仮想通貨アナライズ

エンジニア視点で仮想通貨について考察するブログ

くろしば大注目の NANJ は CoinExchangeで買えます

カテゴリ: セキュリティ

5aef269283b67c5554608b604cd74dc8_s

chrome 拡張ドテンくるによる出金アドレス書き換え詐欺事件が発生しました。

ドテンくるとは、有名なBTCFXトレードBOT「ドテン君」がポジションを持ったタイミングを知らせるGoogle chrome 拡張機能で、Google ウェブストアから入手可能になっていました。

ドテン君はそのトレード成績から評判が良く、ソースコード?(私は買ってないのでわからないです)が note で販売され高額にも関わらず結構多くの購入者がいる、人気のBOTです。

そんな BOT がエントリーしたタイミングを無料で教えてくれるわけですから、私も騙されインストールし、通知を見ていました。

でもその実態は、インストールした者を稼がせビットコインアドレスを書き換えて不正送金させる恐ろしい拡張でした。

幸いにも私は被害には遭いませんでしたが、同じようなことが起こるリスクはあります。
また、取引所の JavaScript が悪意ある者によって書き換えられれば被害は拡大します。
そこで、どのような点に気をつけたらいいか、私なりに考えてみました。

被害に遭わないために

今回の事件で明らかになったのは、表示されるビットコインアドレスは信用できないということです。
でも、アドレスが分からなければ送金はできないので、表示されたアドレスを信用するためにチェックするようにしてみましょう。

・アドレスが表示される画面にはQRコードがあわせて表示されることが多いようですので、手間は掛かりますがQRコードを読み込み、表示されているアドレスと同じかどうかチェックしてみましょう。

QRコードはJavaScriptによって書き換えられる可能性は低いという発想です。


・拡張を一切インストールしない取引所専用ブラウザを用意しましょう。

拡張機能は便利なのですが、仮想通貨取引では便利よりも安全性を取りましょう。
仮想通貨の取引所だけでなく、ネット銀行や証券会社へアクセスする時も気をつけたほうがよいと思います。

普段使いが Google Chrome であれば、追加で FireFox や Opera、Seamonkey、Vivaldi など2つ目のブラウザを用意しましょう。

被害を最小限にするために

以前は仮想通貨を送金するときは、送金ミスで仮想通貨を失わないようにまず少額送ってみるというアドバイスがありました。

でも、今回の事件を考えて、アドレスが正しいものかどうかを確認するために少額送ってみるというアドバイスに変えるほうがよいかもしれません。


今回の事件の早期解決を願っています。

08fcf6e1f27d6947fe7719c898a78c8c_s


Google Chrome を使って取引所にアクセスしている方への記事です。

Google Chrome が旧Symatec 系のSSL証明書を順次無効としていくため、これらが発行したSSL証明書を取引所が使っていると、Google Chrome でアクセスできなくなります。

参考に、Internet Watch の記事を紹介しておきますね。

旧Symantec系SSL/TLS証明書、3月15日以降順次、Google Chromeで失効
https://internet.watch.impress.co.jp/docs/news/1110527.html



対象となるのは、Googleによって信頼できないと判断されたSymantec系認証局(CA)のThawte、VeriSign、Equifax、GeoTrust、RapidSSLなどが発行したSSL/TLS証明書。これについてGoogleでは、2017年9月にも告知を行っていた。



SSL 証明書というのは、Webサーバとブラウザにそれぞれインストールされており、https 接続するときに信頼できるものかどうかチェックして、OK なら緑の鍵アイコンを表示する仕組みになっています。

この問題を簡単に説明すると、旧Symantec系認証局が証明書を発行する過程に置いて不備があったため、Google がこれらの認証局が発行した SSL 証書は信頼できないものとみなすのです。

なので、この認証局が発行した SSL 証明書を使っている取引所が存在すれば、その取引所へ Google Chrome を使ってアクセス不能になる可能性が高いです。

もしセキュリティーの問題でアクセスできないという警告が出たら、アドレスバーの鍵マークをクリックして証明書「無効」のところをクリックしてみてください。
おそらく、発行元がSymantec、Thawte、VeriSign、Equifax、GeoTrust、RapidSSLなどのいずれかであるはずです。

気をつけていただきたいのが、取引所がハッキングされた!という勘違いです。
バイナンスの事件からまだ日が浅いので、間違った情報が拡散されることを危惧しています。
どうか、セキュリティーの問題で取引所へのアクセスができなくなっても慌てないでください!

638a555c8116209288977dc4ad774d09_s

ビットバンクからフィッシングメールの見分け方という記事が投稿されていました。

bitbankを装ったフィッシングメールの見分け方について
https://bitbankcc.zendesk.com/hc/ja/articles/360001685513

ビットバンクさんは EV SSL 証明書という一番審査の厳しい証明書を取得されていて、企業名がアドレスバーに表示されるので、フィッシングメールというか、フィッシングサイトにひっかかりにくいわけですね。

でも、取引所によっては企業名が出ていないところもあります。
なぜだと思いますか?


SSL証明書には2つの役割がある
  1. SSL 証明書を使うと暗号化された通信が可能となります。
  2. サーバ運営している組織が実在することを証明します。
ビットバンクは2番目の項目も満たした SSL 証明書を使っているのですね。


SSL証明書の種類

SSL証明書はSSL認証局という組織(多くの場合、代理店)から SSL 証明書を購入します。この時に証明書の種類が選べるのです。

参考に、さくらインターネットの記事を紹介しますね。
https://ssl.sakura.ad.jp/column/attestation-level/

ドメイン認証、企業認証、EV 認証の3種類あります。

このうち、ドメイン認証というのが一番グレードが低いのですが、取得も簡単、価格も安いのですw
サイトの所有者かどうかは、管理者しかできないこと(管理者宛メールを受け取る、Webサーバに指定されたファイルを置く)などのシンプルなチェックでおしまいです。
これじゃあ、フィッシングサイトも楽々作れてしまいますね…。

一方、企業認証、EV 認証は、申請してきた企業が存在するか確認するので、フィッシングサイトを作りにくいわけです。
特に、EV 認証は審査条件も厳しく、ブラウザのアドレスバーに企業名が表示されるため、エンジニアでなくても分かりやすいものになっています。

企業認証は、証明書情報を見れば組織名が証明書に含まれているのでチェックできるんですが、そんなのをいちいち確認する人は居ませんよねw
誰でもひと目で分かるのがよいのです。

残念ながらいくつかの取引所はドメイン認証タイプの SSL 証明書を使っているようです。
取引所は大きなお金が動きますから、全ての取引所に EV 証明書の導入をお願いしたいところです。


番外編1:Let's Encrypt

SSL 通信を普及させるため、https://letsencrypt.jp/ というプロジェクトがあり、無償で SSL 証明書を取得することができます。
取引所がこの証明書を使うことは無いはずなので、証明書の発行元が Let's Encrypt だったらフィッシングサイトを疑ってください。
この証明書を使っていても、緑の鍵マークは出ますので気をつけて!

番外編2:オレオレ証明書

SSL 証明書はSSL認証局という組織から購入すると説明しました。といっても、単にお金を払えば証明書ファイルが送られるのではなく、証明書リクエストファイル(CSR)を作ってそれを認証局に送り、署名してもらったのが SSL 証明書なのです。

でも、この署名作業を自分でやってしまうことができます。これを通称でオレオレ証明書と読んでいます。
この手法で作られた証明書は、ブラウザが証明書チェックするときに「そんな認証局は知らん!」と怒るので緑の鍵マークは出てきません。


SSL 証明書の役割を知ってもらい、フィッシングサイトに騙されないように気をつけて貰えたら嬉しいです!

今日、ビットバンクからフィッシングメールの警告が届きました!
送信されているメールのタイトルと本文の一部は次の通りとのこと。

【bitbank.cc】アカウントの資金が凍結

アカウントの資金が凍結されました。ログインして確認してください。 あなたのアカウントは何度もログに記録されています。 あなたのアカウントを保護するために、私たちはあなたのアカウントの資金を凍結しました。

下記のリンクをクリックして、を設定して下さい。

ログインを急かす内容は基本的にはフィッシングと考え、慌てず対処しましょう。
もし不安になりログインする場合も、ブックマークから取引所にアクセスしましょう!

【2018/3/7追記】
公式ブログにアナウンスありましたのでリンク貼っておきます。
https://bitbank.cc/blog/bitbank-phishing/

638a555c8116209288977dc4ad774d09_s

お金を掛けず、パソコンの設定を見直して0円で作るセキュアな環境を紹介します!

パソコン設定編
  1. OSやソフトウェアを最新のものに更新する。
  2. ウィルス対策ソフトの定義ファイルを最新のものに更新する。またPC全体を定期的にスキャンする。
  3. 不要なソフトウェアはアンインストールする。
  4. Windowsの場合、管理者権限のユーザで普段ログインしているかも。一般権限のユーザを作成し、普段はこのユーザを使う。
不要なソフトウェアで多くのパソコンにインストールされていると思われるのが、FlashPlayer、Adobe Reader、Oracle Java です。
たちの悪いことに、この3つのソフトウェアは脆弱性修正のアップデート頻度が高いです。

FlashPlayer は Windows10 の IE や Google Chrome に内蔵、Adobe Reader はブラウザで PDF が開ける、Oracle Java は使われる場面は少ないので、アンインストールできるようでしたらやってしまいましょうw

ブラウザ設定編

    1. ログインID、パスワードをブラウザに保存しない。
    2. 入力フォーム補完機能をOFFにする。
    3. プライベートモードを活用する。(ログアウト忘れてもブラウザ閉じればCookieが削除される)
    4. 普段使うブラウザと取引所にアクセスするブラウザを分ける
    取引所へのアクセスに使うブラウザに余計な情報を覚えさせないことがポイントです。
    ブラウザに記憶させる = 何らかの方法で復元可能なログイン情報が保存されるからです。

    取引所アクセス編
    1. 取引所へのアクセスはブックマークから。検索するとフィッシングサイトが検索結果に出てくる可能性あり!
    2. ログイン情報を記憶させないこと。自動ログイン機能があっても使わないこと。
    3. ソーシャルログイン機能(twitter、facebookなどのIDでログイン)は使わないこと。

    気づいた点があれば随時修正、追記していきたいと思います。

    ↑このページのトップヘ