2018.5.13 17:30

580億円流出のコインチェック事件、犯人はとんでもないサイバー攻撃を仕掛けていたことが判明 専門家「この規模は国内初」



相手を信用させる前例なき手口 コインチェック攻撃で明らかに
https://www3.nhk.or.jp/news/html/20180512/k10011436321000.html

2018y05m13d_160844734


記事によると
・今年1月、大手交換会社コインチェックから「NEM」と呼ばれる仮想通貨580億円相当が流出した事件

犯人は半年余り前からコインチェック社のシステム管理権限を持つ複数の社員とSNSを通じて偽名で交流を重ね、信用させたうえでウイルスを仕込んだメールを送りつけていたことがわかった

技術者も疑うことなくメールを開いてしまったことでパソコンがウイルスに感染し、不正アクセスの足がかりとなった

・人の心の隙を突いてサイバー攻撃を仕掛ける手口は「ソーシャルエンジニアリング攻撃」と呼ばれ、世界では被害が相次いでいる

・国立情報学研究所の高倉弘喜教授は、「長期間のやり取りを経て巨額の金を奪ったサイバー攻撃は国内では初めてと見られる」と指摘している




tumblr_p8npcs1mD01qa1bnlo1_1280



この記事への反応



「長時間かけて相手を信用させた上で」「莫大の金額をぶんどる」サイバー攻撃としては日本では初めてかも

ここまで用意周到だったのか。そりゃ成功するし捕まらないわけだ

犯人の方が心理的に1枚も2枚も上手だった、ということだから、こんなの防げるはずがない。詐欺としては古典的な方法なのではなかろうか。

古典的なマジモンの白サギやないですか…('A`)

これは自分も騙されそう。スゲー巧妙だわ

ぶっちゃけ技術力に磨きをかけてセキュリティーホールを探すより、ソーシャルエンジニアリング仕掛けるほうが効率が高いのではないか、という実例だなー。

すっげ、スパイ小説だな。でもIT技術者に会社のPCでウィルス入りメール開かせるってどんなやりとりしてたんだろ。激務の息抜きに女の子とメール交換しててエッチな画像開いちゃったくらいしか思いつかないんだけど

ソーシャルエンジニアリングは名前だけは知ってたけど実際例を見るのは初めてかもな。

「会社のEメールで送れる容量が限られているんです」とかでファイル圧縮して分割したメールをすでに何度もやりとりしていたら、しばらく後に犯人が差し出した本命のメールを開いてしまうかもしれない

サイバー攻撃というか人間が管理してるだけに、認識の甘さもありそうだけど。こういうことが起きてる限り、暗号通貨はまだまだ普及しなさそう。







ソーシャル・エンジニアリング - Wikipedia

ソーシャル・エンジニアリングとは、人間の心理的な隙や、行動のミスにつけ込んで個人が持つ秘密情報を入手する方法のこと。ソーシャル・ワークとも呼称される。[要出典]あるいはプライベートな集団や政府といった大規模な集団における、大衆の姿勢や社会的なふるまいの影響への働きかけを研究する学問である(Social engineering : 社会工学)。

元来は、コンピュータ用語で、コンピュータウイルスやスパイウェアなどを用いない(つまりコンピュータ本体に被害を加えない方法)で、パスワードを入手し不正に侵入(クラッキング)するのが目的。この意味で使用される場合はソーシャルハッキング(ソーシャルハック)、ソーシャルクラッキングとも言う。

ソーシャル・エンジニアリングには以下のような方法が、よく用いられる。

・重役や上司(直属でない・あまり親しくない)、重要顧客、システム管理者などと身分を詐称して電話をかけ、パスワードや重要情報を聞きだす。
・現金自動預け払い機 (ATM) などで端末本体を操作する人の後ろに立ち、パスワード入力の際のキーボード(もしくは画面)を短時間だけ凝視し、暗記する(ショルダーサーフィン(英語版))。
ATMの操作時に後方や隣に不審者がいないかを確認するため凸面鏡、覗かれないようパーティションを設置したり、静脈による生体認証を取り入れるなど対策が強化されている。
・IDやパスワードが書かれた紙(付箋紙など)を瞬間的に見て暗記し、メモする。ディスプレイ周辺やデスクマットに貼り付けられていることが多い。
・特定のパスワードに変更することで特典が受けられるなどの偽の情報を流し、パスワードを変更させる(日本において、この手法でパスワードを不正入手した未成年が2007年3月に書類送検されている)。



関連記事
【悲報】警視庁「せめてコインチェック社長を逮捕したい」 犯人逮捕の可能性はほぼゼロだと判明・・・

【敗北宣言】コインチェックから流出した仮想通貨、関係機関が追跡を停止 大半が既に換金済みか

【犯人大勝利】コインチェック流出の仮想通貨、資金洗浄完了か 販売サイトに金正恩氏のコラ画像で「Thank you!!!」









すごい計画的犯行
でも580億円手に入るならいくら時間かけても元取れるよな…







【PS4】Detroit: Become Human【早期購入特典】PS4用テーマ (封入)
ソニー・インタラクティブエンタテインメント (2018-05-25)
売り上げランキング: 21