仮想通貨のウォレットサービスを手がける「MyEtherWallet.com(MEW)」は4月24日、同社ユーザーのウォレットから仮想通貨Ethereumが盗まれる被害が発生したことを明らかにした。原因は同サービスの基盤のセキュリティ問題ではなく、DNSサービスの乗っ取りだったと説明している。
MEWによると、被害はユーザーの通信がフィッシングサイトに誘導されることで発生した。世界協定時間(UTC)で24日正午に複数のDNS登録サーバが何者かによってハッキングされたことが判明、このサーバを利用していたユーザーがMEWにアクセスしようとするとフィッシングサイトにリダイレクトされ、ウォレットの秘密鍵などの情報を盗み取られたと見られる。ユーザーがフィッシングサイトへ誘導される際、ブラウザ上にSSLの警告メッセージが表示されたにもかかわらず、これを無視してアクセスしたユーザーが被害に遭ったという。
MEWは、被害者の多くがGoogleのDNSサーバを利用していたと説明したが、CloudflareやOracle傘下のInternet Intelligence(旧Dyn)、セキュリティ研究者のKevin Beaumont氏の分析では、Border Gateway Protocol(BGP)の1つのAmazonが提供するDNSサービス「Route 53」への経路上で通信をハイジャックされたことが判明した。
通信経路をハイジャックする攻撃のイメージ(出典:Cloudflare)
ユーザーが最終的に、ロシアのプロバイダーにホストされたフィッシングサイトへ誘導される仕組みだった。フィッシングサイトへの誘導は、UTCで24日午前11時頃から午後1時頃までの約2時間に及び、被害規模は16万ドル(約1億7400万円)に上るとしている。
Beaumont氏は、Route 53はTwitterなども利用しているため、標的がMEWだけではなかった可能性があると指摘。また、攻撃者はシカゴのデータセンターのサーバを踏み台にして中間者攻撃を仕掛け、MEWのサーバ証明書を盗もうとしたが失敗した可能性があるという。
このため攻撃者は、フィッシングサイトで偽の証明書を使用と見られる。MEWは、被害者のブラウザがこれを検知して警告したにもかからず、ユーザーがアクセスしたことが被害の原因だと主張している。
通信経路をハイジャックしてユーザーを不正サイトに誘導する攻撃手法は昔から存在するものの、CloudflareやBeaumont氏は、関係先がユーザーやサービス提供企業、通信事業者やデータセンター事業者など複雑であることから、対策が容易ではないと解説する。
MEWは「大規模な銀行であっても巻き込まれる可能性がある」脅威だとし、ユーザーに対してアクセス先が正規の証明書を使用していることを確認したり、ハードウェアウォレットも利用したりして自身の情報を保護してほしいと呼び掛けた。
