コミュニティ投稿 - 著者: WhoTookMyCrypto.com
2017年は仮想通貨業界にとって注目に値する年でした。時価総額の急速な上昇により、仮想通貨業界は主要なメディアに取り上げられるようになりました。当然のことながら、このような価値の急上昇は一般の人々だけでなく、サイバー犯罪者からの大きな関心も集めました。仮想通貨が提供する相対的な匿名性は、従来の銀行システムをバイパスし、規制当局からの金融監視を避けるために、それらを使用する犯罪者の間でもよく活用されるようになりました。
人々がデスクトップよりもスマートフォンに多くの時間を費やしていることを考えると、サイバー犯罪者もスマホユーザーへの攻撃に力を注ぐのは自然なことでしょう。この記事では、詐欺師がモバイルデバイスを通じて仮想通貨ユーザーをどのように標的にしているか、およびユーザーが自分自身を保護するために実行できるいくつかの手段を説明していきます。
偽の仮想通貨アプリ
偽の仮想通貨取引所アプリ
偽の仮想通貨取引所アプリの最も有名な例は、おそらくPoloniexのものです。2018年7月に公式モバイル取引アプリが発売される前、Google Playはすでにいくつかの偽のPoloniexの取引アプリをリストアップしていましたが、これらはユーザーの情報を抜き取るように設計されていました。これらの不正なアプリをダウンロードした多くのユーザーは、Poloniexのログイン資格情報が侵害され、預けている仮想通貨が盗まれました。一部のアプリは、ユーザーのGmailアカウントのログイン資格情報を要求するなど、さらに一歩進んでいます。この時、被害を受けずに済んだのは、二段階認証 (2FA) を有効化しているアカウントのみだったことを踏まえて、セキュリティ対策として有効化することを強く推奨します。
次の手順は、このような詐欺からユーザーを保護するのに役立ちます。
取引所の公式ウェブサイトをチェックして、実際にモバイル取引アプリを提供しているかどうかを確認します。提供されている場合は、ウェブサイトに記載されているリンクを使用してください。
レビューと評価を読んでください。詐欺的なアプリには、詐欺に遭ったと不平を言う人々との悪いレビューが多数あることが多いため、ダウンロードする前に必ず確認してください。ただし、完璧な評価とコメントを表示するアプリに対しても、疑うようにしてください。合法的なアプリにも、多くの否定的なレビューがある場合があります。
次に、アプリ開発者情報を確認してください。正しい会社名、メールアドレス、およびウェブサイトが提供されているかどうかを確認します。また、提供された情報に対してオンライン検索を実行して、それらが本当に公式の取引所に関連しているかどうかを確認する必要があります。
また、ダウンロード数を確認してください。詐欺の被害に遭わないためには、ダウンロード数を確認するのも重要です。非常に人気のある仮想通貨取引所アプリのダウンロード数が少ない可能性は低いです。
アカウントで2FAを有効にしましょう。100%安全ではありませんが、2FAはバイパスするのがはるかに難しく、ログイン資格情報がフィッシングされていても、自分の資金を保護できる可能性が大きく上がります。
偽の仮想通貨取引所アプリ
偽のアプリには、他にも様々な種類があります。そのうちの1種類は、ウォレットのパスワードや秘密鍵などの個人情報をユーザーから取得しようとします。
偽のアプリが、以前に生成されたパブリックアドレスをユーザーに提供する場合もあります。これに騙されたユーザーが、資金をこれらのアドレスに入金することを詐欺師は期待しています。ユーザーは、秘密鍵にはアクセスできないため、送金先のウォレットの資金にはアクセスできません。
このような偽のウォレットは、EthereumやNeoなどの人気のある仮想通貨用に作成されており、残念ながら、多くのユーザーがこういった詐欺によって、大切な資金を失いました。被害者にならないようにするために取ることができるいくつかの予防措置は次のとおりです。
これまで説明してきた、二段階認証などの予防措置も非常に有効です。ただし、ウォレットアプリを扱うときに取ることができる追加の予防措置は、アプリを最初に開いたときに新しいアドレスが生成され、秘密鍵 (または、ニーモニックシード) を所有していることを確認することです。正規のウォレットアプリでは秘密鍵をエクスポートできますが、新しい鍵ペアの生成が侵害されないようにすることも重要です。したがって、評判の良いソフトウェア (できればオープンソース) を使用する必要があります。
アプリから秘密キー (またはシード) が提供されている場合でも、パブリックアドレスを派生させ、アクセスできるかどうかを確認する必要があります。たとえば、一部のBitcoinウォレットでは、ユーザーが秘密鍵またはシードをインポートしてアドレスを視覚化し、資金にアクセスすることができます。秘密鍵とシードが侵害されるリスクを最小限に抑えるために、エアギャップのあるコンピューター (インターネットから切断されたコンピューター) でこれを実行しましょう。
クリプトジャッキングアプリ
クリプトジャッキングは、侵入障壁が低く、オーバーヘッドが低いため、サイバー犯罪者の間でホットなお気に入りとなっています。さらに、こういったアプリはサイバー犯罪者が長期的に利益を得られる可能性を提供しています。PCと比較して処理能力が低いにもかかわらず、モバイルデバイスはますますクリプトジャッキングの標的になりつつあります。
ウェブブラウザのクリプトジャッキングとは別に、サイバー犯罪者は合法的なゲーム、ユーティリティ、または教育アプリであるように見えるプログラムも開発しています。ただし、これらのアプリの多くは、バックグラウンドで仮想通貨のマイニングスクリプトを密かに実行するように設計されています。
正当なサードパーティのマイナーとして宣伝されているクリプトジャッキングアプリもありますが、報酬はユーザーではなくアプリ開発者に与えられます。
さらに悪いことに、サイバー犯罪者はますます巧妙になり、検出を避けるために軽量のマイニングアルゴリズムを展開しています。
クリプトジャッキングは、パフォーマンスを低下させ、バッテリーの劣化を加速させるため、モバイルデバイスにとって非常に有害です。さらに悪いことに、彼らは潜在的により悪質なマルウェアのためのトロイの木馬として行動する可能性があります。
こういった悪意のあるアプリから自分のモバイルデバイスを保護するためには、以下の対策を行いましょう。
Google Play などの公式ストアからのみアプリをダウンロードしてください。海賊版アプリは事前にスキャンされておらず、クリプトジャッキングスクリプトが含まれている可能性が高くなります。
過度のバッテリーの消耗や過熱が起きていないか、スマホを確認してください。検出されたら、これらを引き起こしているアプリを終了します。
デバイスとアプリを最新の状態に保ち、セキュリティ脆弱性にパッチが適用されるようにします。
クリプトジャッキングから保護するWebブラウザを使用するか、MinerBlock、NoCoin、Adblockなどの評判の良いブラウザプラグインをインストールします。
可能であれば、モバイルウイルス対策ソフトウェアをインストールし、最新の状態に保ちます。
プレゼントと偽の仮想通貨マイニングアプリ
これらは、ユーザーのために仮想通貨をマイニングするふりをしますが、実際には広告を表示する以外に何もしないアプリです。時間の経過とともにユーザーの報酬が増加することを反映させることで、アプリを開いたままにするようユーザーにインセンティブを与えます。一部のアプリでは、報酬を得るために5つ星の評価を残すようにユーザーにインセンティブを与えることさえあります。もちろん、これらのアプリのどれも実際にマイニングされておらず、ユーザーは報酬を受け取ることはありませんでした。
この詐欺から保護するために、大多数の仮想通貨では、マイニングには高度に専門化されたハードウェア (ASIC) が必要であり、モバイルデバイスでマイニングすることは現実的ではないことを理解してください。とはいえ、あなたがマイニングできる枚数はたかが知れています。そのようなアプリは使用しないことを推奨します。
クリッパーアプリ
このようなアプリは、コピーした仮想通貨アドレスを変更し、攻撃者のアドレスに置き換えます。したがって、被害者は正しい受信者アドレスをコピーする可能性がありますが、トランザクションを処理するために貼り付けたアドレスは攻撃者のアドレスに置き換えられます。
このようなアプリの犠牲にならないように、トランザクションを処理するときに取ることができるいくつかの予防措置を次に示します。
受信者フィールドに貼り付けるアドレスを常に二重および三重に確認してください。ブロックチェーントランザクションは不可逆的であるため、常に注意する必要があります。
アドレスの一部ではなく、アドレス全体を確認するのが最善です。一部のアプリは、目的のアドレスに似たアドレスに置き換えるのに十分なインテリジェント機能を備えています。
SIMスワッピング
SIMスワッピング詐欺では、サイバー犯罪者はユーザーの電話番号にアクセスします。彼らは、ソーシャルエンジニアリング技術を使用して、携帯電話事業者をだまして新しいSIMカードを発行させることで詐欺を行います。最も有名なSIMスワッピング詐欺には、仮想通貨起業家のMichael Terpinが関わっていました。AT&Tが自分の携帯電話の資格情報の取り扱いに怠慢であり、その結果、$2,000万以上の価値のあるトークンを失ったと主張しました。
サイバー犯罪者があなたの電話番号にアクセスすることで、その電話番号を使って2FAをバイパスすることができます。そこから、彼らはあなたの仮想通貨ウォレットや取引所のアカウントに侵入することができます。
サイバー犯罪者が採用できるもう1つの方法は、SMS通信を監視することです。通信ネットワークの欠陥により、犯罪者があなたにメッセージを送る二要素認証のPINを含む可能性のあるメッセージを傍受する可能性があります。
この攻撃を特に懸念させるのは、ユーザーが偽のソフトウェアのダウンロードや悪意のあるリンクのクリックなどのアクションを実行する必要がないことです。
このような詐欺の餌食になるのを防ぐために、考慮すべきいくつかの手順があります。
SMS 2FAに携帯電話番号を使用しないようにしてください。代わりに、Google AuthenticatorやAuthy などのアプリを使用して、アカウントを保護してください。サイバー犯罪者は、携帯電話番号を入手していても、これらのアプリにアクセスすることはできません。他にも、YubiKeyやGoogleのTitan Security Keyなどのハードウェア2FAを使用することもできます。
携帯電話番号などの個人識別情報をソーシャルメディアで絶対に公開しないでください。サイバー犯罪者はそのような情報を拾い上げ、それらを使用して他の場所であなたになりすますことができます。
ソーシャルメディアで、仮想通貨を所有していることを決して発表しないでください。もしくは、あなたが仮想通貨を所有していることを誰もが知っているような場合は、使っている取引所やウォレットなどの個人情報を開示しないようにしてください。
アカウントを保護するために、携帯電話プロバイダーと契約を結びます。これは、アカウントにPINまたはパスワードが付与され、PINを知っているユーザーのみがアカウントに変更を加えることができることを意味します。または、このような変更を直接行うように要求し、電話で許可しないようにすることもできます。
WiFi
サイバー犯罪者は、モバイルデバイス、特に仮想通貨ユーザーのデバイスへのエントリーポイントを常に求めています。そのようなエントリーポイントの1つは、WiFiアクセスです。公共のWiFiは安全ではないため、ユーザーは接続する前に予防措置を講じる必要があります。そうでない場合、サイバー犯罪者がモバイルデバイス上のデータにアクセスするリスクがあります。これらの予防措置は、公共のWiFiに関する記事でカバーされています。
まとめ
スマホはもはや、私たちの生活に不可欠となっています。スマホは私たちのデジタルアイデンティティと非常に密接に絡み合っているので、私たちにとって、最大の脆弱性になる可能性があります。サイバー犯罪者はこれを認識しており、これを悪用する方法を見つけ続けます。モバイルデバイスの保護はオプションではなくなりました。今では、必ず行わないといけないことです。自分の資産をしっかりと守りましょう。