[セキュリティ] 事例、情報まとめスレッド - page 4.

hakka

full member

Activity: 714

Merit: 158

To live is to think

Quote from: kazuki.t on October 07, 2018, 08:54:17 AM

pigeon coin が 15000ドルの被害に遭いました。
https://coinnounce.com/pigeoncoin-hacked-235-million-png-tokens-stolen/

事例として興味深いのは、Bitcoin で報告された脆弱性 CVE-2018-17144 が用いられたということです。
Bitcoin は秘密裏に脆弱性を修正してリリースを行いましたが、一方で Bitcoin に類似する（あるいはほとんどコピーの）通貨は打撃をこうむってしまったという点です。
ほとんどの仮想通貨は 80% 以上がコードを使いまわしているという報告もあるぐらいなので、暗号通貨自体のリスクはなかなか減らせそうになりですね。

被害額は大きくはないものの、性質としては危惧すべき問題ですね。
今回の様にBitcoinに不具合があった場合に、そのコードをコピーしたコインは確実に対応が後手に回るため、
脆弱性の周知後は、コピーコインは常にリスクがある状態といっても過言では無いかと思われます。

使い回しの有無は、投資対象を選定する際の一指標ともなり得そうです。

kazuki.t

member

Activity: 532

Merit: 36

pigeon coin が 15000ドルの被害に遭いました。
https://coinnounce.com/pigeoncoin-hacked-235-million-png-tokens-stolen/

事例として興味深いのは、Bitcoin で報告された脆弱性 CVE-2018-17144 が用いられたということです。
Bitcoin は秘密裏に脆弱性を修正してリリースを行いましたが、一方で Bitcoin に類似する（あるいはほとんどコピーの）通貨は打撃をこうむってしまったという点です。
ほとんどの仮想通貨は 80% 以上がコードを使いまわしているという報告もあるぐらいなので、暗号通貨自体のリスクはなかなか減らせそうになりですね。

kazuki.t

member

Activity: 532

Merit: 36

EOSIO Wallet Explorer を使った youtuber が 1500EOS を盗まれた事例が出てきています。

https://thenextweb.com/hardfork/2018/10/02/hodgetwins-cryptocurrency-eos-stolen/　
https://www.reddit.com/r/eos/comments/9kt4dm/eosio_wallet_explorer_removed/
　Valeriy Dorojkin によって作成されていたもので、すでに削除されたようです。

すべての詐欺から身を守るのは簡単ではありませんが、レビューのレーティングが高いものであっても（数百数千ぐらいならば容易に偽造可能なので）注意しましょう、ぐらいしか言えなさそうですね。
また、スマートフォン経由で鍵を扱うのも、あまり良くないと思います。別アドレスを作成し、必要な金額だけを都度転送するなどの対策を講じた方が良いでしょう。

hakka

full member

Activity: 714

Merit: 158

To live is to think

Quote from: kazuki.t on September 20, 2018, 07:40:36 PM

みなさまご存知で個々に追いかけていらっしゃるかと思いますが、記録の意味を込めて。

https://jp.cointelegraph.com/news/cointelegraph-japan-fast-news-26

zaif で不正アクセスがあり、67億円相当の仮想通貨が盗難されました。
以下、あまり個人のブログ記事とか貼らないんですが、情報としては面白いと思うので紹介しておきます。

攻撃者がZAIFタグをつけているなど。ある種の愉快犯ということでしょうか。興味深いです。
http://ka-soku.com/archives/12286308.html

直前の規約変更。果たしてこういうのって有効として扱われるんでしょうか。
https://www.cloudsign.jp/media/20180920-riyoukiyaku-zaif/

直前の規約変更は大変興味深いですねぇ笑
そもそも消費者契約法第8条に引っかかりまくるような条項が、9月13日の時点では並び立っていたのですね。。
コインチェック事件にも同様の話題があったような気がしますが、その際に対応しなかったのでしょうかね。

直前の規約変更の有効性については、経産省の以下の準則が詳しいですが、
今回に関しては利用者に対して大きな影響があるものかが論点となる気がします（変更後の規約に関し同意なんて一切取っていないでしょうし笑）。
http://www.meti.go.jp/press/2018/07/20180727001/20180727001.html

今後金融庁の検査等も入り、様々な事実が明るみになっていくかと思われますが、
紹介して頂いたような事実に鑑みてしまうと、あまり良くない結果が出るのではないかと個人的には予測せざるを得ません。 Roll Eyes

kazuki.t

member

Activity: 532

Merit: 36

みなさまご存知で個々に追いかけていらっしゃるかと思いますが、記録の意味を込めて。

https://jp.cointelegraph.com/news/cointelegraph-japan-fast-news-26

zaif で不正アクセスがあり、67億円相当の仮想通貨が盗難されました。
以下、あまり個人のブログ記事とか貼らないんですが、情報としては面白いと思うので紹介しておきます。

攻撃者がZAIFタグをつけているなど。ある種の愉快犯ということでしょうか。興味深いです。
http://ka-soku.com/archives/12286308.html

直前の規約変更。果たしてこういうのって有効として扱われるんでしょうか。
https://www.cloudsign.jp/media/20180920-riyoukiyaku-zaif/

kazuki.t

member

Activity: 532

Merit: 36

EOS のハッキング事例が日本語記事になっていました。

- またしてもEOSがハッキング被害か？安全性が問われる事態の連続
https://bitlife.cryptopie.com/eos-hacking/

ソースはコレのようですね。

- Two EOS Gambling Platforms Fall Prey to $260,000 Hack
https://www.ccn.com/two-eos-gambling-platforms-fall-prey-to-260000-hack/

いずれも、EOS の脆弱性というよりはスマートコントラクトに不備があったため、という記載に見えます。その意味では、日本語記事のタイトルはあまり内容を理解していないようですね。
ギャンブルプラットフォームは当たり外れの確率を攻撃で制御できるだけで儲けられるので、攻撃者にとっては一番やりやすい相手だと思います。

最後、XRP のフィッシングについて日本・韓国をターゲットにした事例、逮捕者が出たようです。ただ、使われた分は返ってこない公算が高そうです。
https://cryptodaily.co.uk/2018/09/stolen-ripple-korea/

kazuki.t

member

Activity: 532

Merit: 36

Quote from: hakka on September 12, 2018, 01:04:29 PM

また、散布図を見る限り、やはりインシデント数は時系列で見ても増加傾向にありそうですね。
（メジャーどころのみ取り上げているため、詳細な数は把握できませんが。）
個人的には、各暗号通貨の開発陣の能力よりも、クラッカー等の攻撃能力等の伸びが顕著となってきている結果のように思われます。
攻撃方法がより多彩になってくる中でどれだけ被害を食い止められるかは、暗号通貨の発展面でも、今後数年正念場となる予感がします。。

金銭に直接つながりやすいため、（例えば経済制裁を受けていて外貨を稼ぎたい国もあるでしょうし）攻撃者もリソースを割くようになってきているのでしょうね。一方で、銀行のように厳しく様々対策する開発者は少ないことが原因と思います。

https://blockmanity.com/news/chinese-media-accuses-90-cryptocurrencies-stolen-code/
>In the report, researchers from Xi’an Jiaotong University in China’s Shaanxi Province and representative of Netta Lab found 405 (83%) of the cryptocurrencies to have a similarity score of more than 90%.

90% のアルトコインが攻撃に晒されたことがあり、かつ暗号通貨の 83% は非常にコードが似通っているようです。
もちろんフォークであれば似通るとは思うのですが、開発者が独自のコードを書かずに再利用やコピペで実装しているケースもあると思われ、それゆえに十分なテストや考慮が為されていない点も問題点として考えられそうです。

https://www.btcnn.com/canadian-executive-steals-over-5-million-in-cryptocurrency/?platform=hootsuite
また、投資会社の従業員が会社の金で仮想通貨を購入して持ち逃げしたという事例もありました。セキュリティとは言えませんが参考まで。

Quote from: pealbow on September 12, 2018, 09:19:47 PM

https://www.virustotal.com/

有名な OSINT ですね。複数のエンジンで診断した結果が得られます。公開されてもいい情報だけアップロードするようにしましょう。スマホ版や chrome extension などもあるようです。

pealbow

newbie

Activity: 31

Merit: 0

ファイルやウェブサイトのマルウェアがあるかどうか検査してくれるサイト

https://www.virustotal.com/

もし使おうかと思ってるサイトに不安だったらこれで検査してみるといいかも。
マイニングを勝手にしているかどうかもチェックしてるよ。

試しに検索してみた結果
https://www.virustotal.com/#/url/d31187bcc9f78a5c50d347384b3502286e05007b3db37fbfbf66dfe6908c901f/detection

hakka

full member

Activity: 714

Merit: 158

To live is to think

Quote from: kazuki.t on September 12, 2018, 05:03:29 AM

https://www.hackmageddon.com/2018/09/10/list-of-major-crypto-hacks-so-far/
過去のインシデント一覧がまとめられているようです。コインチェックの大きさが際立っていますね。

ビットコインは引き続きランサムウェア・・・データや重要施設の稼働を人質にした脅迫に使われているようです。
https://www.ccn.com/this-canadian-town-is-coughing-up-bitcoin-after-ransomware-attack/

犯罪への悪用は避けられないものではありますが、現金と比べて何らかの優位性を訴えることができないと、今以上の発展はなかなか見込め無さそうですね。

Coin checkの知名度だけが（悪い意味で）グローバルに広まってしまったのは嘆かわしいことです。
また、散布図を見る限り、やはりインシデント数は時系列で見ても増加傾向にありそうですね。
（メジャーどころのみ取り上げているため、詳細な数は把握できませんが。）
個人的には、各暗号通貨の開発陣の能力よりも、クラッカー等の攻撃能力等の伸びが顕著となってきている結果のように思われます。
攻撃方法がより多彩になってくる中でどれだけ被害を食い止められるかは、暗号通貨の発展面でも、今後数年正念場となる予感がします。。

kazuki.t

member

Activity: 532

Merit: 36

https://www.hackmageddon.com/2018/09/10/list-of-major-crypto-hacks-so-far/
過去のインシデント一覧がまとめられているようです。コインチェックの大きさが際立っていますね。

ビットコインは引き続きランサムウェア・・・データや重要施設の稼働を人質にした脅迫に使われているようです。
https://www.ccn.com/this-canadian-town-is-coughing-up-bitcoin-after-ransomware-attack/

犯罪への悪用は避けられないものではありますが、現金と比べて何らかの優位性を訴えることができないと、今以上の発展はなかなか見込め無さそうですね。

hakka

full member

Activity: 714

Merit: 158

To live is to think

kazuki.t

member

Activity: 532

Merit: 36

仮想通貨クラスタで話題になっている事例で、MEGA拡張のハッキングがありました。オンラインアップデートで侵害される他、エクステンションも安全ではない時代ですね。。。

- クローム拡張機能の「MEGA」が改ざん、ユーザーのモネロや個人情報を盗む
https://jp.cointelegraph.com/news/cryptocurrencies-arent-selling-off-because-of-goldman-sachs

google/github/microsoft といった主要なアカウントのパスワードを盗んだり、仮想通貨を勝手に転送したりというインシデントが発生したそうです。
（確認は取っていましたが）恐らくコードを紹介しているとみられるツイートがありました。
https://twitter.com/Symonator/status/1037610699315453952

また、以前流行した 51% 攻撃に関連し、Bitcoin Gold と Bittrex の間で、被害を保障するのか上場廃止するのか、やりとり（直訳だと脅迫）が起きています。
1800万ドルと金額も大きいですが、9/14 までに支払うよう Bittrex は求めているようです。

Bittrex Cryptocurrency Exchange Threatens Bitcoin Gold Delisting After $18 Million Stolen
https://insidebitcoins.com/news/bittrex-cryptocurrency-exchange-threatens-bitcoin-gold-delisting-after-18-million-stolen/169892

hakka

full member

Activity: 714

Merit: 158

To live is to think

kazuki.t

member

Activity: 532

Merit: 36

Quote from: hakka on September 03, 2018, 02:03:23 PM

Quote from: hakka on September 01, 2018, 03:58:27 PM

モナコインのウォレットであるmonappyがクラッキングに遭い、サーバ上のホットウォレット内のほぼ全てのコインが盗難されたようです。
http://monappy.jp/index.html
今回は前回話題になったBlock withholding attack等とは全く関係なく、ギフトコードを送る機能の欠陥を突いた盗難であったようです。

Monacoinを保有している方にとってはある程度知名度の高いウォレットであったと思われますので、
盗難通貨に対する今後の対応や防止策には注目がまた集まりそうです。

続報です。
IndieSquare社によれば盗難に遭った分のMonaについては対象者に対し全額補償をするとのこと。
対象者は7000人以上とのことなので、影響としてはそこそこ大きかったようですね。
MonappyにおけるMonacoinの不正出金につきまして

hakkaさん、ありがとうございます。更新しようとしたところアップデートまでされていて、さすがです。

漏れ出てくる情報によるとレースコンディションの脆弱性を突いたものらしいですね。
セキュリティの専門家でも見つけるのは簡単ではなく、さらに外部から攻撃に利用するとなると、難易度は高いと思いますが、それでも得られる金額が金額ですので、攻撃者にとっては今後もこういった脆弱性は的になりそうと思います。
新しいIT companyになりうる（と個人的に思っている）各ICOでさえ、バグバウンティを実施しているものは多くないので、そのあたりもっと一般的になってほしいです。

サーバ側ですべて対策を講じるのは簡単ではないことから、利用者がオプションとしてコールド/ホットを任意で切り替えられるというのも緩和策としては考えられるのかもしれません。
「ホットウォレットは盗まれる可能性があります」というのはサービスとしては致命的ですし、管理が粗雑な場合はコールドであっても対策になりませんが、そんなことをふと思った次第です。

レースコンディションについてはJAVAの資料ですがIPAのものがあったので、ご参考までに。
https://www.ipa.go.jp/security/awareness/vendor/programmingv1/a03_06_main.html

hakka

full member

Activity: 714

Merit: 158

To live is to think

Quote from: hakka on September 01, 2018, 03:58:27 PM

モナコインのウォレットであるmonappyがクラッキングに遭い、サーバ上のホットウォレット内のほぼ全てのコインが盗難されたようです。
http://monappy.jp/index.html
今回は前回話題になったBlock withholding attack等とは全く関係なく、ギフトコードを送る機能の欠陥を突いた盗難であったようです。

Monacoinを保有している方にとってはある程度知名度の高いウォレットであったと思われますので、
盗難通貨に対する今後の対応や防止策には注目がまた集まりそうです。

続報です。
IndieSquare社によれば盗難に遭った分のMonaについては対象者に対し全額補償をするとのこと。
対象者は7000人以上とのことなので、影響としてはそこそこ大きかったようですね。
MonappyにおけるMonacoinの不正出金につきまして

hakka

full member

Activity: 714

Merit: 158

To live is to think

モナコインのウォレットであるmonappyがクラッキングに遭い、サーバ上のホットウォレット内のほぼ全てのコインが盗難されたようです。
http://monappy.jp/index.html
今回は前回話題になったBlock withholding attack等とは全く関係なく、ギフトコードを送る機能の欠陥を突いた盗難であったようです。

Monacoinを保有している方にとってはある程度知名度の高いウォレットであったと思われますので、
盗難通貨に対する今後の対応や防止策には注目がまた集まりそうです。

kazuki.t

member

Activity: 532

Merit: 36

ICO Exit 詐欺について、まとまった分析を行っている記事がありました。（私も一部ひっかかりました・・・）
https://www.ccn.com/ico-exit-scams-have-stolen-nearly-100-million-research/?utm_source=dlvr.it&utm_medium=twitter

セキュリティとは若干経路は違うものですが、こういった情報をインプットして勉強し、なるべく詐欺に引っかからないようにしたいものです。

ooiocha

newbie

Activity: 36

Merit: 0

ウイルスやマルウェアが怖いですね。
時々盗まれたっていう話を耳にするので。
どこから拾ってくるのかわからないのも怖いです。

BBOD_AM

newbie

Activity: 9

Merit: 0

セキュリティ（安全性）の高い取引所として、「分散型取引所（DEX）」に多くの注目が集まっています。
これまでの分散型取引所（DEX）におけるデメリットを踏まえ、多くの企業が開発を行っているようです。
ちなみに、本日バイナンスは開発中の分散型取引所のデモ映像を公開しました。
https://jp.cointelegraph.com/news/binance-releases-demo-of-decentralized-exchange

これから、ますます多くの分散型取引所が登場するでしょう。
とは言え、取引所が完全に守ってくれるわけではないので、自己で責任をもってしっかり管理するべきですね。 Wink

kazuki.t

member

Activity: 532

Merit: 36

SIMハイジャックの犯人が逮捕された記事がありました。先週のものですが流れてきたので。さすがに狙ってやったのか、額が大きいですね。
https://www.darkreading.com/endpoint/privacy/$5-million-in-cryptocurrency-stolen-in-sim-hijacking-operation/d/d-id/1332422?utm_content=bufferfc31e&utm_medium=social&utm_source=twitter.com&utm_campaign=buffer

最近、ICO で立ち上がった企業なのか、盗難向けの保険が徐々に出てきていますね。
まだまだボラティリティも大きいですし、盗まれたことを真実と証明するのは結構難しそうな気がしますが、もし面白そうなものがあればシェアしたいと思います。

Topic: [セキュリティ] 事例、情報まとめスレッド - page 4. (Read 23851 times)