話を切った後も他のアカウントの安全性を確認していくうちに、不安感は強くなっていきました。
Tier 3サポートチームからの着信
約30分後、テキサスの番号から電話がかかってきた。アメリカ訛りの別の人物が、レベル3の調査員を名乗り、私のCoinbase Oneの復旧申請を処理していると名乗った。彼は7日間の審査期間が必要で、その間アカウントは未保険状態のままだと主張した。さらに彼は「親切にも」、異なるチェーンの資産用に複数のVaultを開設することを提案した。彼はプロフェッショナルな印象を与えたが、実際には具体的な資産名には触れず、「イーサリアム、ビットコインなど」と漠然と言及しただけだった。
彼は法務部にチャット記録の送付を申請すると述べ、Coinbase Vaultの宣伝を始めました。そして代替案として、SafePalというサードパーティ製ウォレットを勧めました。SafePalは確かに一般的なハードウェアウォレットですが、明らかに信頼を裏切るための策略です。
vault-coinbase.comドメインについて再度質問したところ、相手は依然として私の疑念を払拭しようとしました。この時点で、攻撃者は成功の困難さに気づき、最終的にこのフィッシング攻撃を断念したのかもしれません。
Coinbaseのカスタマーサービスにお問い合わせください
偽のカスタマーサービス担当者との2回目の電話を終えた後、すぐにCoinbase.comから申請を送信しました。本物のカスタマーサービス担当者は、私のアカウントに不審なログインやパスワードリセットのリクエストがないことをすぐに確認してくれました。
彼は、アカウントを直ちにロックし、攻撃の詳細情報を収集して調査チームに提出することを提案しました。私は不正なドメイン名、電話番号、攻撃ベクトルをすべて提供し、no-reply@info.coinbase.com の送信権限について具体的に質問しました。カスタマーサービスは、これは非常に深刻な事態であると認識し、セキュリティチームが徹底的な調査を行うことを約束しました。
取引所やカストディアンのカスタマーサービスに連絡する際は、必ず公式チャネルを経由するようにしてください。正規の企業は、ユーザーに積極的に連絡を取ることはありません。
学んだ教訓
幸運にも騙されることはなかったものの、元サイバーセキュリティ専門家として、この危うく落ちそうになった経験は深い不安を抱かせました。専門的な訓練を受けていなければ、騙されていたかもしれません。ただの見知らぬ電話だったら、すぐに電話を切っていたでしょう。このフィッシングを非常に危険なものにしたのは、攻撃者が綿密に計画した一連の行動によって、相手に緊迫感と威圧感を与えていたからです。
現在のネットワーク環境において暗号資産投資家が資金の安全を確保できるよう、以下の危険信号と保護提案をまとめました。
危険信号
混乱と緊急性を生み出すための組織的な誤報
攻撃者はまず、VenmoやPayPalなどのサービスから、SIMスワップアラートやワンタイム認証コードの要求(SMSとWhatsAppの両方で送信)を何度も送信することで、複数のプラットフォームへの同時攻撃を装いました。これらのメッセージは、簡単にアクセスできる私の電話番号とメールアドレスだけで送信された可能性が高いです。現段階では、攻撃者がより詳細なアカウントデータにアクセスできたとは考えられません。
短縮コードと通常の電話番号の混在
フィッシングメッセージは、SMSのショートコードと通常の電話番号を組み合わせて送信されます。企業は公式な連絡にショートコードを使用することが多いですが、攻撃者はこれらのショートコードを偽造したり、再利用したりする可能性があります。ただし、正規のサービスがセキュリティアラートの送信に通常の電話番号を使用することは決してないことに留意することが重要です。標準の長さの番号から送信されるメッセージには、常に警戒する必要があります。
非公式または馴染みのないドメイン名での運営のリクエスト
攻撃者は、一見正当なドメインのように見えるvault-coinbase.comでホストされているフィッシングサイトにアクセスするように指示しました。しかし、実際にはCoinbaseとは関係がありません。情報を入力する前に、必ずドメイン名とSSL証明書を再確認してください。機密性の高いアカウントに関わる操作は、必ず公式の企業ドメインまたはアプリケーションで実行してください。
迷惑電話とフォローアップの連絡
Coinbaseをはじめとするほとんどの金融機関は、サポートリクエストを送信しない限り、電話をかけてくることはありません。「レベル3調査チーム」を名乗る人物からの電話は、特に脅迫的な手段やアカウント保護に関する複雑な指示が伴う場合は、大きな危険信号です。
求められていない緊急事態と結果の警告
フィッシング攻撃者は、恐怖感や切迫感を利用して、被害者に無意識のうちに行動を起こさせることがよくあります。この場合、アカウントのロックアウト、資産の盗難、保険の解約といった脅迫は、典型的なソーシャルエンジニアリングの戦術です。
公式チャネルを迂回するリクエスト
企業の公式アプリやウェブサイトの使用を避けるようにというアドバイス、特に「より高速」または「より安全」な代替手段を提供していると謳っている場合は、すぐに警戒すべきです。攻撃者は、一見正当なリンクのように見えても、実際には悪意のあるドメインへのリンクを提供している可能性があります。
未確認のケース番号またはサポートチケット
特製のフィッシングポータルを紹介するために「ケース番号」を提供すると、偽りの正当性を与えてしまいます。正当なサービスであれば、ケース番号付きの外部カスタムリンクを通じてユーザーに本人確認やアクションを求めることはありません。
真実と虚偽の情報が混在している
攻撃者は、信頼性を高めるために、実際の個人情報(メールアドレスや社会保障番号の一部など)と曖昧な情報や不正確な情報を混ぜることがよくあります。「チェーン」「ウォレット」「セキュリティレビュー」といった用語に矛盾や曖昧な表現がある場合は、疑ってかかるべきです。
代替案の提案には実在の会社名を使用する
SafePal のような信頼できる名前を紹介することは (これらの企業が合法であっても)、選択肢と正当性があるように見せかけながら、実際には被害者を悪意のある操作に誘導する陽動作戦になる可能性があります。
検証なしの熱心さ
攻撃者は辛抱強く、私に自分で調べるように促し、最初から機密情報を尋ねませんでした。この行動は本物のカスタマーサービス担当者を模倣しており、詐欺行為をプロフェッショナルなものに見せかけています。頼まれもしない「話がうますぎる」ようなサポートには、疑いの目を向けるべきです。
積極的な保護対策と推奨事項
取引所での取引レベルの検証を有効にする
取引所の設定で二要素認証とキャプチャベースの認証を有効にしてください。これにより、送金や振替を行う際は、信頼できるデバイスにリアルタイムで確認が送信されるようになり、不正な取引を防止できます。
常に合法かつ検証済みのチャネルを通じてサービスプロバイダーに連絡する
この場合、私はモバイルサービスプロバイダとCoinbaseに連絡し、公式プラットフォームに直接ログインしてサポートチケットを送信しました。これは、アカウントのセキュリティが侵害された際にカスタマーサービスとやり取りする最も安全で唯一の適切な方法です。
Exchangeサポートは、資金の移動、アクセス、保護を依頼することはありません。
ウォレットのニーモニックフレーズを尋ねたり提供したり、2 要素認証コードを要求したり、デバイスにリモート アクセスしたりソフトウェアをインストールしたりすることはありません。
マルチシグネチャウォレットまたはコールドストレージソリューションの使用を検討する
マルチシグネチャウォレットでは複数の当事者による取引の承認が必要ですが、コールドウォレットでは秘密鍵が完全にオフラインで保管されます。どちらの方法も、長期保有資産をリモートフィッシングやマルウェア攻撃から保護するのに効果的です。
公式サイトをブックマークし、迷惑メッセージからのリンクをクリックしないようにしてください。
ドメインのなりすましを回避する最善の方法は、URL を手動で入力するか、信頼できるブックマークを使用することです。
パスワードマネージャーを使用して疑わしいサイトを識別し、強力なパスワードを維持する
パスワードマネージャーは、偽のドメインや不明なドメインへの自動入力を拒否することで、フィッシング攻撃を防止します。悪意のある攻撃が疑われる場合は、定期的にパスワードを変更し、直ちに変更してください。
リンクされたアプリ、APIキー、サードパーティの統合を定期的に確認する
使用しなくなったアプリやサービス、または認識できないアプリやサービスへのアクセスを取り消します。
利用可能な場合はリアルタイムのアカウントアラートを有効にする
ログイン、引き出し、セキュリティ設定の変更に関する通知は、不正なアクティビティに関する重要な早期警告を提供できます。
すべての疑わしい活動をサービスプロバイダーの公式サポートチームに報告してください
早期の報告は、より広範な攻撃を防ぎ、プラットフォーム全体のセキュリティ向上に貢献します。
結論は
金融機関、ITセキュリティチーム、そして経営幹部にとって、今回の攻撃は、過去のデータを再利用し、リアルタイムのソーシャルエンジニアリングと組み合わせることで、ハッカーが最も高度なセキュリティ対策さえも回避できることを浮き彫りにしました。脅威アクターはもはや総当たり攻撃だけに頼るのではなく、正規のワークフローを模倣することで信頼を獲得し、ユーザーを欺くために、クロスチャネル戦略を巧みに実行しています。
システムとネットワークのセキュリティを守るだけでなく、脅威を特定し、自らを守るための行動を起こさなければなりません。暗号資産機関で働く人も、自宅で暗号資産を管理する人も、個人のセキュリティ上の脆弱性がシステムリスクに発展する可能性があることを誰もが理解する必要があります。
これらの脅威から組織を守るためには、ドメイン名の監視、適応型認証、フィッシング対策のための多要素認証、明確な通信プロトコルといった多層的な防御策を講じる必要があります。また、エンジニアから経営幹部まで、すべての従業員が会社を守る上での自らの役割を理解できるよう、サイバーセキュリティリテラシーの文化を醸成することも重要です。今日の環境において、セキュリティは技術的な機能であるだけでなく、個人と組織全体が共有すべき責任でもあります。
