SMS認証の脆弱性を突いた攻撃

これは、個人で取引所を使う人を対象にしたハッキングの手口。名前と電話番号を知られれば取引所へログインされてしまうかもしれないという、恐ろしい手口です。

これに関わってくるのは、電話通信事業者で使われるSS7(共通線信号方式No.7)というプロトコルの脆弱性です。

現在の電話のシステムでは、電話の音声データを送信する回線と、誰がどこに電話をかけているかといった情報や、かけた側の支払い情報などを送信する共通線と呼ばれる回線とに分けられています。この方式であれば通話と同時に送受信できるデータ量を増やし、通話の転送や番号通知、割込通話などの周辺サービスを充実させることができるのです。

この共通線のネットワーク間で情報をやり取りするためにSS7が活用されます。共通線からの信号を中継するSS7ネットワークは電話通信網の神経といってもいいもので、1970年代に導入されて以降、電話に関連するサービスが多様化した現在に至るまで世界各地で活用されています。

SS7ネットワークは通常なら通信事業者だけがアクセスできるものですが、外部の人間がこれにアクセスした場合、他人宛に送られたSMSの盗み見ができてしまいます。なので、2段階認証あるいはパスワードの再発行にSMSを使っている場合、セキュリティーが意味を成さなくなるのです。

(SMSを盗み見ることで、氏名と電話番号だけを手がかりに他人のビットコインウォレットへアクセスできることを示す動画)

そもそもSS7ネットワークへの侵入が難しいため、この方法での被害に遭う確率は少ないと考えられます。それでも万一のことを考えて、2段階認証の設定はSMSよりも認証アプリを使う方が安全でしょう。

偽ウォレット

仮想通貨のウォレットはアプリ上で使えるものもあり、手軽なため多くの人が利用しています。しかし、万一悪意のある作成者が作ったウォレットに仮想通貨を置いてしまうと、盗まれる危険があります。

2016年8月、そのような事件が明るみに出ました。Breadwalletなど複数種類のウォレットに似せた偽ウォレットがApp Storeに出回り、それを使っていたユーザーの仮想通貨が盗まれたというのです。被害総額は少なく見積もっても2万ドルと発表されています。

この偽アプリは本物のアプリからソースコードを一部拝借し、外見も本物そっくりと手の込んだ代物。何よりも、厳しいことで知られるアップルのアプリ審査をまんまとすり抜けたという事実が動揺を誘いました。

ないものをでっち上げるパターンもあります。取扱通貨が多いことで知られる人気の取引所Poloniexは独自のアプリを公開していないにもかかわらず、Google Play上にはPoloniexを名乗るアプリが複数存在するというのです。

いずれの場合も共通して言えるのは、アプリをダウンロードする前にアプリの出所を確認する必要があること、そして、そもそも公式がアプリを作っているかどうかチェックする必要があるということでしょう。

仮想通貨盗難の方法は巧妙化の一途をたどっています。自分の資産を守るのは自分の責任ですが、不幸中の幸いか、少し落ち着いてよく確認するだけでもある程度のリスク緩和につながります。

時代がめまぐるしく動き、早くて便利がスタンダードになった今の時代。じっくり立ち止まって確認するという気の持ちようが重要性を増しているのかもしれません。