暗号資産(仮想通貨)取引に関わるリスク、サイバー攻撃について解説

仮想通貨
サイバー攻撃
2024-02-14 更新

暗号資産(仮想通貨)取引には様々なリスクが存在します。特に予期せぬ大規模なサイバー攻撃は大きなリスクになっています。

サイバー犯罪の中でも、その攻撃の多くで、甚大な被害額におよぶ可能性の高い暗号資産がターゲットとして狙われています。サイバー攻撃よる暗号資産に対する犯罪の手口は、年を追うごとに巧妙になっています。

この記事では、サイバー攻撃について詳しく解説します。

暗号資産(仮想通貨)における最大の脅威「サイバー攻撃」とは?

暗号資産(仮想通貨)取引には様々なリスクが存在します。代表的なものにサイバー攻撃があるでしょう。

サイバー攻撃に関する事例では、過去に日本の取引所がハッキング被害により暗号資産やユーザー情報・パスワードが盗難にあった事例があります。結果として、連鎖的に他の取引所からも暗号資産の盗難が発生し、暗号資産の価格が著しく下落したこともあります。

日本の暗号資産交換業者は、同様の事象に対して十分なセキュリティ対策を行っていますが、予期せぬ大規模なサイバー攻撃等により、ネットワークの安全性や、稼働するシステムの安全性が脅かされる可能性があることは知っておきたいところです。

日進月歩で進化し続けている暗号資産にとって、新たなサービスや仕組みの登場は日常茶飯事ですが、そのぶん、新たなサイバー攻撃にさらされるリスクも避けられません。ここでは最新のサイバー攻撃に関して解説をしていきたいと思います。

DeFi(分散型金融)を狙うフラッシュローン攻撃

2023年3月12日、DeFi(分散型金融)を取り扱うEuler Finance(オイラーファイナンス)が攻撃を受け、1億9,700万ドル(約263億円)が流出する事件が発生しました。オイラーファイナンスが受けたサイバー攻撃は「フラッシュローン攻撃」と呼ばれています。

「フラッシュローン」とは、DeFiによって登場した新しい仕組みです。1つのトランザクション(取引)で多額の暗号資産を無担保で借入し、そのまま返済するという一時的なローンです。

フラッシュローンでは、スマートコントラクトによって一度のトランザクションで借入と返済を処理するため、高額な借入を行ったとしても金利はほとんど発生しません。ガス代(手数料)のみがコストとしてかかるのが大きな特徴です。

フラッシュローン攻撃は、こうしたDeFiにおけるフラッシュローンプラットフォームをターゲットとするサイバー攻撃です。フラッシュローンでは、融資を受けてから返済するまでの時間は通常数秒程度です。このようなフラッシュローンの仕組みを悪用し、暗号資産の価格を不正に操作して利益を得ようとします。

この攻撃はスマートコントラクトの脆弱性や価格操作を可能にするDeFiの構造に起因します。そもそもフラッシュローンでは、借り手は融資で調達した資金を通常「裁定取引(アービトラージ)」に使い、利益を得ようとします。暗号資産におけるアービトラージとは、ある暗号資産を価格が低い取引所で買い、価格が高い取引所で売ることで、利益を得ようとする行為のことです。

通常のフラッシュローンは複数のトークンを担保として扱い、トークンの貸し借りを行うことができます。この仕組みは、複数のトークンを担保にすることで、単独の価値に依存することなく価格変動リスクの軽減が期待できるというメリットがある一方で、悪意のあるユーザーが流動性の低いトークンの価格を操作して価格を吊り上げた後に、そのトークンを担保として扱い、他のトークンを借り入れて持ち逃げするといった問題が発生しています。

フラッシュローンではまれにスマートコントラクトに暗号資産を寄付することで為替レートを上げることに成功することがあるといいます(通常は対策されています)。

オイラーファイナンスが狙われたのは、「オイラーファイナンスは寄付を行うアカウントの財務状況をチェックする機能がついていない」という脆弱性が放置されていたことが原因だったといいます。オイラーファイナンスは開発チームによる見落とし、コード監査企業による見落としが重なり、ハッカーに狙われました。

フィッシング攻撃によるアカウント乗っ取り

暗号資産(仮想通貨)におけるフィッシング攻撃とは、暗号資産交換業者になりすますなど送信者を詐称した電子メールを送りつけ偽のホームページに接続させたり、あるいはSNSなどで偽アカウントからのDMなどで偽のホームページに誘導したりして、クレジットカード番号、アカウント情報(ユーザID、パスワードなど)といった重要な個人情報を盗み出す行為のことです。

フィッシング攻撃による詐欺の手口は、本物とそっくりな偽のホームページを設置し、それが正規の暗号資産交換業者であるかのように見せることで、ユーザーが気付かずログイン情報を入力したり、資金を入金したりしてしまうと、詐欺師にそれら情報や資金が抜き取られることになります。

また、偽のアプリを設置する手法などもあり、ユーザーが偽のアプリをダウンロードし、実行した段階でデバイスにマルウェアを送り込み、ログイン情報を入力した段階で、詐欺師はアカウント情報やウォレット情報、クレジットカード情報を盗み出し、その情報を利用して暗号資産など金融資産を盗み取る手法もあります。

暗号資産におけるフィッシング攻撃では、暗号資産交換業者やウォレット等がデータ侵害に遭ったという誘い文句から、ウォレット等の「リカバリー(シード)フレーズ」を入力するよう促したり、攻撃者が管理するアドレスに資金を送金させようとしたりすることもあります。

さらにはランサムウェアなどのウイルスに感染させ、重要なファイルを暗号化することでファイルを利用不可能な状態にした上で、そのファイルを元に戻すことと引き換えに金銭(身代金)を要求し、暗号資産を請求してくる脅迫的な手法も見られます。

フィッシング攻撃は手口が単純かつよく知られている詐欺の手法ですが、巧みな誘導で偽のホームページへと誘い込むため、油断をしていると詐欺の手口に精通している上級者でも引っかかることがあるので十分に注意が必要です。

スマートフォンを狙うSIMスワップ攻撃

暗号資産(仮想通貨)取引など金融取引のすべてをスマートフォンだけで行っている人も大勢いるでしょう。そうした状況下で登場している詐欺がSIMスワップ攻撃です。

SIMスワップ攻撃を簡単に説明すると、スマートフォンが他人に乗っ取られてしまう詐欺です。SIMスワップという詐欺の手口は、特に米国を中心に被害が拡大しています。

まず、SIMスワップの攻撃対象となるSIMカードは、スマートフォンから取り出して別のスマートフォンに挿入することで、挿入したスマートフォン側で自動的にモバイルサービスが移管される仕組みを持っています。

スマートフォンを紛失した際は、携帯電話会社が紛失したSIMカードを無効化し、新しいSIMカードにIDを移してくれるため、新たなスマートフォンに新たに発行されたSIMカードを挿入することで問題なくこれまでモバイルサービスを利用できます。

SIMスワップ攻撃は、このSIMカードの特性を利用した詐欺です。SIMスワップ攻撃は「SIMハイジャック」や「SIMスワッピング」といった別名がありますが、いずれも同じ意味、同じ詐欺で、詐欺師はスマートフォンの所有者になりすまします。

詐欺師は、何らかの方法で住所・氏名・生年月日・電話番号等の個人情報を入手し、スマートフォンの所有者になりすまして、携帯電話会社にスマートフォンの紛失届を出し、自分の持っているSIMカードに被害者の電話番号を移すよう依頼します。こうしてSIMカードを手に入れた詐欺師は、被害者の電話番号に紐付けられているアカウントを使いモバイルサービスを乗っ取ることが可能になります。

詐欺師はSIMを乗っ取った後、そのSIMで受信できるSMSを使った2段階認証を突破し、オンラインバンキングや暗号資産交換業者などに不正ログインを行います。被害者はこのセキュリティを突破されてしまうと、金融資産等が勝手に送金されてまったり、高額な買い物等をされるなど、さまざまな手口で資産が流出してしまうことになります。

詐欺師攻撃前に本人確認のために身分証明書等を偽造する必要があるため、手口は大がかりになりますが、SIMスワップ攻撃による被害は確実に増えており、日本も例外ではないでしょう。

SIMスワップ攻撃では、すべてのモバイルサービスが乗っ取られてしまう可能性も高く、乗っ取られた場合はあらゆるサービスのアカウントが被害を受けるため、細心の注意が必要です。

SIMスワップ攻撃はフィッシング攻撃などによる個人情報の流出とも無関係ではなく、流出してしまった個人情報がいつどこで利用されるかわからない例のひとつです。個人情報の流出にはくれぐれも日頃から気をつけたいところです。

まとめ

サイバー攻撃を恐れてスマートフォンを使うことをやめたり、オンラインサービス、モバイルサービスを利用するのをやめたりするのは現実的ではありません。暗号資産(仮想通貨)取引に限らず、オンラインでの基本ルールの徹底に努めることが得策です。

オンラインでの安全性を守る基本ルールは、フィッシングメールに注意し、疑わしいリンクをクリックしたり、機密性の高い個人情報をオンラインで提供したりしないようにすることを遵守することにつきます。

暗号資産交換業者や銀行、クレジットカード会社等、多くのサービスプロバイダーは、アカウント所有者にID、パスワード、口座情報やマイナンバーなどの情報をメールで聞くことはありません。

また、多くの携帯電話会社では、所有者が電話アカウント変更に使うセキュリティ設定を用意しています。固有のパスワード・PINコード・セキュリティに関する質問を設定することで、アカウントの所有者がセキュリティを強化できます。

2要素認証でアカウントを保護する場合は、安全性の高い認証アプリを使用することで、認証プロセスを電話番号ではなくデバイスと紐付けることができるため、万が一SIMスワップ攻撃の被害にあってもアカウントが乗っ取られる可能性は低くなります。

暗号資産取引やオンラインサービスを利用するにあたり、サイバー攻撃からの被害を最小限に抑えるためには、常に新しい情報、考えられるリスクを考慮して身を守る策を講じることも大切です。新しいサービスは、それを悪用しようとするものも必ず現れると考え、リスクに対してより安全に対処できるよう、最新の情報に触れるよう努めることが大切です。

暗号資産(仮想通貨)のリスクに対する対策については「暗号資産(仮想通貨)取引に関わるリスク」もご参照ください。

※掲載されている内容は更新日時点の情報です。現在の情報とは異なる場合がございます。予めご了承ください。

関連記事

今、仮想通貨を始めるなら
DMMビットコイン