仮想通貨のハッカーが遂に、マイクロソフト(Microsoft)の3つの電子メールであるMSN、Outlook 、Hotmail に目を向けていることが分かりました。デジタルメディアのヴァイス(Vice)は2019年4月30日、多くの仮想通貨ホルダーが4月初めごろからハッカーに襲われ、これら電子メールが乗っ取られて、仮想通貨が盗まれたと伝えています。
マイクロソフト従業員の電子メールに侵入、ユーザーデータを詐取
事件が起きたのは、ハッカーがマイクロソフトのカスタマーサポート担当の従業員の電子メールアカウントに侵入して始まりました。マイクロソフトの広報担当者の話を引用した別のメディアのテッククランチ(TechCrunch)によると、ハッカーはユーザー名やパスワードなど、マイクロソフトへのログイン詳細データを詐取して、顧客のアカウントに容易にアクセスしていたことが分かりました。
オランダの技術フォーラムは、その被害者で当時の価格で約57万円相当に当たる約1BTCを奪われたジェイボン・リットミースター(Jevon Ritmeester)さんが被害を報告しています。リットミースターさんは、仮想通貨取引所クラーケン(Kraken)のアカウントにログインできなくなり、複数のログイン変更通知を発見。そしてクラーケンに関するすべてのメールがゴミ箱に入っているのに仰天したそうです。
大手SNSのレディット(Reddit)には、被害者たちの苦情の訴えが殺到しました。被害者の1人であるShimatechlabsという名のユーザーは、2万5,000ドル(約270万円)相当のデジタル資産を失ったと投稿していました。
パスワードなどの保護は自己責任か?プライベートキーの漸弱性
マイクロソフトの公式見解は、重要な情報は安全確保に十分配慮するようにという型通りのもので、メールアドレス、ネーム、パスワードなどログイン認証情報などの管理は同社の権限外のものであるという訳です。セキュリティ対策上推奨されている1つの手段が2段階認証(2FA)ですが、携帯電話を乗っ取る「SIMスワッピング」攻撃を仕掛ければ、携帯電話からワンタイムパスワードを乗っ取るのは容易であることが最近分かっています。
セキュリティコンサルティング会社であるインディペンデント・セキュリティ・エヴァリュエイターズ(Independent Security Evaluators :ISE)は、最近公表した「Security bandit(セキュリティ強盗)」は、プライベートキーの「脆弱性」を突いてこれまで、現在の価格で約13億円相当になる4万4,744イーサ(ETH)を盗んだ話を紹介しています。
プライベートキーのナンバーを推測するのは100万分の1の確立と理解されていますが、この強盗にとってそれは、約735のプライベートキーを推測すれば、被害者のアカウントにほぼ無制限にアクセスできたという笑えない事実が明るみに出ました。
仮想通貨を守るために安易なパスワードの設定は危険
ISEの上級セキュリティアナリストであるエイドリアン・ベドナレク(Adrian Bednarek)氏は、偶然この犯罪者と会う機会があり、容赦ないハッキングで他人のアカウントにアクセスしたことを非難したのに対して、彼は単に不完全なランダムな数字を並べ、間違ったコードを探しただけと回答していたことを報告しています。ハッカーにとって、プライベートキーにリンクした一部のウォレットへの侵入は容易なことです。
同氏は次のように注意喚起しています。ハッキングは、ソフトウエアを使って生み出すコードに内在する欠陥に起因します。しかし同時に、ハッカーは多数のプライベートキーについて最もありふれたパスフレーズ(例えば12345とか0000あるいはabc123など)のいくつかを使って解読することもできるのです。ユーザーは、パスワードの設定に十分な注意を払わなくてはなりません。
【こんな記事も読まれています】
・仮想通貨取引所バイナンス(Binance)でハッキング、46億円相当のビットコイン(BTC)が被害に
・総額1,000億円近くの仮想通貨ハッキングは2大グループによる犯行か?
・レジャーナノ(Ledger Nano S)を使用した仮想通貨の安全な保管方法や使い方とは?
参考
・BLOCKONOMI
・TechCrunch
