先週の事例まとめ
- HB Wallet 関連
https://bacoor.co/hb/
結局、内部犯でしたね。スパイウェア的な機能を埋め込まれてしまう手口は、回避は難しそうです。。。
コインチェックで話題になった保険などもあるのではと思って調べてみましたが、(仮に契約していたとしても)現状では対応しきれないユースケースのようなので、複数の場所に分散しておくぐらいがリスク回避策になるでしょうか。
- HDAC マイニングプールのハッキング
http://virtualmoney.jp/I0003255
マイニングプールへの攻撃も、これまで以上に本格化しそうですね。
ため込んでいる通貨を奪う可能性に加え、ハッシュパワーを一時的にでも悪用できれば多額の収益を得られる可能性が示されていますし。
http://www.icomegamarket.com/研究者が51%攻撃のコスト試算、etcなら60億円のコス/?lang=ja
51%攻撃は、研究によると 16倍以上の収益につながる可能性があるそうです。こういった研究からも、攻撃が続くことは示唆されると思います。
Topic: [セキュリティ] 事例、情報まとめスレッド - page 6. (Read 23804 times)
今回のHBウォレットの件に関しては…どう対策すべきですかねぇ…
いつ何時でも出金できるようETHを常備しておくとか、その際焦ってセルフGOXしないとか…
最終的にはソフトウォレットではなくハードウォレットを使用するというところに行き着くとは思いますが、あるいはソフトウォレットはエアドロップ用の不安定な金庫であると認識して、こういうこともあると覚悟しておく心構えとかですかね。
いつ何時でも出金できるようETHを常備しておくとか、その際焦ってセルフGOXしないとか…
最終的にはソフトウォレットではなくハードウォレットを使用するというところに行き着くとは思いますが、あるいはソフトウォレットはエアドロップ用の不安定な金庫であると認識して、こういうこともあると覚悟しておく心構えとかですかね。
怪しいURLの書かれたWavesトークンのアドレスは、アクセスしただけでも危険らしいです。
もしかすると何かウイルスやスクリプトが埋め込まれてるのかも?
今の所被害には遭ってないですが、気をつけた方がよさそうですね。
多分ですが、Airdropで応募してるWavesアドレスを収集して送りつけてるような気がします。
もしかすると何かウイルスやスクリプトが埋め込まれてるのかも?
今の所被害には遭ってないですが、気をつけた方がよさそうですね。
多分ですが、Airdropで応募してるWavesアドレスを収集して送りつけてるような気がします。
Airdropに参加するにも、やはり皆がリテラシーを身を高めることは必要ですね。
そういう意味でもこういった、セキュリティ関係をまとめてくださっているスレッドは有意義だと感じます。
怪しいURLの書かれたWavesトークンのアドレスは、アクセスしただけでも危険らしいです。
もしかすると何かウイルスやスクリプトが埋め込まれてるのかも?
今の所被害には遭ってないですが、気をつけた方がよさそうですね。
多分ですが、Airdropで応募してるWavesアドレスを収集して送りつけてるような気がします。
もしかすると何かウイルスやスクリプトが埋め込まれてるのかも?
今の所被害には遭ってないですが、気をつけた方がよさそうですね。
多分ですが、Airdropで応募してるWavesアドレスを収集して送りつけてるような気がします。
twitterで拡散されていましたがwavesのウォレットに勝手にコインを送りつけて
フィッシングサイトに誘導する詐欺があったようですね。
手口としてはhttp://やhttps://で始まる名前のトークンを送り付け
そのトークンの名前のURLにアクセスすると、そこから自動的にwaves clientや
waves light clientのアカウント復元画面にそっくりのページにとび、そこでseedを打ち込ませる、という手法だそうです。
自分のwaves clientには幸い送られてきていませんでしたが、
身に覚えのないコインが送られてきた際には、当たり前のことですが注意が必要ですね。
フィッシングサイトに誘導する詐欺があったようですね。
手口としてはhttp://やhttps://で始まる名前のトークンを送り付け
そのトークンの名前のURLにアクセスすると、そこから自動的にwaves clientや
waves light clientのアカウント復元画面にそっくりのページにとび、そこでseedを打ち込ませる、という手法だそうです。
自分のwaves clientには幸い送られてきていませんでしたが、
身に覚えのないコインが送られてきた際には、当たり前のことですが注意が必要ですね。
今週の事例まとめ:
- モナコインで 51%攻撃が観測されました。
取引所に送金したのち、非常に大きなハッシュパワーを使って掘り進めていたフォークを公開。送金をなかったものとして、1千万円単位の利益を不正に得たという理解です。
日本語記事: http://www.itmedia.co.jp/news/articles/1805/18/news071.html
reddit のスレッド: https://www.reddit.com/r/monacoin/comments/8k7640/51_attack_on_monacoin/
- Coinhive を設置したことにより、警察の捜査を受けているという報告があるそうです
http://takagi-hiromitsu.jp/diary/20180519.html
- コインチェック関連では SNS を使って半年前から情報収集等が行われていたことが明らかになりました。
https://security.srad.jp/story/18/05/15/0924228/
- モナコインで 51%攻撃が観測されました。
取引所に送金したのち、非常に大きなハッシュパワーを使って掘り進めていたフォークを公開。送金をなかったものとして、1千万円単位の利益を不正に得たという理解です。
日本語記事: http://www.itmedia.co.jp/news/articles/1805/18/news071.html
reddit のスレッド: https://www.reddit.com/r/monacoin/comments/8k7640/51_attack_on_monacoin/
- Coinhive を設置したことにより、警察の捜査を受けているという報告があるそうです
http://takagi-hiromitsu.jp/diary/20180519.html
- コインチェック関連では SNS を使って半年前から情報収集等が行われていたことが明らかになりました。
https://security.srad.jp/story/18/05/15/0924228/
最初は事例ベースでまとめようかと思ったのですが、調べるとあまりにも多くの例が見つかったので断念しました。
今のところ一般的な観点にとどめ、まとめてみました。追記や指摘は大歓迎です。(もしスレッドが重複していたらご容赦ください)
今のところ一般的な観点にとどめ、まとめてみました。追記や指摘は大歓迎です。(もしスレッドが重複していたらご容赦ください)
仮想通貨の世界では、自分の身は自分で守らなくてはなりません。
一方で、攻撃者による攻撃は高度になり続けています。全員が少しずつ気を付ければ、被害を回避したり緩和したりできるはずです。そんな想いでスレッドを立ち上げました。
ユーザーがどんなことに気を付ければいいか、というところに重点を置きます。足りない情報や最新事例などお持ちの方はぜひお寄せください。ご指摘も歓迎です。
* ひとつの取引所に多くのトークンを置かない
事例: MtGox, CoinCheck のような取引所からの盗難
* 利用するサービスのパスワードは強固なものにする
- 使い回さない(Lastpass, 1password 等の利用)
- 辞書にあるような文字列の並びは避け、組み合わせる場合もできれば 3つ以上にする
- gmail だとプラスでメールアドレスを変えられるので、ID も都度変えてもいいかもしれません
* セキュリティ機能は必ず設定する
- Metamask など、開発者チームが推奨する対策は必ず実施する
- MFA を設定し、そのバックアップも取ること(複数端末でスキャン、バックアップ用文字列を紙に手書き等)
* 扱う機器にも注意を。
- 不必要なものはインストールしない。特にブラウザアドオンやスマホアプリは、インストールユーザ数やレビューを過信してはいけません
- Windows Updateなど OS のアップデートは放置せず適用すること ※まれに起動しなくなるバグとかあるので諸刃の剣ですが。
- 自宅内のDNSはノートンコネクトセーフとか使うと良いかもしれません
* 秘密鍵はオフラインに
- 資金があればハードウェアウォレット、難しければ USBメモリ等。喪失に備えてバックアップも。
* 情報は裏を取る
- エアドロップやICOのお知らせ等、メールやDMで得た情報をうのみにせず、必ずウェブサイトやホワイトペーパーなど一次情報に当たるようにしましょう。
- Google検索から取引所に飛んでませんか?URLは間違いありませんか?証明書エラーは出てませんか?
- 電話や SNS で仮想通貨のことを話していませんか?自分から情報を垂れ流していることを自覚してセーブしましょう。
* もし SCAM(詐欺)や攻撃に遭った場合も、まずは被害を見極める
- 被害者を狙った詐欺もあります。冷静にダメージコントロールに努めましょう
一方で、攻撃者による攻撃は高度になり続けています。全員が少しずつ気を付ければ、被害を回避したり緩和したりできるはずです。そんな想いでスレッドを立ち上げました。
ユーザーがどんなことに気を付ければいいか、というところに重点を置きます。足りない情報や最新事例などお持ちの方はぜひお寄せください。ご指摘も歓迎です。
* ひとつの取引所に多くのトークンを置かない
事例: MtGox, CoinCheck のような取引所からの盗難
* 利用するサービスのパスワードは強固なものにする
- 使い回さない(Lastpass, 1password 等の利用)
- 辞書にあるような文字列の並びは避け、組み合わせる場合もできれば 3つ以上にする
- gmail だとプラスでメールアドレスを変えられるので、ID も都度変えてもいいかもしれません
* セキュリティ機能は必ず設定する
- Metamask など、開発者チームが推奨する対策は必ず実施する
- MFA を設定し、そのバックアップも取ること(複数端末でスキャン、バックアップ用文字列を紙に手書き等)
* 扱う機器にも注意を。
- 不必要なものはインストールしない。特にブラウザアドオンやスマホアプリは、インストールユーザ数やレビューを過信してはいけません
- Windows Updateなど OS のアップデートは放置せず適用すること ※まれに起動しなくなるバグとかあるので諸刃の剣ですが。
- 自宅内のDNSはノートンコネクトセーフとか使うと良いかもしれません
* 秘密鍵はオフラインに
- 資金があればハードウェアウォレット、難しければ USBメモリ等。喪失に備えてバックアップも。
* 情報は裏を取る
- エアドロップやICOのお知らせ等、メールやDMで得た情報をうのみにせず、必ずウェブサイトやホワイトペーパーなど一次情報に当たるようにしましょう。
- Google検索から取引所に飛んでませんか?URLは間違いありませんか?証明書エラーは出てませんか?
- 電話や SNS で仮想通貨のことを話していませんか?自分から情報を垂れ流していることを自覚してセーブしましょう。
* もし SCAM(詐欺)や攻撃に遭った場合も、まずは被害を見極める
- 被害者を狙った詐欺もあります。冷静にダメージコントロールに努めましょう
Jump to: