暗号通貨の時価総額の急上昇は、当然のことながら、暗号通貨を標的にしたり活用したりする脅威や攻撃の著しい増加を反映しています。しかし、Microsoft の研究者は、さらに興味深い傾向を観察しています。関連するマルウェアとその技術の進化、そして私たちがクライウェアと呼んでいる脅威タイプの出現です。
クライウェアは、ホット ウォレットとしても知られる非管理暗号通貨ウォレットから直接データを収集して盗み出す情報窃盗犯です。ホット ウォレットは、カストディアル ウォレットとは異なり、デバイスにローカルに保存され、トランザクションの実行に必要な暗号化キーに簡単にアクセスできるため、ますます多くの脅威がそれらを標的にしています。
クライウェアは、攻撃における暗号通貨の使用の変化を意味します。もはや目的への手段としてではなく、目的そのものです。クライウェアが登場する前は、攻撃における仮想通貨の役割や攻撃段階での仮想通貨の役割は、攻撃者の全体的な意図によって異なりました。たとえば、一部のランサムウェア キャンペーンでは、身代金の支払いに暗号通貨が好まれます。ただし、それにはターゲット ユーザーが手動で転送を行う必要があります。一方、仮想通貨関連のマルウェアの 1 つであるクリプトジャッカーは、独自に仮想通貨をマイニングしようとしますが、そのような手法はターゲット デバイスのリソースと機能に大きく依存します。
クライウェアを使用すると、ホット ウォレット データにアクセスできる攻撃者は、それを使用してターゲットの暗号通貨を自分のウォレットにすばやく転送できます。ユーザーにとって残念なことに、このような盗難は元に戻すことができません。ブロックチェーン トランザクションは、たとえユーザーの同意や認識なしに行われたとしても、最終的なものです。さらに、クレジットカードやその他の金融取引とは異なり、現在、不正な暗号通貨取引を無効にしたり、ユーザーをそのような取引から保護したりするのに役立つ利用可能なメカニズムはありません.
秘密鍵、シード フレーズ、ウォレット アドレスなどのホット ウォレット データを見つけるために、攻撃者は正規表現 (正規表現) を使用する可能性があります。これらのパターンはクライウェアに実装され、プロセスが自動化されます。これらのウォレット データを盗もうとする攻撃の種類と手法には、 クリッピングとスイッチング、 メモリ ダンピング、 フィッシング、 詐欺などがあります。
暗号通貨への投資がより多くのユーザーに浸透し続けているため、ユーザーは、攻撃者がホット ウォレットを侵害しようとするさまざまな方法に注意する必要があります。また、クライウェアやその他の悪意のあるファイルを検出してブロックするMicrosoft Defender ウイルス対策や、クライウェア関連の Web サイトへのアクセスをブロックするMicrosoft Defender SmartScreenなどのセキュリティ ソリューションを使用して、これらのウォレットとそのデバイスを保護する必要もあります。組織の場合、これらのソリューションからのデータと信号はMicrosoft 365 Defenderにもフィードされます。これにより、ユーザー所有のデバイスや仕事に関係のないアプリケーションを介してネットワークに導入される可能性のある脅威を含め、脅威に対する包括的かつ調整された防御が提供されます。
このブログでは、ホット ウォレットを標的とするさまざまな攻撃面について詳しく説明します。また、暗号通貨トランザクションを保護するのに役立つベスト プラクティスの推奨事項も提供します。
クリプトジャッカーからクライウェアまで: 暗号通貨関連のマルウェアの成長と進化
暗号通貨の出現とブームにより、既存の脅威が暗号通貨トークンを標的にしたり悪用したりする技術を進化させることができました。現在、暗号通貨を利用する脅威には次のものがあります。
- クリプトジャッカー。クリプトジャッカーは、暗号通貨の導入以降に表面化して繁栄した脅威の種類の 1 つであり、ターゲットのデバイス リソースをハイジャックして消費するマルウェアをマイニングしています。脅威データに基づくと、昨年は数百万回のクリプトジャッカーとの遭遇が確認されました。
- ランサムウェア。一部の攻撃者は身代金の支払いに暗号通貨を好みます。暗号通貨は取引の匿名性を提供し、発見される可能性を減らします。
- パスワードと情報を盗みます。サインイン資格情報、システム情報、およびキーストロークとは別に、多くの情報窃盗犯は現在、検索して盗み出す情報のリストにホット ウォレット データを追加しています。
- ClipBanker トロイの木馬。別の種類の情報窃盗プログラムであるこのマルウェアは、ユーザーのクリップボードをチェックし、ユーザーがコピーした銀行情報やその他の機密データを盗みます。 ClipBanker トロイの木馬も現在、仮想通貨アドレスを含むように監視を拡大しています。
暗号通貨の人気の高まりは、Mars Stealer や RedLine Stealer などのクライウェアの出現にもつながっています。これらの脅威は、ウォレット データの盗難、クリップボードの操作、フィッシングや詐欺、さらには誤解を招くスマート コントラクトによって暗号通貨を盗むことを目的としています。たとえば、RedLine は大規模な脅威キャンペーンのコンポーネントとしても使用されています。次のグラフは、 Microsoft Defender for Endpointが昨年だけで検出した一意のクライウェア ファイルの検出数の増加傾向を示しています。
ブロックチェーンに追加されたトランザクションは変更できないため、Cryware は深刻な経済的影響を引き起こす可能性があります。前述のように、現在、盗まれた暗号通貨の資金を取り戻すのに役立つサポート システムもありません。
たとえば、2021 年にあるユーザーが、ウォレットのシード フレーズを安全でない場所に保管したために 78,000 米ドル相当の Ethereum を失った方法について投稿しました。攻撃者が標的のデバイスにアクセスし、機密データを発見したクライウェアをインストールした可能性があります。このデータが侵害されると、攻撃者は標的のウォレットを空にすることができたでしょう。
暗号通貨の人気が高まるにつれて、クライウェアの脅威の影響はより深刻になっています。以前はランサムウェアを展開していたキャンペーンが、現在はクライウェアを使用して標的のデバイスから直接暗号通貨の資金を盗んでいることをすでに確認しています。すべてのデバイスにホット ウォレットがインストールされているわけではありませんが (特に企業ネットワークでは)、より多くの企業が資産の一部を暗号通貨スペースに移行または移動するにつれて、これは変化すると予想されます。したがって、ユーザーと組織は、暗号通貨が他人のポケットに入らないように、ホット ウォレットを保護する方法を学ぶ必要があります。
ホットウォレットの攻撃面
ホット ウォレットをより適切に保護するために、ユーザーはまず、クライウェアや関連する脅威が一般的に利用するさまざまな攻撃面を理解する必要があります。
ホットウォレットデータ
新しいホット ウォレットの作成中に、ユーザーには次のウォレット データが提供されます。
- 秘密鍵。ホット ウォレットへのアクセス、トランザクションの署名または承認、暗号通貨の他のウォレット アドレスへの送信に必要なキー。
- シード フレーズ。ニーモニック フレーズは、人間が判読できる秘密鍵の表現です。これは、覚えやすい秘密鍵の別の形式です。 Bitcoin Improvement Proposal: 39 (BIP39) は現在、12 ~ 14 語で構成されるシード フレーズを生成するために使用される最も一般的な標準です (事前定義された 2,048 のリストから)。
- 公開鍵。ユーザーが他のウォレットに資金を送信する際に宛先アドレスとして入力する必要があるウォレットの公開アドレス。
- ウォレットのパスワード(オプション) .一部のウォレット アプリケーションが追加の保護レイヤーとして提供する標準のユーザー アカウント パスワード。
攻撃者は、秘密鍵またはシード フレーズを見つけたら、新しいトランザクションを作成し、ターゲットのウォレット内から所有するアドレスに資金を送ることができるため、ターゲット デバイスから機密のウォレット データを特定して盗み出そうとします。このトランザクションは、ウォレットに含まれる資金の暗号通貨のブロックチェーンに公開されます。このアクションが完了すると、ブロックチェーンは定義上不変 (変更不可) であるため、ターゲットは資金を回収できなくなります。
ウォレットの機密データを見つけて特定するために、攻撃者は正規表現を使用する可能性があります。正規表現は、特定のテキスト パターンに一致するように記述できる文字と記号の文字列です。次の表は、正規表現を使用してウォレットの文字列パターンを照合する方法を示しています。
| ウォレットのターゲット | 文字列の説明 | 文字列の例 | 正規表現 |
| 秘密鍵 | 秘密鍵の例を構成する文字列を特定します。このキーは、1 行に配置されたスペースなしの大文字の 16 進文字列で、正確に 256 ビット (32 文字) で構成されます。 | A6FDF18E86000542388064492B58CBF | ^[A-F0-9]{32}$ |
| シードフレーズ | 1 行に 1 つのスペースで区切られた 12 の単語からなるシード フレーズを構成する文字列を特定します。 | これは、12 個のランダムな単語で構成される長いテキスト文字列です。 | ^(w+s){11}w+$ |
| ウォレットアドレス | パブリック ウォレット アドレスの例を構成する文字列を特定します。このアドレスは、リテラル文字「LB」が前に付いたスペースなしの 16 進文字列のちょうど 24 文字で構成されます。 | LB32b787573F5186C696b8ed61 | ^LB[a-fA-F0-9]{24}$ |
Cryware 攻撃のシナリオと例
ウォレットの機密データが特定されると、攻撃者はさまざまな手法を使用してそれらを取得したり、有利に利用したりできます。以下は、私たちが観察したさまざまなクライウェア攻撃シナリオの例です。
クリッピングとスイッチング
クリッピング アンド スイッチングでは、クライウェアがユーザーのクリップボードの内容を監視し、文字列検索パターンを使用して、ホット ウォレット アドレスに似た文字列を探して識別します。ターゲット ユーザーがアプリケーション ウィンドウに貼り付けるかCTRL + Vを使用すると、クライウェアはクリップボード内のオブジェクトを攻撃者のアドレスに置き換えます。
図 4 は、実際に確認された実際のクリッパー マルウェアに基づくコードであり、この攻撃の最も単純な形式を示しています。このコードは正規表現を使用して、コピーされたウォレット アドレスを監視し、値を交換して貼り付けます。
この手法は新しいものではなく、過去に情報窃取者によって使用されていましたが、その蔓延が増加していることを確認しています。この手法のステルス性は、ウォレット アドレスの長さと複雑さと相まって、ユーザーが貼り付けたアドレスが最初にコピーしたものと一致しないことを見落とす可能性が高くなります。
メモリダンプ
もう 1 つの手法はメモリ ダンプです。これは、ユーザーがホット ウォレットを操作すると、プライベート キーが平文で表示される可能性があるという事実を利用します。この重要な情報は、これらのアクションを実行するブラウザ プロセスのメモリに残り、ウォレットの整合性が損なわれる可能性があります。このようなシナリオでは、攻撃者がブラウザ プロセスをダンプして秘密鍵を取得することもできます。
以下のスクリーンショットは、そのような例を示しています。秘密鍵が Web ウォレット アプリケーションを介してエクスポートされた場合、秘密鍵は、ブラウザが実行されている間、プロセス メモリ内で平文のまま利用可能でした。
ウォレット ファイルの盗難
より高度なクライウェアの脅威は、正規表現、クリップボードの改ざん、およびプロセス ダンプを使用しますが、ホット ウォレット データを盗む簡単で効果的な方法は、ウォレット アプリケーションのストレージ ファイルを標的にすることです。このシナリオでは、攻撃者はターゲット ユーザーのファイル システムを走査し、インストールされているウォレット アプリを特定してから、事前定義されたウォレット ファイルのリストを盗み出します。
ターゲット ファイルと情報には、次のものが含まれます。
- Web ウォレット ファイル。一部のホット ウォレットは、拡張ストレージ フォルダーに名前を付けるための一意の名前空間識別子を持つブラウザー拡張としてインストールされます。 Web ウォレットのローカル ボルトには、ユーザーのウォレットの暗号化された秘密鍵が含まれており、このブラウザー アプリ ストレージ フォルダー内にあります。攻撃者は、Hashcat などの多くの一般的なツールによって力ずくで攻撃される可能性があるため、このボールトを標的にしています。
- 一部の Web ブラウザーでターゲットにされた MetaMask ボールト フォルダーの例: 「Local Extension Settingsnkbihfbeogaeaoehlefnkodbefgpgknn」
- デスクトップ ウォレット ファイル。他のホット ウォレットは、ユーザーのデスクトップ デバイスにインストールされます。秘密鍵は暗号化され、各ウォレットに固有のアプリケーション ストレージ ファイルにローカルに保存されます。攻撃者は、ターゲット デバイスから情報を盗むときに、どのデスクトップ ウォレットがターゲット デバイスにインストールされているかを特定する可能性があります。 Web ウォレット ボルトと同様に、暗号化された秘密鍵を含むウォレット ストレージ ファイルは、ブルート フォース攻撃の絶好の機会を提供します。
- 対象となる Exodus ストレージ ファイルの例: 「Exoduspassphrase.json」、「Exodusseed.seco」
- ウォレットのパスワード。一部のウォレット アプリケーションでは、ウォレットにサインインする際に、追加の認証要素としてパスワードが必要です。一部のユーザーは、これらのパスワードとシード フレーズまたは秘密鍵をパスワード マネージャー アプリケーション内に保存したり、ブラウザーの自動入力データとして保存したりすることさえあります。攻撃者は、影響を受けるデバイスをスキャンして、ローカルにインストールされているパスワード マネージャーを発見したり、保存されたパスワードを含む可能性のあるブラウザー データを盗んだりする可能性があります。
- 対象となるブラウザ データの例: 「Cookies」、「Autofill」
Mars Stealer は、Web ウォレット、デスクトップ ウォレット、パスワード マネージャー、およびブラウザー ファイルからデータを盗む有名なクライウェアです。以下のスニペットは、システムにインストールされたウォレットを見つけて機密ファイルを盗むことを目的とした Mars Stealer コードの一部から抜粋したものです。
Mars Stealer は、以下の投稿例にあるように、ハッキング フォーラムで販売されています。この投稿では、複数のウォレットから機密データを盗んだり、影響を受けたデバイスからアプリ ストレージ ファイルを盗んだりするクライウェアの機能について説明しています。次に、Mars Stealer は、盗んだデータをバンドルし、HTTP POST を介して、攻撃者が制御するコマンド アンド コントロール (C2) サーバーにデータを流出させます。
キーロギング
キーロギングは、クライウェアで使用されるもう 1 つの一般的な手法です。この手法を使用する他の情報を盗むマルウェアと同様に、キーロギング クライウェアは通常、影響を受けるデバイスのバックグラウンドで実行され、ユーザーが入力したキーストロークを記録します。次に、収集したデータを攻撃者が制御する C2 サーバーに送信します。
攻撃者にとって、キーロガーには次の利点があります。
- ブルートフォースの必要はありません。秘密鍵、シード フレーズ、およびその他の機密性の高い型指定されたデータは、平文で盗まれる可能性があります。
- 検出が困難。キーロガーは、通常、プロセスとは別にいくつかのインジケーターを残すため、影響を受けるデバイスのバックグラウンドで検出されずに実行される可能性があります。
- 盗まれたデータはメモリ内に存在する可能性があります。攻撃者は、盗んだユーザー データをディスクに書き込む必要はありません。代わりに、データをサーバーにアップロードする前にプロセス メモリに格納できます。
秘密鍵を紙に保管しているユーザーでさえ、キーロガーに対して脆弱です。一部のキーロガーには画面キャプチャ機能も含まれているため、機密データをコピーして貼り付けてもこの問題は解決しません。
フィッシング サイトと偽のアプリケーション
ユーザーをだまして秘密鍵を入力させるために、攻撃者は正規のホット ウォレットになりすます悪意のあるアプリケーションを作成します。残念ながら、既存のウォレットをインポートするには秘密鍵を入力する必要があるため、どのアプリが悪意のあるアプリか正規のアプリかを判断するのは難しい場合があります。
ユーザーはウォレット アプリのインストーラーをダウンロードするためにホット ウォレットの Web サイトにアクセスする必要があるため、攻撃者は次の 2 種類の方法のいずれかを使用して、ユーザーをだまして悪意のあるアプリをダウンロードさせたり、秘密鍵を放棄させたりすることができます。
- タイポスクワッティング:攻撃者は、よくタイプミスする文字を含むドメインを購入します。
- サウンドスクワッティング:攻撃者は、正当な Web サイトのように聞こえる名前のドメインを購入します。
以下のスクリーンショットは、なりすましされた MetaMask Web サイトを示しています。ドメインには「MetaMask」という単語が含まれていますが、ユーザーが気付かない可能性がある先頭に追加の単語 (「サスペンド」) があります。これにより、ユーザーを簡単にだまして秘密鍵を入力させ、既存のウォレットをインポートさせ、代わりに資金を盗むことができます。
フィッシング Web サイトは、スポンサー広告として検索エンジンの結果の上部に表示されることさえあります。 2022 年 2 月には、仮想通貨プラットフォーム StrongBlock のなりすまし Web サイトでこのような広告が確認されました。最上位の偽の Web サイトのドメインは「strongsblock」(「s」が追加された) として表示され、秘密鍵を盗もうとするフィッシング詐欺に関連していました。この記事の執筆時点では、これらの広告は検索結果に表示されなくなっていることに注意してください。インターネット検索エンジン (Google や Edge など) では、フィッシングの可能性があると判明した広告結果を定期的に確認して削除するのが一般的です。
一部のなりすましウォレット Web サイトでは、ユーザーをだましてインストールさせる偽のウォレット アプリもホストされています。図 10 は、正規のウォレット アプリのアイコンを模倣した偽のウォレット アプリの例を示しています。フィッシング Web サイトと同様に、偽アプリの目的は、ユーザーをだまして機密のウォレット データを提供させることです。
Web サイトやアプリでの資格情報ベースのフィッシング戦術とは別に、マイクロソフトのセキュリティ研究者は、キーを盗むことを伴わない「アイス フィッシング」と呼ばれる手法にも注目しました。むしろ、ターゲット ユーザーのトークンの承認を攻撃者に委任するトランザクションにユーザーをだまして署名させようとします。アイス フィッシングの詳細については、 このブログを参照してください。
詐欺およびその他のソーシャル エンジニアリング戦術
暗号通貨関連の詐欺は通常、被害者をおびき寄せて自分の意思で資金を送らせようとします。私たちが見たそのような詐欺の 1 つは、特定のプラットフォームを支持しているように見える著名なソーシャル メディアのパーソナリティを使用しています。詐欺師は、記載されているウォレット アドレスにコインを送る参加者に資金を「寄付」すると約束します。残念ながら、これらの約束が果たされることはありません。
ソーシャル メディアのコンテンツ作成者も、詐欺メールの標的になりつつあります。電子メール メッセージは、プロモーションのオファーやパートナーシップ契約を装うことで、ターゲットをだましてデバイスにクライウェアをダウンロードさせ、実行させようとします。
このような場合、ダウンロードまたは添付されたクライウェアは、二重の拡張子 ( .txt.exe など) となりすましアイコンを使用して、ドキュメントまたはビデオ ファイルになりすます。したがって、メッセージの内容に気を取られている可能性のある対象ユーザーは、ダウンロードしたファイルが悪意のあるものかどうかを確認するのを忘れる可能性もあります。
クライウェアに対する防御
暗号通貨犯罪は2021 年に史上最高に達したと報告されており、ランサムウェアと暗号通貨の盗難に関連して、100 億米ドル相当の暗号通貨がウォレットに保管されています。これは、大規模な暗号通貨関連のエンティティが攻撃されるのと同様に、個々の消費者と投資家が攻撃を免れないことを示しています.
暗号通貨取引は刺激的で有益な方法ですが、クライウェアの脅威が利用するさまざまな攻撃面を考えると、ユーザーと組織は自分自身と財布を守るための複数の方法に注意する必要があります。機械学習ベースの保護を含む、複数層の動的保護テクノロジを提供するセキュリティ ソリューションが必要です。
Microsoft Defender ウイルス対策は、このような保護を提供します。そのエンドポイント保護機能は、多くのクライウェア、クリプトジャッカー、およびその他の暗号通貨関連の脅威を検出してブロックします。一方、Microsoft Edge のMicrosoft Defender SmartScreenおよびそれをサポートするその他の Web ブラウザーは、フィッシング サイトをブロックし、偽のアプリやその他のマルウェアのダウンロードを防ぎます。これらのソリューションからの信号は、他のドメインからの脅威データと共に、Microsoft 365 Defender にフィードされます。Microsoft 365 Defenderは、組織に包括的で調整された脅威防御を提供し、新たに出現する攻撃者に対する継続的に進化する脅威の状況を監視するセキュリティ専門家のグローバル ネットワークによって支えられています。ツールとテクニック。
ユーザーと組織は、次の手順を実行して、クライウェアやその他のホット ウォレット攻撃から防御することもできます。
- 活発に取引していないときは、ホット ウォレットをロックします。ほとんどのウォレット アプリケーションのこの機能により、攻撃者がユーザーの知らないうちにトランザクションを作成するのを防ぐことができます。
- ウォレットに接続されているサイトを切断します。ユーザーが分散型金融 (DeFi) プラットフォームで積極的に取引を行っていない場合、ホット ウォレットの切断機能により、ウェブサイトやアプリが知らないうちにユーザーのウォレットとやり取りすることがなくなります。
![[接続済みサイト] オプションが強調表示されたウォレット アプリの UI のスクリーンショット。](https://www.microsoft.com/en-us/security/blog/wp-content/uploads/2022/05/fig14-wallet-apps-connected-sites.png)
- 秘密鍵を平文で保存しないでください。デバイスまたはクラウド ストレージ サービスにシード フレーズを保存しないでください。代わりに、それらを紙 (または同等のもの) に書き留めて、適切に固定してください。
- 情報をコピーして貼り付けるときは注意してください。トランザクションのウォレット アドレスをコピーするときは、アドレスの値が実際にウォレットに示されているものであるかどうかを再確認してください。
- 各トランザクションの後、ブラウザー セッションが終了していることを確認します。クライウェア プロセス ダンパーのリスクを最小限に抑えるには、キーをインポートした後、ブラウザーのプロセスを適切に閉じるか再起動します。これにより、秘密鍵がブラウザ プロセスのメモリに残らないことが保証されます。
- 多要素認証 (MFA) を実装するウォレットの使用を検討してください。これにより、攻撃者は別の認証レイヤーなしでウォレット アプリケーションにログインできなくなります。
- ウォレットの Web サイトやアプリケーションへのリンクには注意してください。フィッシング Web サイトは、多くの場合、正当であるかのように見せようと多大な努力を払っているため、ユーザーはメールやメッセージング アプリのリンクをクリックする際に注意する必要があります。代わりに手動で Web サイトを入力または検索することを検討し、ドメインが正しく入力されていることを確認して、タイポスクワッティングやサウンドクワッティングを悪用するフィッシング サイトを回避します。
- ホットウォレットの取引と承認を再確認してください。承認が必要な契約が実際に開始されたものであることを確認してください。
- 秘密鍵やシード フレーズを共有しないでください。サードパーティやウォレット アプリの開発者でさえ、この種の機密情報を必要とすることはありません。
- デバイスにアクティブに接続する必要がない限り、ハードウェア ウォレットを使用します。ハードウェア ウォレットは秘密鍵をオフラインで保存します。
- ダウンロードおよび保存されたファイルのファイル拡張子を明らかにします。 Windows では、ファイル エクスプローラーの[表示]で[ファイル名拡張子] をオンにして、デバイス上のファイルの実際の拡張子を表示します。
Microsoft 365 Defender を使用して、自動化されたクロスドメイン セキュリティによって攻撃を阻止する方法について説明します。
バーマン・エンコナードとローリー・カーク
Microsoft 365 Defender 研究チーム
Comments