[セキュリティ] 事例、情報まとめスレッド

[kazuki.t]

直近で興味深いセキュリティインシデントなどは少なかったです。一件だけ紹介しておきます。

https://www.coindesk.com/internet-cafes-hacked-to-mine-800000-in-siacoin-cryptocurrency/
中国でインターネットカフェのマシンを悪用し、Siacoinのマイニングを行うマルウェアを仕込んだ、というものです。
マシンが多い環境はリターンもそれなりに期待できるため、今後も悪用の対象になりそうですね。

[kazuki.t]

Coinrailに続き、韓国大手のBithumbがやられてしまったようですね。被害額は3100万ドルほどと見込まれています。
https://www.bloomberg.co.jp/news/articles/2018-06-20/PALNLM6TTDS301
https://www.coindesk.com/bithumb-exchanges-31-million-hack-know-dont-know/

[hakka]

ウィンドウズのクリップボード内容を改ざんするようなマルウェアが流行っているようです。
ウィンドウズのクリップボードを「ハイジャック」、ビットコインアドレスを狙うマルウェア
記事ではビットコインアドレスとなっていますが、各通貨に応用可能なので、送信先のアドレスは常に確認するようにしましょう。
特に取引所等の操作に慣れている玄人も注意が必要です。

[gogo5050]

ウィンドウズのクリップボード内容を改ざんするようなマルウェアが流行っているようです。
ウィンドウズのクリップボードを「ハイジャック」、ビットコインアドレスを狙うマルウェア
記事ではビットコインアドレスとなっていますが、各通貨に応用可能なので、送信先のアドレスは常に確認するようにしましょう。
特に取引所等の操作に慣れている玄人も注意が必要です。

よく使用する通貨アドレスは辞書登録しておくと簡単に呼び出せるからおすすめです。
あと1Passwordなどのパスワードソフトを使ってウォレットを管理すると間違いがないと思います。

[kazuki.t]

Coinrailに続き、韓国大手のBithumbがやられてしまったようですね。被害額は3100万ドルほどと見込まれています。
https://www.bloomberg.co.jp/news/articles/2018-06-20/PALNLM6TTDS301
https://www.coindesk.com/bithumb-exchanges-31-million-hack-know-dont-know/

しばらく休暇でしたので、２週間分振り返りを書きます。

まず、Bithumb のインシデントは 45% を回復できたという記事が出ていましたね。その後追いかけきれていませんが、どこかに詳報がありましたらぜひお寄せください。
http://digitalmoneytimes.com/bithumb-hack-update-cryptocurrency-exchange-recovers-45-of-stolen-coins/

それから、フィッシング系の記事が幾つか出ていたと思います。
英語で攻撃されていたものがローカライズされただけかもしれませんが、引っかからないようにご注意を。
https://www.artemis-jp.com/wp/is_news_20180703/
http://www.itmedia.co.jp/news/articles/1807/05/news059.html

macOS 向けのマルウェアも出てきています > 「間抜けな」MacOSマルウェア：仮想通貨について議論するSlackやDiscordのユーザーを攻撃
https://jp.cointelegraph.com/news/dumb-macos-malware-attacks-slack-discord-users-discussing-crypto

また、日本の洪水被害に寄付を表明したバイナンスも、定期的に攻撃を受けているようです。氷山の一角とは思いますが。
https://japan.cnet.com/article/35121982/

[kazuki.t]

スレッドも立てられていましたが、Bancor が1350万ドルの盗難被害に遭い、大きなニュースになっています。

スレッド: https://bitcointalk.org/index.php?topic=4634308.0
CNBC: https://www.cnbc.com/2018/07/10/bancor-security-breach-13point5-million-worth-of-cryptocurrency-stolen.html

[gogo5050]

有用そうなGoogleのフィッシング対策の記事が見つかったので投稿しますよ 。


Google社員のフィッシングを0にした物理キー。
Google社員はもう1年以上、被害ゼロ。秘密はセキュリティキーにあり

https://www.gizmodo.jp/2018/08/google-employees-secret-to-never-getting-phished-is-using-physical-security-keys.html

[nanna]

FIDO U2Fですか？最後は結局物に頼らないといけないところなのですが、
フィッシングの始まりは自分自身なんですよね。警戒を最大にしても巧なものには気が付かないという。
相手も、あの手この手ですし、どんどん巧妙になるわけですし。

しかし、逆にゼロになる前に、どんだけでどんな被害があったのかが知りたいものです。
Googleですからね、気になりいますよね。

[kazuki.t]

有用そうなGoogleのフィッシング対策の記事が見つかったので投稿しますよ 。


Google社員のフィッシングを0にした物理キー。
Google社員はもう1年以上、被害ゼロ。秘密はセキュリティキーにあり

https://www.gizmodo.jp/2018/08/google-employees-secret-to-never-getting-phished-is-using-physical-security-keys.html

投稿ありがとうございます。Krebs の記事を翻訳したものが記事になっていたようですね。
原文は 7/23 ですが、26日には攻撃は不可能ではないという記事も出ているのがあったり、色んな人が反応しているようです。
　https://blog.knowbe4.com/yes-googles-security-key-is-hackable

私自身も u2f(ユビキー)使ってますが、nannaさんが仰るように最後は個人に行き着きますし、普及すればするほど u2f も攻撃の対象になってくると思うので、常に新しいものを追いかけ続ける必要があると考えています。

[nanna]

既に対抗する話がでてましたか。

>原文は 7/23 ですが、26日には攻撃は不可能ではないという記事も出ているのがあったり、色んな人が反応しているようです。

先に書いた通り、ヒューマンエラー対策には、u2f(ユビキー)のような機械に頼るのも間違いではないんですよね。
ただ実際としてヒューマンとわかれば、自分自身の問題ということになるので・・・。
そして、おっしゃる通り、機会は少なからず破られる可能性があるということです。

まーあまり言ってると、みんなで石器時代になるしかなくなる（笑

[kazuki.t]

SIMハイジャックの犯人が逮捕された記事がありました。先週のものですが流れてきたので。さすがに狙ってやったのか、額が大きいですね。
https://www.darkreading.com/endpoint/privacy/$5-million-in-cryptocurrency-stolen-in-sim-hijacking-operation/d/d-id/1332422?utm_content=bufferfc31e&utm_medium=social&utm_source=twitter.com&utm_campaign=buffer

最近、ICO で立ち上がった企業なのか、盗難向けの保険が徐々に出てきていますね。
まだまだボラティリティも大きいですし、盗まれたことを真実と証明するのは結構難しそうな気がしますが、もし面白そうなものがあればシェアしたいと思います。

[BBOD_AM]

セキュリティ（安全性）の高い取引所として、「分散型取引所（DEX）」に多くの注目が集まっています。
これまでの分散型取引所（DEX）におけるデメリットを踏まえ、多くの企業が開発を行っているようです。
ちなみに、本日バイナンスは開発中の分散型取引所のデモ映像を公開しました。
https://jp.cointelegraph.com/news/binance-releases-demo-of-decentralized-exchange

これから、ますます多くの分散型取引所が登場するでしょう。
とは言え、取引所が完全に守ってくれるわけではないので、自己で責任をもってしっかり管理するべきですね。

[ooiocha]

ウイルスやマルウェアが怖いですね。
時々盗まれたっていう話を耳にするので。
どこから拾ってくるのかわからないのも怖いです。

[kazuki.t]

ICO Exit 詐欺について、まとまった分析を行っている記事がありました。（私も一部ひっかかりました・・・）
https://www.ccn.com/ico-exit-scams-have-stolen-nearly-100-million-research/?utm_source=dlvr.it&utm_medium=twitter

セキュリティとは若干経路は違うものですが、こういった情報をインプットして勉強し、なるべく詐欺に引っかからないようにしたいものです。

[hakka]

モナコインのウォレットであるmonappyがクラッキングに遭い、サーバ上のホットウォレット内のほぼ全てのコインが盗難されたようです。
http://monappy.jp/index.html
今回は前回話題になったBlock withholding attack等とは全く関係なく、ギフトコードを送る機能の欠陥を突いた盗難であったようです。

Monacoinを保有している方にとってはある程度知名度の高いウォレットであったと思われますので、
盗難通貨に対する今後の対応や防止策には注目がまた集まりそうです。

[hakka]

モナコインのウォレットであるmonappyがクラッキングに遭い、サーバ上のホットウォレット内のほぼ全てのコインが盗難されたようです。
http://monappy.jp/index.html
今回は前回話題になったBlock withholding attack等とは全く関係なく、ギフトコードを送る機能の欠陥を突いた盗難であったようです。

Monacoinを保有している方にとってはある程度知名度の高いウォレットであったと思われますので、
盗難通貨に対する今後の対応や防止策には注目がまた集まりそうです。

続報です。
IndieSquare社によれば盗難に遭った分のMonaについては対象者に対し全額補償をするとのこと。
対象者は7000人以上とのことなので、影響としてはそこそこ大きかったようですね。
MonappyにおけるMonacoinの不正出金につきまして

[kazuki.t]

モナコインのウォレットであるmonappyがクラッキングに遭い、サーバ上のホットウォレット内のほぼ全てのコインが盗難されたようです。
http://monappy.jp/index.html
今回は前回話題になったBlock withholding attack等とは全く関係なく、ギフトコードを送る機能の欠陥を突いた盗難であったようです。

Monacoinを保有している方にとってはある程度知名度の高いウォレットであったと思われますので、
盗難通貨に対する今後の対応や防止策には注目がまた集まりそうです。

続報です。
IndieSquare社によれば盗難に遭った分のMonaについては対象者に対し全額補償をするとのこと。
対象者は7000人以上とのことなので、影響としてはそこそこ大きかったようですね。
MonappyにおけるMonacoinの不正出金につきまして

hakkaさん、ありがとうございます。更新しようとしたところアップデートまでされていて、さすがです。

漏れ出てくる情報によるとレースコンディションの脆弱性を突いたものらしいですね。
セキュリティの専門家でも見つけるのは簡単ではなく、さらに外部から攻撃に利用するとなると、難易度は高いと思いますが、それでも得られる金額が金額ですので、攻撃者にとっては今後もこういった脆弱性は的になりそうと思います。
新しいIT companyになりうる（と個人的に思っている）各ICOでさえ、バグバウンティを実施しているものは多くないので、そのあたりもっと一般的になってほしいです。

サーバ側ですべて対策を講じるのは簡単ではないことから、利用者がオプションとしてコールド/ホットを任意で切り替えられるというのも緩和策としては考えられるのかもしれません。
「ホットウォレットは盗まれる可能性があります」というのはサービスとしては致命的ですし、管理が粗雑な場合はコールドであっても対策になりませんが、そんなことをふと思った次第です。

レースコンディションについてはJAVAの資料ですがIPAのものがあったので、ご参考までに。
https://www.ipa.go.jp/security/awareness/vendor/programmingv1/a03_06_main.html

[hakka]

モナコインのウォレットであるmonappyがクラッキングに遭い、サーバ上のホットウォレット内のほぼ全てのコインが盗難されたようです。
http://monappy.jp/index.html
今回は前回話題になったBlock withholding attack等とは全く関係なく、ギフトコードを送る機能の欠陥を突いた盗難であったようです。

Monacoinを保有している方にとってはある程度知名度の高いウォレットであったと思われますので、
盗難通貨に対する今後の対応や防止策には注目がまた集まりそうです。

続報です。
IndieSquare社によれば盗難に遭った分のMonaについては対象者に対し全額補償をするとのこと。
対象者は7000人以上とのことなので、影響としてはそこそこ大きかったようですね。
MonappyにおけるMonacoinの不正出金につきまして

hakkaさん、ありがとうございます。更新しようとしたところアップデートまでされていて、さすがです。

漏れ出てくる情報によるとレースコンディションの脆弱性を突いたものらしいですね。
セキュリティの専門家でも見つけるのは簡単ではなく、さらに外部から攻撃に利用するとなると、難易度は高いと思いますが、それでも得られる金額が金額ですので、攻撃者にとっては今後もこういった脆弱性は的になりそうと思います。
新しいIT companyになりうる（と個人的に思っている）各ICOでさえ、バグバウンティを実施しているものは多くないので、そのあたりもっと一般的になってほしいです。

サーバ側ですべて対策を講じるのは簡単ではないことから、利用者がオプションとしてコールド/ホットを任意で切り替えられるというのも緩和策としては考えられるのかもしれません。
「ホットウォレットは盗まれる可能性があります」というのはサービスとしては致命的ですし、管理が粗雑な場合はコールドであっても対策になりませんが、そんなことをふと思った次第です。

レースコンディションについてはJAVAの資料ですがIPAのものがあったので、ご参考までに。
https://www.ipa.go.jp/security/awareness/vendor/programmingv1/a03_06_main.html

おお、これは参考になります。
「レースコンディション問題によりまれにセキュリティ上の防御が緩む瞬間があるアプリケーションがあった場合」
今回のMonappyの問題だと、これがギフトコード部分であったということですかね。

バグバウンティはおっしゃる通り、もっと一般的に広まるべきでしょうね。
昔からですが、プロジェクトを広げることに注力しているものが多すぎます（まあ投機家からは文句がくるかもしれませんが笑）。

各社のウォレットのセキュリティに関してはいたちごっこが続くのでしょうね。
使用されている方は、盗まれる可能性に関して、少なくともハードウェアウォレットを使用するよりも高い事を「恐らく」承知している
と思いますので、利便性をとるかセキュリティをとるかというところでしょうか。
（各社のホットウォレット：コールドウォレット比率等は個人的に気になりますが、実際は明記されていない会社も多そうです。）

[kazuki.t]

仮想通貨クラスタで話題になっている事例で、MEGA拡張のハッキングがありました。オンラインアップデートで侵害される他、エクステンションも安全ではない時代ですね。。。

- クローム拡張機能の「MEGA」が改ざん、ユーザーのモネロや個人情報を盗む
https://jp.cointelegraph.com/news/cryptocurrencies-arent-selling-off-because-of-goldman-sachs

google/github/microsoft といった主要なアカウントのパスワードを盗んだり、仮想通貨を勝手に転送したりというインシデントが発生したそうです。
（確認は取っていましたが）恐らくコードを紹介しているとみられるツイートがありました。
https://twitter.com/Symonator/status/1037610699315453952


また、以前流行した 51% 攻撃に関連し、Bitcoin Gold と Bittrex の間で、被害を保障するのか上場廃止するのか、やりとり（直訳だと脅迫）が起きています。
1800万ドルと金額も大きいですが、9/14 までに支払うよう Bittrex は求めているようです。

Bittrex Cryptocurrency Exchange Threatens Bitcoin Gold Delisting After $18 Million Stolen
https://insidebitcoins.com/news/bittrex-cryptocurrency-exchange-threatens-bitcoin-gold-delisting-after-18-million-stolen/169892

[hakka]

仮想通貨クラスタで話題になっている事例で、MEGA拡張のハッキングがありました。オンラインアップデートで侵害される他、エクステンションも安全ではない時代ですね。。。

- クローム拡張機能の「MEGA」が改ざん、ユーザーのモネロや個人情報を盗む
https://jp.cointelegraph.com/news/cryptocurrencies-arent-selling-off-because-of-goldman-sachs

google/github/microsoft といった主要なアカウントのパスワードを盗んだり、仮想通貨を勝手に転送したりというインシデントが発生したそうです。
（確認は取っていましたが）恐らくコードを紹介しているとみられるツイートがありました。
https://twitter.com/Symonator/status/1037610699315453952


また、以前流行した 51% 攻撃に関連し、Bitcoin Gold と Bittrex の間で、被害を保障するのか上場廃止するのか、やりとり（直訳だと脅迫）が起きています。
1800万ドルと金額も大きいですが、9/14 までに支払うよう Bittrex は求めているようです。

Bittrex Cryptocurrency Exchange Threatens Bitcoin Gold Delisting After $18 Million Stolen
https://insidebitcoins.com/news/bittrex-cryptocurrency-exchange-threatens-bitcoin-gold-delisting-after-18-million-stolen/169892

拡張機能についてはむやみやたらに追加しない、アクセス権限の変更には細心の注意を払い、
広範囲のアクセス権限等を求められた場合には一旦更新しないよう心掛ける、くらいでしょうか。

Bitcoingoldの件に関しては見せしめみたいなものですかね。
ハッシュパワーがBitcoingoldと同等またはそれ以下のものは同様のリスクがありますし笑
こういった事例が多くなると、ビットコイン等上場廃止リスクが極めて低い上位コインの人気が上がり、
草の淘汰がますます捗ってしまいそうです。。