2020 年 6 月 25 日 Trevor Collins 著

昨日、セキュリティ調査会社の ClearSky が、CryptoCore というサイバー脅威グループに関するレポートを発表しました。CryptoCore という名前からお察しの通り、特に暗号通貨のウォレットや取引所を標的にしています。

このグループは、ビットコインなど、暗号通貨の取引所を運営する企業に対しソーシャルエンジニアリングを巧妙、かつ組織的に行っています。最初は、マネージャーなど従業員の個人アカウントを狙います。次にそのアカウントから得た情報で幹部をスピアフィッシング攻撃し、個人用コンピュータにマルウェアのインストールを試みます。CryptoCoreは、このスピアフィッシング攻撃でパスワードを収集しようとします。このような高度に洗練された攻撃によって、過去 2 年間に 2 億ドル以上の収益を得ています。

この問題は暗号通貨取引所に存在していますが、そのセキュリティ対策の欠如は、適切なセキュリティ設定を行う上で何を避けるべきかという教訓を示しています。取引所の多くは、数億ドル単位で取引をするような顧客に対して適切なセキュリティを設定していません。まず、個人のパスワードで取引所を管理すべきではありません。CryptoCore は、多要素認証がある場合はそれを無効にしようとしますが、サーバが適切に設定されていれば無効にはできません。また、取引所のオーナーや CEO であっても、管理者のアカウントには、仕事場、個人の端末を問わず決してアクセスすべきではありません。そのかわり、管理者アクセスはインターネットに繋がっていない専用サーバに制限すべきです。こうすれば、物理的なアクセスや認証の脆弱性を利用しない限り、攻撃者は多要素認証を無効にすることができません。クライアント側としては、費用がかかっても多要素認証を利用した方が良いでしょう。取引所や価値の高い組織が、専用の開発サーバで多要素認証を必須にしていれば、パスワードが漏洩しても、それだけではデータにアクセスできません。