暗号資産（仮想通貨）を目的としたサイバー犯罪を阻止するにはー攻撃種類から考える組織に必要なセキュリティー

[更新日]2023年5月23日

はじめに

日本の暗号資産がサイバー攻撃者に狙われています。2022年10月には、金融庁、警察庁、内閣サイバーセキュリティセンター共同で注意喚起が行われています^※1。2023年に入ってからは、その被害が900億以上にのぼるとの分析が公表され^※2、深刻な事態が明らかになりました。

犯罪捜査の定石に「（犯罪活動の）資金の流れを追え」というものがあります。しかし暗号資産のように、資金そのものが分散化、匿名化されているサイバー犯罪の場合、追跡は困難になります。トレンドマイクロでは、深刻化するこの犯罪に対して、攻撃分析や実態解明を進め、攻撃の無効化や被害の低減を図る活動を行っています^※3。組織においても、今後は暗号資産を狙う攻撃も念頭にセキュリティ対策を講じることが重要です。
※１　北朝鮮当局の下部組織とされるラザルスと呼称されるサイバー攻撃グループによる暗号資産関連事業者等を標的としたサイバー攻撃について（注意喚起）（金融庁・警察庁・内閣サイバーセキュリティセンター　2022/10/14）
※２　北朝鮮、日本から仮想通貨980億円奪取　世界被害額の3割（日経新聞　2023/5/15）
※３　暗号資産をマイニングする不正プログラムへの感染拡散活動とその考察（2022/12/22）

暗号資産を狙うサイバー犯罪者

10年以上前、違法薬物の売り手と買い手を匿名でつなぐ、最初のダークウェブ市場としてSilk Roadというサイトが広く知られていました。Silk Roadでは、Tor（The Onion Router）ネットワークを悪用して利用者のプライバシーを保護し、暗号資産の一つビットコインとダークウォレットによる暗号化・隠ぺい化された取引が実行されていました。こうした活動は、暗号資産を取引に利用するサイバー犯罪への対策の必要性を世間に周知する契機ともなりました。

その後、多くのダークウェブ市場が出現し、暗号資産の価値は、爆発的に上昇しています※。Silk Roadが立ち上げられた2011年2月、1ビットコインの価値は1米ドル以下でした。
それから10年が経過し、一時期は、1ビットコイン6万8,000米ドル以上という史上最高値を記録しました。その後下がったとはいえ、2022年6月の時点の1ビットコインの価値は2万3,000米ドル弱となっています。
※Bitcoin's Price History

このように、暗号資産は、その高価値と匿名性により、サイバー犯罪者の間での事実上の通貨となっており、法執行機関、組織にとって、暗号資産を要求するサイバー恐喝の防止は、最重要事項となっています。

ビットコインに代わる暗号資産を探すサイバー犯罪者

最近の研究で、アドレスリンクの技術を利用することで、ビットコインアドレスを利用者個人に結び付けられることが実証されました^※1。これは、ビットコインが利点と主張してきた匿名性やプライバシーという基本的な価値に疑問を投げかけるものです。

一方、サイバー犯罪者は、すでに一歩先を行き、追跡がはるかに困難なモネロのような匿名ベースの暗号資産に移行し始めています^※2。現在、いくつかのダークウェブ市場では、すでにモネロが独占的に使用されています。

また、米国の国土安全保障捜査局（HSI）サイバー犯罪センター課長のMatt Swenson氏は、トレンドマイクロとのインタビューの中で、匿名の暗号資産は取引を台帳に記録する際、取引追跡の手がかりとなる情報の難読化を図ると指摘しています^※3。これにより、取引の発信元アドレスと宛先アドレスを特定することは、事実上不可能となっています。法執行機関は、こうした追跡不可能な暗号資産の取引の対処に苦慮しています。
※１　The Decentralized Mystique
※２　暗号資産をマイニングする不正プログラムへの感染拡散活動とその考察
※３　TrendTalksBizSec 　 Malicious Crypto

暗号資産を目的としたサイバー犯罪を阻止するために

暗号資産を目的とするサイバー犯罪は、組織にとって脅威です。最近発生している次の3つの攻撃例から、有効な自衛策を紹介します。

ランサムウェアや不正アプリによる攻撃

暗号資産は、サイバー犯罪者によるランサムウェア攻撃の収益化をより容易なものへと変えました。ビットコインを利用すれば、瞬時に被害者からの身代金の支払いを受け取れるからです。しかもCISOや企業や組織のセキュリティ担当者にとっての懸念は、こうしたランサムウェアの増加だけではありません。偽アプリや不正アプリなども、秘密鍵やその他の暗号資産関連の情報窃取に使用されることがあり、深刻な問題となってきています。メタバースや暗号資産が広く流通するWebサイトの将来を見据えたとき、こうした秘密鍵なども窃取するさらなる手口が登場する可能性が懸念されます。

進化を続ける不正アプリから身を守るために、組織が講じるべきあらゆる措置の中でも、ゼロトラスト戦略の導入は最も重要であるといえます。ゼロトラストのモデルでは、ユーザ、デバイス、アプリケーション、サービスに対して、それぞれが適切に検証され、継続的に再評価された場合にのみアクセス権限を付与する「決して信頼せず、常に検証する（Verify and Never Trust）」という原則を徹底することになります。

クラウドを利用した暗号資産マイニング攻撃

最近の傾向として、クラウドのリソース、特にCPUのリソースを標的にして暗号資産のマイニングする攻撃が増加しています。トレンドマイクロの試算では、こうしたクラウドベースの暗号資産マイニング攻撃の損失コストは、端末1台当たり130米ドル/月になることもあります^※。
※攻撃によるシステムのリソース消費が100%の場合、インスタンスあたり月額130米ドルのコスト発生が予想される。
Why Organizations Should Take Cloud-Based Cryptocurrency-Mining Attacks Seriously　2022/3/29

現在、多くの組織が複数のクラウドを利用しています。このため、上述のような不正利用が発見されないまま放置されると、リソースの消費量と関連コストが膨大になってしまう可能性があります。自社のリソースを利用した不正な暗号通貨マイニング活動が確認された場合は、ご利用のクラウドインフラがその他のタイプの攻撃に対しても脆弱である可能性を示す警告サインとして受け止める必要があります。

クラウドインフラが適切に設定され、コンプライアンスに適合していることを確認するためには、次のような取り組みにより、継続的なセキュリティの保証と可視性の確保が不可欠となります。
•   クラウドインフラ全体へのリアルタイム監視の実施
•   クラウドインフラ設定のベストプラクティスを自動的にチェックする施策
•   コンプライアンス標準に照らした継続的なテストの実施
•   複数のフィルタを駆使した広範なレポート体制の整備
•   自己回復コントロールによる段階的な修復ルールの制定

暗号資産を詐取する攻撃

暗号資産が普及とともに、関連の詐欺も後を絶たない状況ともなっています。2022年初め、トレンドマイクロでは、AndroidおよびiOS上に存在する偽の暗号資産ウォレットアプリ249個を発見し、約430万米ドル以上の損害が発生しているのを確認しました^※1。これは、暗号資産の取引が不可逆的であることを悪用した偽アプリの手口といえます。

こうした脅威に対しても、組織は対処し、サイバー犯罪を阻止する必要があります。このタイプの詐欺には、特にメールが頻繁に使用される手口であるため、メール領域へのセキュリティ対策は重要です。トレンドマイクロのレポートによると、脅威全体の74.1%がメールを介したものであり、中でもビジネスメール詐欺（BEC）がビジネス上の損失を引き起こす事例の上位に挙げられています^※2。FBI（米連邦捜査局）は、2021年、BEC関連被害による損失額がおよそ24億ドルに達したと報告しています^※3。
※１　An Investigation of Cryptocurrency Scams and Schemes　2022/3/24
※２　Trend Micro Cloud App Security Threat Report 2021
※３　Internet Crime Complaint Center (IC3) 　Internet Crime Report　2021

これら一連の詐欺は、不正なリンクや添付ファイルを使用しないため、従来のセキュリティソリューションで阻止することが難しくなっています。AI、機械学習、挙動分析といった最新の防御技術を単一のダッシュボードに統合する多層化メッセージングセキュリティ（Layered Messaging Security）の技術が有効になります。くわえて、セキュリティ関連トレーニングの実施、セキュリティへの意識向上を目指した組織文化の醸成、セキュリティを重視したプロセスの改善といった取り組みにより、これらの問題を軽減することができます。

セキュリティプラットフォームの統合と官民連携の重要性

攻撃のライフサイクルを視野に入れたセキュリティ対策に取り組むためには、脅威の網羅的な可視化と検出、そして対処が必要であり、これを実現するためにはエンタープライズサイバーセキュリティプラットフォームが有効です。そして、根本的にサイバー犯罪の問題に取り組むには、法執行機関などさまざまな機関との協力関係が重要となります。

Silk Roadを閉鎖に追い込んだケースは、こうした協力関係の効果を証明する好例といえます。Silk Roadは、その急速な発展と成功にもかかわらず、2013年、FBIによって閉鎖され、首謀者は逮捕され、後に有罪判決を受けました。連邦捜査官は、ビットコインの使用とTorによるアドレスの隠ぺいが捜査上の大きな障害になったことを認めながらも、他の組織との協力体制でこの困難を克服しています。

官民の連携においては、まずは自組織で発生したインシデントを法執行機関に正しく報告することが重要な第一歩となります。また、トレンドマイクロが運営する脆弱性発見コミュニティZero Day Initiativeなどのプログラムを通じて、アプリケーションの脆弱性をベンダに報告することも、サイバー空間のセキュリティを強化する上で、有効な取り組みといえます。脆弱性の特定が迅速にできれば、セキュリティ強化のための修正対応も早く行うことができるからです。

本記事は2022年9月にUSで公開された記事の抄訳です。
翻訳： Core Technology Marketing, Trend Micro™ Research