仮想通貨取引所コインベースのセキュリティチームは8月8日、秘密鍵とパスワードの窃盗を目的とした高度なフィッシング攻撃をどのように阻止したか、公式ブログにおいて明らかにした。モジラ(Mozilla)のウェブブラウザー「Firefox」における2つのゼロデイ攻撃に対応したという。攻撃検出時に、どの程度の時間でどう防いだか実力を示すことで、今後発生しうるセキュリティ攻撃の抑制を狙ったものと見られる。

なおゼロデイ(zero day)とは、修正パッチ配布日(1 day)以前の状態、脆弱性の解決手段が存在しない状況で、ユーザーが脅威にさらされることを指す。またゼロデイ攻撃とは、このゼロデイを悪用した攻撃をいう。

標的を絞った高度なフィッシング攻撃

コインベースによると、フィッシング攻撃の最初のステップは、今年の5月下旬までに、ケンブリッジ大学(の正当なドメイン)の「研究助成金管理者」から、一見無害に思える複数の電子メールを12名以上の従業員が受信したことだったという。これらメールは、攻撃検出用フィルターに検知されなかったようだ。

ただし、このメール戦術は6月中旬までには変更され、メール内のURLをFirefoxで開いた場合、受信者のコンピューターにマルウェアをインストールする可能性があるものになったという。

コインベースは、この際のメールは正常に検知し、受信後数時間以内に攻撃に対抗するため他組織と協力したと明かした。また攻撃検出の時点で、コインベースは、同社顧客を標的とする攻撃の証拠は見つからなかったことを強調した。

最終的に、コインベース以外の複数組織において、合計200名以上の者が標的となっていたことが判明したという。

コインベースはどのように行動したか

コインベースによると、攻撃者は、実際に存在する学術イベントを参照し攻撃目標の属性や経歴などの事前調査を行い、不正侵入した大学アカウントから複数の正当なメールを送信していたそうだ。攻撃者は、Firefoxのゼロデイ脆弱性を悪用したサイト(URL)を介して、標的の2.5%にマルウェアを感染させようとしていたという。

(出典:コインベース公式ブログ 「Firefox」のゼロデイ脆弱性を悪用したフィッシング攻撃対応時のタイムライン)

また、6月に自動検出したメールと受信者の従業員の特定後、対抗チームは、フィッシング詐欺サイトが存在している間にゼロデイ脆弱性を悪用したコード(エクスプロイトコード)を取得し、脅威への対抗方法を見つけ攻撃への応答を防ぐことを目指したそうだ。またセキュリティーチームは次のように述べた。

「(メールを受信した)マシンにあったすべての資格情報を失効させ、影響を受けた従業員に関するすべてのアカウントをロックした。攻撃を受けた環境を封じ込めた後は、モジラのセキュリティーチームに連絡し、今回使用されたエクスプロイトコードを共有した」

モジラは、2つの脆弱性のうち1つを翌日までに修正し、2つ目の脆弱性も同じ週には修正したそうだ。

【関連記事:仮想通貨取引所コインベース、デスクトップ版Firefoxのゼロデイ脆弱性を利用した攻撃を検出

翻訳・編集 コインテレグラフ日本版