BeInCryptoに共有された最近の報告によると、Trust Walletのユーザーが先週、突然一晩で資金を失った。ウォレットに問い合わせたところ、悪意のあるウェブサイトやアプリケーションに知らずに権限を与えていたことが判明した。
Trust Walletの最高情報セキュリティ責任者であるイヴ・ラム氏は、BeInCryptoとのインタビューで、ほとんどの不正な暗号資産の引き出しはユーザーの問題に起因すると述べた。ハッケンのコンプライアンス責任者であるドミトロ・ヤスマノビッチ氏もこの見解を共有し、暗号資産ウォレットが侵害されたと疑われる場合にユーザーが取るべきステップについての指針を提供した。
一夜の損失
先週、チリの暗号資産ユーザーであるマティアスは、何の心配もなく眠りについた。しかし、目が覚めたときには状況が一変していた。BeInCryptoに共有された詳細によると、マティアスがTrust Walletにアクセスした際、資金がアカウントから引き出されていることに気づいた。
このような状況は、彼が5年間モバイルウォレットを使用してきた中で一度も起こったことがなかった。マティアスはすぐに、午前8時に少額の暗号資産がアカウントに入金され、その直後にアカウントが空になったことに気づいた。
マティアスは、どうしてこんなことが起こったのか全く分からなかった。Trust Walletのセキュリティチームに説明を求めたところ、問題は彼が無意識に行った行動に起因していることが判明した。
「我々の内部データとインシデント対応調査に基づくと、不正な引き出しの大部分はユーザー側の問題に起因している」とラム氏はBeInCryptoに語った。
彼女は、ユーザーが悪意のある行為者に機密情報を誤って共有する多くの方法を説明した。
ユーザー側の脆弱性の現実
Trust Walletの内部データとインシデント対応調査の分析によれば、ユーザー側の問題がほとんどの不正な暗号資産の引き出しの原因となっている。
これらは、漏洩または侵害されたシードフレーズに関与することが多く、しばしばソーシャルエンジニアリング戦術、安全でない保管、ユーザーによって承認された悪意のあるスマートコントラクトが原因である。
デバイスレベルの侵害や、SIMスワップ攻撃、ロック解除されたデバイスの盗難などの他のインシデントも、これらの不正な引き出しに寄与している。
「これらのケースすべてにおいて、Trust Walletアプリ自体が侵害されているわけではなく、問題は外部環境に起因している」とラム氏は詳述した。
これらの搾取方法は、モバイルウォレットから暗号資産を盗むための最も一般的な攻撃手法の一つとなっている。
ユーザーエラー対ウォレットハッキング: 損失はどこで最も発生するか
ハッケンは、モバイルウォレット攻撃の進化に関する具体的な内部データを持っていないが、ヤスマノビッチ氏はBeInCryptoに対し、ユーザーの行動によって引き起こされる資金の損失が、同社が調査するケースでますます明らかになっていると説明した。
「我々の調査とツールが示すところによれば、より広範な問題が存在している。今日の暗号資産における大規模な損失の多くは、モバイルマルウェアよりも、署名者のワークフロー、インターフェースのセキュリティ、アクセス制御の失敗に関するものだ」とヤスマノビッチ氏は述べた。
署名者のワークフローは、暗号資産の取引を秘密鍵で承認することを含む。これらの鍵が侵害されると、不正な取引署名が直接可能になる。一方、暗号資産ウォレットやdAppsのユーザーインターフェース(UI)の欠陥は、ユーザーを誤った取引に導く可能性がある。攻撃手法には、アドレスポイズニングが含まれ、攻撃者は類似したアドレスを作成して資金を傍受する。
また、資格情報を盗むか、有害な取引署名を誘発するために設計された偽のdAppsを展開する。さらに、UIリドレッシングは、ユーザーを欺いて意図しない行動を取らせるための欺瞞的なオーバーレイを含む。
しばしば、ユーザーは知らずに悪意のあるスマートコントラクトを承認してしまうこともある。
「それは重要なポイントだ。悪意のある承認は、Trust Walletがインストールされる前から存在する可能性がある。特に、ユーザーが他のウォレットやブラウザを使用してWeb3アプリとやり取りした場合に」とラム氏は警告した。
このようなシナリオが発生すると、資金を回復するのは非常に困難である。
資金回収の課題
非カストディアルウォレットとしての地位を持つTrust Walletは、詐欺後に暗号資産の取引を取り消すことはできない。しかし、盗まれた資金を追跡するためにオンチェーン分析を行い、ユーザーを支援する。また、法執行機関向けに詳細なインシデントレポートを提供し、時にはフォレンジック企業と協力することもある。
これらの努力にもかかわらず、資金を回収できる可能性は非常に低い。
「成功は早期の行動に大きく依存する。資金がCEXに到達し、ユーザーが迅速に[法執行機関]に報告を行うと、資産凍結の可能性がゼロではない。詐欺関連のすべてのケースにおいて、回収成功率は低いが、中央集権的なエンドポイントが関与し、法執行機関が迅速に介入した場合、資金が回収された事例もある。約40万ドルを追跡したケースのように」とラム氏はBeInCryptoに語った。
その結果、ユーザー教育がこれらの損失を引き起こす問題を防ぐ最も効果的な方法である。
検出を超えて: 重要な予防策と対応策は何か
Trust Walletには、既知の詐欺師のアドレス、フィッシングサイト、疑わしい承認とのやり取りなど、リアルタイムの脅威を警告するセキュリティスキャナーが内蔵されている。しかし、これらの警告が十分でない場合もある。
暗号資産ウォレットを保護するために、ヤスマノビッチ氏は、組織や個人が鍵の管理と運用セキュリティを確保するために暗号資産セキュリティ標準(CCSS)のコントロールを実施するべきだと助言した。
「鍵が侵害されたと疑われる場合の明確な行動を定義し、取り消し、資金移動、監査を含め、すべてのウォレットシステムと鍵管理インターフェースへのアクセスに[多要素認証]を要求し、資金を侵害から守るためにクォーラムベースのアクセスを使用し、リスクを集中させずに回復手順を明確に定義した暗号化された地理的に分散したバックアップを実施する」と同氏は説明した。
ヤスマノビッチ氏はまた、これらの攻撃が発生した後に何をすべきかを知ることの重要性を強調した。
「暗号資産ウォレットが侵害されたと疑われる場合は、直ちに行動を起こすこと:法執行機関に事件を報告し、暗号資産フォレンジックの専門家を招き、チェーン分析ツールを使用して盗まれた資金の動きを追跡し、ミキサーや関与する取引所を特定し、凍結資金の試みのためにKYCデータを持つ取引所にリクエストを提出する」と同氏は付け加えた。
これらの対策にもかかわらず、ユーザー側の脆弱性が損失を引き起こし続けている現実がある。
モバイルウォレットにおけるユーザー脆弱性の持続的な課題
積極的なセキュリティ対策を講じても、資金損失の継続的な頻発は重大な懸念を引き起こしている。これらの出来事の頻発は、モバイルウォレット使用時のユーザーエンドの脆弱性の持続的な課題を浮き彫りにしている。
より安全なWeb3への道は、強力なセキュリティプロトコルと積極的なユーザーの準備の間のバランスを本質的に必要とする。したがって、ユーザー教育への継続的な取り組みと、これらの保護措置の広範な採用が、攻撃を効果的に減少させ、業界全体でより安全な環境を確立するために重要である。
Follow us on:
X(Twitter):@BeInCryptoJapan
Telegramチャンネル:@BeInCrypto Japan オフィシャルチャンネル
免責事項 - Disclaimers
当ウェブサイトに掲載されているすべての情報は、誠意をもって作成され、一般的な情報提供のみを目的としています。当ウェブサイトに掲載されている情報に基づいて行う一切の行為については、読者ご自身の責任において行っていただきますようお願いいたします。
