暗号資産(仮想通貨)の取引サービスを提供するコインチェックが2020年6月2日、第1報として「当社利用のドメイン登録サービスにおける不正アクセスについて」という文書を公開しました。
コインチェックといえば、2018年1月に不正アクセスを受けて約580億円相当の暗号資産が流出した事件の印象が強いでしょう。当時は強烈なインパクトを持って報道され、この時流出した暗号資産を不正に取得したとして、2020年3月には初の逮捕者が出ています。
そのような印象を持っていたので、第一報の時点では「やはり巨額の資産が動く場所は狙われやすいものだな」程度の、簡単な感想を持っていました。しかし今回の事件には以前とは少々毛色が違う、注目すべき内容が含まれています。
第1報からわずか3日後、たたえるべき“最終報告”が公開される
不正アクセスに関する第一報を公開してからわずか3日後に、コインチェックは最終報告を公開しました。
同じタイミングで、コインチェックが利用するドメイン管理サービスであり、GMOインターネットが提供する「お名前.com」が以下のような報告を公開しました。
お名前.comをご利用のお客様の管理画面が不正にアクセスされ、ご登録いただいている情報が書き換えられるという事案が発生しました。
これについて調査を行ったところ、悪意のある第三者が、当該お客様のIDと、「お名前.com Navi」における通信を改ざんできる不具合(※)を利用して、お客様のお名前.com会員情報(メールアドレス)を書き換えたことが判明しました。
2020.06.03【お知らせ】お名前.com Naviで発生した事象につきまして|お名前.com
これらを総合すると、コインチェックが今回対応したインシデントの姿が見えてきます。狙われたのは、コインチェックの外で行われている「ドメイン設定に関連する処理」でした。
攻撃者の手口と狙いは?
今回の経緯を整理してみましょう。コインチェックは2020年6月1日、監視業務においてレスポンス遅延を発見します。7時間後、コインチェックのドメイン登録情報が何者かによって書き換えられていたことに気付きました。コインチェックはお名前.comを利用しており、GMOインターネットの協力を受けて、登録情報を修正しました。
さて、攻撃者はなぜ、自分の持ち物でもないコインチェックのドメイン情報を書き換えられたのでしょうか?
お名前.comの報告には、詳細は開示されていません。しかし「悪意のある第三者が、お客さまのIDとお名前.com Naviにおける通信を改ざんできる不具合があった」ことが示唆されています。つまりドメインの管理に関連する処理に脆弱(ぜいじゃく)性があり
、第三者による認証情報の不正取得か、お名前.comのデータベースの直接操作が可能だったのかもしれません。
この問題によってコインチェックのドメインのレコードが偽のサーバに登録され、「メール問い合わせをした顧客のメールアドレスと本文が第三者に流出した可能性がある」そうです。
今回の事件は、コインチェックが管理するサーバそのものではなく、外部にあるドメイン管理画面の脆弱性が狙われたものでした。いわばサプライチェーンが狙われたと考えても良いでしょう。検知や対処が遅れれば、金融機関として甚大なインシデントになりえたものでした。
チェックしておきたい人気記事
この対応の「スゴさ」はどこにあるか
今回の対応には、金融業界のみならず全ての企業組織が見習うべきポイントがたくさんあります。
まず驚くのが、コインチェックが「小さな違和感」にしっかり気付けている点です。報告書には「監視業務にてレスポンスの遅延を検知し関連システムの調査を開始」とだけ書いてありますが、この1行を読んだだけでひっくり返るセキュリティ担当者もいるでしょう。そして、最初の検知から7時間後には、ドメイン登録情報の変更に気が付いています。
報告からは、コインチェックが2018年のインシデントの後に入念な対策を実施し、それがしっかり効いているという印象を受けます。原因が分かれば、その後の対応はある程度見えてくるでしょう。個人的には、ここに至るまでのコインチェックの動きは称賛に値すると思っています。
「わが社は金融系ではないから無関係」と思ってはいけません。こういった攻撃は数年すればノウハウが確立して自動化され、全ての企業をターゲットにして広がるもの。攻撃の初期段階で異常を検知する仕組み作りは、どの業界にとっても重要です。
コインチェックに学ぶもの
コインチェックの報告書からは「平時の備え」の大切さが分かります。まず普段のレスポンスをモニタリングしていなければ、遅延の発見もできなかったでしょう。
例えば小規模な組織であれば、従業員が「あれ?」と思ったときに隣の席のシステム担当者に雑談レベルで報告が届くかもしれません。しかし組織が大きくなると、そのようなシームレスな連携も難しくなります。どんな組織であっても、現場の小さな違和感をすぐに適切な場所へ報告できるような仕組みが必要かもしれません。
さらに重要なのは、自社が管理しているサービスの変更管理を徹底し、不正な設定変更がすぐ把握できる点にあるでしょう。Webコンテンツ向けの改ざん検知ソリューションだけではなく、ルーターやファイアウォールなどのネットワーク機器やクラウドサービスの設定、ドメイン設定などの管理についても考えておく必要があるでしょう。
ドメイン管理については、過去にも乗っ取りの話題がありました。ゲーム「ラブライブ!」の公式サイトが「ドメイン移管」の悪用によって乗っ取られた事件です。閲覧者が正規ドメインを入力してWebサイトにアクセスすると、正規のプロセスを踏んで第三者のWebサイトが表示される状態になっていました。
ラブライブ!公式サイト乗っ取りに使われた「ドメイン移管」の仕組みとは “10連休”に危険潜む? - ITmedia NEWS
ラブライブ!の公式サイト乗っ取りには、目で見て分かる変化がありました。しかしコインチェックのようにメールだけを狙ったり、そっくりな偽サイトを作られたりしては、利用者にはすぐに攻撃に気付けません。そのタイムラグを狙う攻撃者もいます。ドメインを狙った攻撃にはさまざまなパターンが考えられます。皆さんの組織では、それぞれの攻撃に備えた「平時の管理」ができているでしょうか?
セキュリティインシデント報告書で信頼を高める
コインチェックは今回の短いレポートで、事故対応の報告と「われわれはこのような攻撃をすぐに発見して対処できる」というメッセージを同業他社や攻撃者に向けて発信しています。
それは、利用者に取って安全を提供する姿勢となり、“信頼”を作り出すのではないかと考えています。セキュリティ投資は利益を生まないと考えている経営者も、今回の対応には何か違うものを感じるのではないでしょうか。その点でも、この報告書は大きな力があると、私は考えています。
余談ですが、報告書の中で筆者がもっとも気になったのは、「経緯」の最終行にあった「当社のドメイン管理に対するドメイン登録サービス事業者の変更を完了」という対応です。
ああ、やっぱり「お名前.com」から変えられてしまったか、という印象を持つとともに、今回の事象を経てコインチェックが移管したサービスがどこなのか、ほんの少し気になりますね。
著者紹介:宮田健(みやた・たけし)
元@ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。
2019年2月1日に2冊目の本『Q&Aで考えるセキュリティ入門 「木曜日のフルット」と学ぼう!〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』(エムディエヌコーポレーション)が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ&Aのクイズ形式で楽しく学べる。
関連記事
関連リンク
チェックしておきたい人気記事
"報告書" - Google ニュース
June 09, 2020 at 07:20AM
https://ift.tt/3h8h5ob
セキュリティインシデントの報告書で信頼を高める——コインチェックの対応に学べ - ITmedia
"報告書" - Google ニュース
https://ift.tt/2RI6i8m
Shoes Man Tutorial
Pos News Update
Meme Update
Korean Entertainment News
Japan News Update
No comments:
Post a Comment