Blog | カテゴリーなし
< 1 minute read

フィッシング詐欺に狙われる仮想通貨

Share this article

フィッシング詐欺に狙われる仮想通貨

Stefanie Ellis,
Portfolio Marketing Manager, MarkMonitor

 

2018年10月2日

かつて、ほとんどのフィッシングメールが金融機関の「なりすまし」でした。また文面が単純だったため、簡単に見破ることができていました。

 

しかし現代のフィッシング詐欺は、さまざまな方法で企業、社員、消費者を狙い、攻撃経路も1つではありません。社会がオンライン処理に依存すればするほど、詐欺の手口もより巧妙かつ革新的になってきました。代表的な例は、「クリプトフィッシング」と呼ばれる、オンライン上の金銭取引に仮想通貨が利用されるようになったことで登場した新しい形のオンラインフィッシングです。クリプトフィッシングについて後述しますが、まずは仮想通貨について見ていきましょう。

 

仮想通貨とは何か?

本ブログを執筆している時点で、2,004種類の仮想通貨と、14,000以上の仮想通貨市場が存在します。ここで仮想通貨に関するインフォグラフィック(英語)をご覧いただけますが、知っておくべき重要な仮想通貨用語を以下にまとめます。

 

  • 仮想通貨/コイン/トークン:
    仮想通貨は、シンプルにトークンと呼ぶことができます。トークンは、その仮想通貨の価値を表す単位と言えます。仮想通貨トークンの所有権は、デジタル台帳(通常は、ブロックチェーン)に記録されます。

 

  • ブロックチェーン:
    データベースプロトコルの1つです。仮想通貨の分野において、ブロックチェーンとは、パブリックな分散型台帳で、仮想通貨の取引や残高をデジタルで記録します。暗号学的ハッシュで安全性が保たれています。すべての仮想通貨がブロックチェーンを使用しているわけではありません。ブロックチェーンは、取引台帳以外の役割も果たし、あらゆる種類の連続したデータブロックを保存することができます(ブロックチェーンや、その他のハッシュを利用したシステムの可能性は、データベースと同様に無限だと言えます)。

 

  • 仮想通貨ウォレット:
    仮想通貨取引を実行したり、仮想通貨アドレスに紐付けされる残高を確認するためのソフトウェアです。具体的には、秘密鍵をコントロールするウォレット内で、秘密鍵と公開鍵に紐づけられた残高にアクセスしたり、秘密鍵を使って取引を実行するためのソフトウェアです。
    注意: 取引所のcustodial型(保管型)ウォレットのような特定の種類のウォレットでは、秘密鍵を管理しませんが、残高が保管される場所のアドレスを表示します。これらもウォレットと呼ばれます。

 

  • 鍵(暗号鍵):
    仮想通貨は、主に公開鍵暗号に基づいています。1つの鍵は公開され(公開鍵)、もう一方は公開できない(秘密鍵)ものです。公開アドレスとは、コインを送金するための公開されているアカウント番号で、秘密鍵のハッシュである公開鍵を持っています。秘密鍵は独自の個人パスワード(暗号化された秘密鍵など)で、署名をすればコインを送金できます。秘密鍵は、仮想通貨ウォレットにアクセスするときに必要なあらゆる情報の源であるため、絶対に共有しないようにしましょう。

 

クリプトフィッシングの仕組み

クリプトフィッシングが蔓延した主な原因は、暗号鍵です。従来型の銀行口座を狙うフィッシングはセキュリティ対策をくぐり抜けて送金を行い、その後、マネーロンダリングが必要となります。仮想通貨ウォレットは匿名であるため、比較的簡単に盗むことができます。

 

クリプトフィッシング詐欺は高度に標的化された攻撃であり、投資利益率が高いため、詐欺師にとっては組織化するとコストが高くなります。メール内容は受信者ごとにカスタマイズされ、正規のメールのように見えます。高度に標的化されているため、検知が難しく、不審メールとして通報されない可能性があります。

 

クリプトフィッシングは、メール以外にも、さまざまな攻撃方法を利用しているのでさらに状況を難しくしています。クリプトフィッシング詐欺は、SNSを利用することが確認されています。たとえば、有名な正規の仮想通貨のソーシャルグループになりすました偽のSNSプロフィールで、グループ内のメンバーを標的にすることもあります。また、クリプトフィッシング詐欺は、広告ワードを購入し、有料検索エンジンの検索結果にフィッシングサイトへのリンクを載せていることも知られています。

 

クリプトフィッシングメールは、ウェブウォレット、仮想通貨取引、ブロックチェーンなど、あらゆる仮想通貨関連のエンティティになりすまします。脆弱性は主に、ユーザーがオンラインまたはモバイルデバイスから仮想通貨ウォレットにアクセスする際に発生します(コンピューターや外部デバイスに、ハードコードで保護された秘密鍵が保存されることが主な原因ではありません)。

 

上記のフィッシングの例では、フィッシングサイトが秘密鍵やニーモニックフレーズ、あるいは特定のファイル情報を要請することで、ユーザーの仮想通貨ウォレットへのアクセスを試みます。

 

まとめ

仮想通貨の普及に伴い、仮想通貨処理プロセスを狙うフィッシング詐欺は増加するでしょう。新たな金融手段の登場に伴い、ソーシャルエンジニアリングの被害者となり、脆弱性が生まれます。仮想通貨ウォレットのログインや秘密鍵のセキュリティを確保することが、極めて重要です。取引所、通貨、ウォレットソフトウェアは、処理を匿名化することで、フィッシングによる損害の責任を回避しています。従来型の銀行とは異なり、詐欺による損害を補償する保険はありません。

 

仮想通貨に関するその他の基本情報:
https://cryptocurrencyfacts.com/
https://blockgeeks.com/guides/what-is-cryptocurrency/
https://www.investopedia.com/articles/investing/082914/basics-buying-and-investing-bitcoin.asp

 

MarkMonitorのソリューションについてはこちら

英語原文はこちら