Bitcoin(ビットコイン)とEthereum(イーサリアム)は『新たなサイバー犯罪/標的型攻撃』の矛先へ!

f:id:security-security:20170607075159j:plain

VALUという仮想通貨交換型の評価経済プラットホームが大人気な日本。しかし、強力な暗号形式を用いたBitcoin(仮想通貨)であっても網の目をかいくぐるクラッカー達からすれば新しい獲物にすぎない。

 

Bitcoin(ビットコイン)とEthereum(イーサリアム)の新しい通貨としての体験に勢いづく世界ではあるものの、やはりセキュリティ対策視点から再認識を行う必要がある点を今回は言及する。

 

 

SPONSORED LINK

 

1.Bitcoin(ビットコイン)とEthereum(イーサリアム)利用者が考えるべき事例とは?

f:id:security-security:20170607075511j:plain

MOTHERBOARDによれば、NYにIRLというバーチャルリアリティプロダクションを構えるCody Brownの携帯電話番号とE-Mailアカウントをクラッカーが不正に取得した後に、Coinbaseアカウントにログインし8000ドルを強奪した。

 

今回の事例から言えば、個人情報を獲得したユニークな存在であれば、誰でもBitcoin・Ethereumから資本を盗み取る事が可能という訳であり、これは人間側の人的被害、ヒューマンエラーによって生じた初歩的な事件だと言える。

 

Coinbase側はユーザーパスワードの2段階認証を通じてサイバー攻撃に対する対応をしているが、前提として仮想通貨業界はまだまだクラッカー・悪意のあるハッカーからすればセキュリティレベルの低い新規プラットホームと認識されているのだろう。

 

今回の攻撃から私たちが学ぶべき事実として、SIMスワッピングというハッキング手法が存在していて、SIMスワッピングとは、ハッカー側が攻撃対象者の携帯電話会社に電話をかけて、受付サポート担当者に新しいSIMカードの発行を促したり、電話番号の再取得を行う事だ。

 

また、Coinbase自体は電子メールとデジタル通貨側のウォレット(お財布)の両方でユニークで強力なパスワードとTOTP(Time-based One-time Password/2段階認証)によって、そのセキュリティレベルを引き上げる事を強く推奨している。

 

SMSを通じた認証ではセキュリティレベルは低く、2段階認証が重要だという事実を日本側でも十分に認識する必要性を今回は特に伝えておきたい。なぜなら、どれだけ技術的にハイセキュリティだとしても人間側がミスをすれば意味をなさないからだ。

SPONSORED LINK

 

2.仮想通貨を扱う『ユーザー側の認識の変化』が急務?

f:id:security-security:20170607081815j:plain

個人的にはデジタルアイデンティティ/デジタルIDの普及を早めて欲しくてたまらないのだが、ブロックチェーンの一般利用や普及度合いを考えると既存の技術でセキュリティレベルを少しでも高める必要性を感じている。

 

例えば、2011年からGoogleの2段階認証って始まっているけど、新しい技術となるBitcoinに目を向けすぎて、過去の良い技術に認識が向かない事例があると思う。

 

一言で言い換えれば、技術がどれだけ進歩しても人間それ自体がアップデートされなければどうしようも無いし、そのどうしようもない状況を狙い澄ましてハッカーサイバー攻撃をガシガシ仕掛けてきやがるんだぜ!という事。

 

セキュリティって何?と再考してみては?

参照

The Rising Price of Bitcoin and Ethereum Is Leading to More Hacking Attempts - Motherboard

RFC6238 Time-based One-time Password Algorithm (TOTP)の仕組みのメモ - Qiita

Googleの2段階認証で使われているOTPの仕様が気になった - r-weblife

遂にキタ - .∵・(゚∀゚)・∵. - ッ!!大事なGoogleアカウントを堅牢に守りきる2段階認証プロセス日本語版がとうとう有効になりました! - 適宜覚書-Fragments