ベテランユーザーに相次ぐハッキング被害、身を守る術は?

古くからの暗号資産(仮想通貨)保有者の間で、厄介な問題が発生しているようだ。Web3インフラの最も重要なパートの1つに影響が出ている。メタマスク(MetaMask)だ。

5000イーサリアム(ETH)以上、約1050万ドル(約14億2000万円、1ドル135円換算)相当が12月以降、さまざまなノンカストディアル・ウォレットを使っているベテラン暗号資産保有者たちから盗まれた。

暗号資産に懐疑的なニュースサイトProtosが、イーサリアム・ウォレット管理ツール「MyCrypto」の創業者テイラー・モナハン(Taylor Monahan)氏による非公式な調査を引用して伝えた。

狙われるベテランたち

メタマスクやインフラ(Infura)など、イーサリアムのオープンソースツールの大半を開発したソフトウェア企業コンセンシス(ConsenSys)の開発者たちは被害の状況を調査中。どうやら、暗号資産のセルフカストディやセキュリティを知り尽くしているはずの人たちを「意図的に」ターゲットにしているようだ。

「低俗なフィッシングサイトやどこにでもいる詐欺師ではない。初心者を破産させるような被害は1件も出ていない。ベテランばかりが狙われている」(モナハン氏)

同氏の調査によれば、攻撃は広範にわたり、2014年〜2022年に作成された秘密鍵と、少なくとも11のブロックチェーンに影響が出ている。原因不明の脆弱性はメタマスクだけでなく「あらゆるウォレット」に影響を与えるかもしれないという。

攻撃についてここで取り上げているのは、不安、不確実性、疑念を広げるためではない。最もよく使われているWeb3ポータルであるメタマスクに関わる話だからだ。

リカバリーフレーズが漏洩?

これまでのところ、メタマスクの平均的ユーザーやときどきしか使わないユーザー、つまり暗号資産ユーザーの大半は狙われていないようだ。

とはいえ、ウォレットに関するベストプラクティスを思い出し、保有資産をチェックするには良いタイミングだろう。攻撃が広範に及んでいること、被害者はベテランたちなので、影響は深刻なものになる可能性がある。

今最も大切なことは、平均的な暗号資産ユーザーに安心感を持ってもらうことだけでなく、実際にその安全を確保すること。

コンセンシスの担当者は、今回の攻撃のターゲットが初期にETHに投資した人たち、業界関係者、あるいは少なくとも「暗号資産ネイティブ」と呼べるほどアクティブな人たちであることを認めている。さらに攻撃はメタマスクをはるかに超えて広がっており、ハッカーの「オンチェーンでの行動から秘密鍵の漏洩が強く疑われる」と語った。

「今回の攻撃の特徴からこれまでにわかっていることは、ユーザーの秘密のリカバリーフレーズがおそらく意図せずに安全ではない形で保管され、漏洩しているということ」(メタマスクのセキュリティチーム)

未知の攻撃者

前述のとおり、攻撃や攻撃者についてはほとんどわかっていない。複数の凄腕ハッカーの仕業なのか、単独犯なのか、複数の人たちが同じ脆弱性をそれぞれに見つけ、悪用しているのなどはっきりしない。それでもモナハン氏によれば、攻撃の大半が協定世界時10時〜13時の間に発生していることから、機密性の高い情報を入手した単独の人物または組織による犯行と思われるという。

モナハン氏は、犯人がユーザーの秘密鍵やウォレットのリカバリーフレーズへのアクセスに使えるようなデータのキャッシュを受け取ったのかもしれないと考えている。さらに同氏は、この問題はメタマスクの基盤となっている暗号化技術に関連するものではなく、フィッシングのようなソーシャルエンジニアリング詐欺でもないと強調した。

だが攻撃には複数の共通点がある。大半の攻撃は週末に発生し、被害者のウォレット内で資産をETHにスワップし、それをまとめて引き出していた。攻撃者は最初の攻撃の数時間後、数日後、数週間後にまた戻ってきて、残りの資産を完全に盗み去ってしまうことも多かったとモナハン氏は語る。

「盗みと、盗んだ後のオンチェーンでの動きはきわめて独特」とモナハン氏。ここから攻撃者の特定と資産の回収への道が開かれることを願っている。さらにモナハン氏によれば、すでにいくつかの「回収」の試みが成功しているという。

被害の共有を

コンセンシスは攻撃が発生していることを認め、「どんなケースでも」サポートチームに連絡するよう呼びかけている。コンセンシスはMyCryptoを2022年2月に買収。当時の声明によれば、コンセンシスは2017年にMyCyrptoの「詐欺ブロックリスト」を導入し、メタマスクのユーザーが既知の詐欺サイトを訪れないように活用していた。

モナハン氏もコンセンシスも当時、協調、情報とリソースの共有の重要性を強調していた。残念なことに暗号資産コミュニティには、ハッキングを受けた人に対して被害者叩きをする傾向がある。

「被害者を批判することはやめよう。被害者は愚か者ではない」とモナハン氏。万一ハッキング被害にあった際に詳細を公開することは、解決策を見つけることに役立つと述べた。

「Web3は皆のものであり、皆がお互いの安全を守ろうと努力すべき」とコンセンシスの担当者も語った。

ベストプラクティス

ベストプラクティスについて、モナハン氏は「すべての資産を何年にもわたって、1つの鍵やシークレットフレーズで保管しないこと」と述べた。有益なアドバイスだが、モナハン氏はさらに、資産を分散して保管すること、ハードウェアウォレットを使って、インターネットに接続されたアカウントから資産を移動させることも推奨した。メタマスクも以下のようなアドバイスをシェアした。

  • 秘密鍵や秘密のリカバリーフレーズを決してオンラインに保存しないこと。どこかに書き留めて、安全に保管すること。
  • ハードウェアウォレットを使うこと。ただしメタマスクのウォレットの場合と同様に、秘密鍵や秘密のリカバリーフレーズをオンライン(あるいはインターネット対応のデバイス)に保存しないこと。
  • ウォレットが古いもので、鍵を常に100%注意して保管していたか思い出せない場合は、新しいウォレットを作成して資産を移動させることを検討する(つまり、新しいアカウントを作るのではなく、新しいリカバリーフレーズを作成する)
  • 定期的にセキュリティチェックや監査を実施し、最善のセキュリティ対策を実践する。すでに(モナハン氏が)述べた通り、複数のリカバリーフレーズに資産を分散し、ハードウェアウォレットを使うことを検討する

攻撃の詳細が明らかになれば、さらに大きなニュースになるだろう。何カ月にもわたって、多くのベテラン暗号資産ユーザーが被害を受けながら、その言葉は外部にはあまり届いていなかったようだ。

暗号資産が価値を持ち続ける限り、ウォレットユーザーはそうした脅威に直面し続ける。チェイナリシス(Chainalysis)の最新レポートによれば、2022年には過去最高の38億ドル(約5130億円)が詐欺、ハッキング、盗難によって失われた。

CoinDeskは先日、「注目すべきプロジェクト 2023」を発表した。我々がユーザーに勧めても良いと考えるプロトコルや企業をあげている。私は、簡単なインターフェースと内蔵のセキュリティ機能で、主に口コミで人気を集めている暗号資産ウォレット「レインボー(Rainbow)」について書いた。

関連記事:CoinDesk「注目すべきプロジェクト 2023」:暗号資産の理念に立ち返る

多くの暗号資産ウォレットと同様にレインボーも、不審なアドレスについて警告を発するポップアップメッセージや、不正確なアドレス、使われなくなったアドレスに資産を送ることを防ぐIDツールなど、資産を守ることに役立つ一連のセキュリティ機能を装備している。

このような基本的なセキュリティ機能は暗号資産の世界全体で当たり前になるべきだ。もちろんメタマスクも、同様のセキュリティ機能を備えている。

しかし暗号資産ユーザーと犯罪者は常に、いたちごっこを繰り返している。詳しくないユーザーを守るために新たな機能が発表されるたびに、それを回避する方法が発見されている。

モナハン氏が正しければ、長年実践の場で経験を積んでいても安全とは限らない。従うべきベストプラクティスと、回避するべき落とし穴があるが、今のところ詐欺は暗号資産に固有の病気のようなものだ。

では、Web3はどうなるだろうか? 銀行やフィンテックのアプリがハッキングや詐欺にあわないわけではない。ユーザーは「トラストレス」なテクノロジーも信頼できるはずだ。

|翻訳・編集:山口晶子、増田隆幸
|画像:Shutterstock
|原文:If Crypto OGs Are Being Hacked, Where Does That Leave the Rest of Us?