仮想通貨保有者は要注意「Google Chrome拡張機能を用いたハッキング被害」の報告

by BITTIMES   

アカウント乗っ取りで100万ドル相当の盗難被害

BINANCE(バイナンス)を利用していた個人投資家が、Aggr(アグル)と呼ばれるGoogle Chromeの拡張機能を利用したことによってアカウント乗っ取りの被害に遭い、100万ドル(約1億5,600万円)相当の被害をうけたことが明らかになりました。

今回の被害を報告したのは「@CryptoNakamao」というXアカウントの中国人トレーダーで、2024年6月3日のX投稿を通じて今回の被害内容が報告されています(※X投稿は削除されました)。

同氏によると、今回の事件の犯人はBINANCEアカウントのパスワードと二段階認証コード(2FA)を必要としない方法でアカウントを乗っ取っていたとのことで、「他の人が同じミスを繰り返さないために」として被害内容が共有されています。

私は仮想通貨業界のおとり捜査の被害者となり、BINANCEアカウントで保管していた100万ドルを失いました。これは過去数年間で貯めた私の貯蓄のほぼ全てです。

BINANCEアカウント乗っ取りの概要

Chrome拡張機能を用いたアカウント乗っ取り

今回のアカウント乗っ取りはパスワードなどのログイン情報が流出したというような単純なものではなく、Aggr(アグル)と呼ばれるGoogle Chrome拡張機能を通じてウェブブラウザのクッキーデータにアクセスされ、BINANCEアカウントを不正操作されたと報告されています。

(*1) Cookie(クッキー):自分が見ているウェブサイトから自分のスマホやパソコン内のブラウザに保存される情報のこと。

具体的には「悪意のある拡張機能でクッキー情報を収集し、その情報を使用してパスワードや二段階認証コードを必要とせずにBINANCEアカウントを乗っ取る」という流れです。

Aggr(アグル)は以前から公開されていたクローム拡張機能で、海外の著名人やテレグラムチャンネルなどで宣伝されていたとのことですが、この拡張機能はユーザーのウェブブラウジングデータとクッキーを盗み取るために作成されていたようです。

CryptoNakamao氏は、仮想通貨業界で推奨されている二段階認証コードなども設定していたようですが、今回はこの拡張機能をインストールしてしまったことによって、アカウントを乗っ取られてしまいました。

乗っ取り後の不正取引で資金を盗む手法

BINANCEアカウントから資産を出金するためには「メールに届く認証コード」や「二段階認証コード」などといった各種パスワードが必要となるため、これらの設定を行なっている場合、BINANCEアカウントから資産を盗み出すのは困難です。

今回の犯人はこれを回避して資産を盗むために「流動性が低い仮想通貨を被害者のアカウントから売買し、それにあわせて自分のアカウントでも対象の仮想通貨を売買する」という方法をとっています。

この方法は複雑ではあるものの、攻撃者の意図した通りに取引が成立すれば「被害者のアカウントに大量の損失を発生させて、自分のアカウントで大きな利益を得る」という行為が可能となります。

BINANCE側の対応に対する指摘

CryptoNakamao氏はアカウント乗っ取りに気付いた後にBINANCEのカスタマーサービスに連絡したとのことですが、ハッカーの資金を凍結するまでには1日以上かかったとのことで、ハッカーの資金はすでに送金済みの状態になっていたと報告されています。

また、同氏は「調査の結果、BINANCEが詐欺的な拡張機能の存在を以前から認識して、内部調査を進めていたことが判明した」ということも報告しており、それにも関わらずバイナンスが適切な通知や行動を取らなかったことも非難しています。

なお、CryptoNakamao氏は一連の投稿の中でBINANCE側の対応の問題点を指摘していますが、それに合わせて「BINANCEチームを尊敬しているし、悪意を持って中傷するつもりもない」ということも説明しています。

バイナンス側からの説明

この件についてはバイナンス側からも公式発表が行われていて、「不正取引を調査して疑わしいアカウントを特定し、複数のプラットフォームで凍結リクエストを行うには時間がかかる」との説明が行われています。

これは、1,600以上取引相手と 8,000件以上の取引の中から疑わしい取引を見つけ出す必要があるためであり、データを抽出して分析・実行するために一定の時間がかかることが説明されています。

なお、今回のケースは「CryptoNakamao氏が悪意のある拡張機能をインストールこと」に原因があるため、BINANCE側がこのような事例で補償を提供することはできないとのことです。

また、このような被害を避けるための対策としては以下のような点が挙げられています。

  • BINANCEの公式サイトにアクセスする際には、Binanceの公式アプリのみをインストールするか、拡張機能が導入されていないクリーンなブラウザを使用する。
  • ログイン状況が漏洩するリスクを避けるために、資金を伴うアプリやブラウザを使用した後は速やかに終了し、オンライン状態を維持しないようにする。

今回の事件から学ぶべきこと

今回の事件は「Aggrと呼ばれるクローム拡張機能を利用していたBINANCEユーザー」に発生した事例となっていますが、同様の手法を用いた仮想通貨盗難事件は今後も発生する可能性があるため、拡張機能を利用している仮想通貨保有者は十分に注意・警戒する必要があると考えられます。

仮想通貨の世界には、ウォレットをはじめとする様々なブラウザ拡張機能が存在しますが、今後はAggrのような別の拡張機能が登場する可能性もあります。

また、BINANCE以外の仮想通貨取引所を利用している場合でも、同様の手法でアカウントを乗っ取られる可能性はありますので、BINANCEユーザー以外も注意が必要です。

仮想通貨を盗むための詐欺アプリや拡張機能は毎年数多く報告されているため、仮想通貨を保有している場合は安易にアプリや拡張機能をインストールしないように心がけ、不要なアプリは定期的に削除することが重要になると考えられます。

>>資産管理に関する注目記事はこちら

仮想通貨ニュース|新着

DOGE・SHIB・BTC・APTが当たるルーレットキャンペーン開催へ:ビットトレードNEW

DOGE・SHIB・BTC・APTが当たるルーレットキャンペーン開催へ:ビットトレード

Solidion Technology、ビットコイン投資戦略を発表|余剰資金の大部分を割り当てNEW

Solidion Technology、ビットコイン投資戦略を発表|余剰資金の大部分を割り当て

Web3インフラ提供のGetBlock「Shibarium」をサポート|DApps開発をより簡単にNEW

Web3インフラ提供のGetBlock「Shibarium」をサポート|DApps開発をより簡単に

DMM Crypto「Seamoon Protocol」のプロジェクト中止を発表|SMPトークンなど今後の対応は?

DMM Crypto「Seamoon Protocol」のプロジェクト中止を発表|SMPトークンなど今後の対応は?

18州が仮想通貨関連で米SECを提訴「業界に対する違憲的な権力行使」

18州が仮想通貨関連で米SECを提訴「業界に対する違憲的な権力行使」

ペンシルバニア州議員、ビットコイン準備金法案を提出|最大7億ドル投資の可能性

ペンシルバニア州議員、ビットコイン準備金法案を提出|最大7億ドル投資の可能性

仮想通貨入門 - 基礎知識

【年利最大9%】ソラナ(SOL)をステーキングで増やす方法|画像付きで解説

【年利最大9%】ソラナ(SOL)をステーキングで増やす方法|画像付きで解説

【年利40%以上】フレア(Flare/FLR)をラップ&デリゲートで増やす方法|画像付きで解説

【年利40%以上】フレア(Flare/FLR)をラップ&デリゲートで増やす方法|画像付きで解説

シバイヌDEX「ShibaSwap」の使い方|流動性提供の方法などをまとめた解説動画公開

シバイヌDEX「ShibaSwap」の使い方|流動性提供の方法などをまとめた解説動画公開

各種仮想通貨を「Shibarium基盤BONE」に簡単交換|ガス代補充機能の使い方を解説

各種仮想通貨を「Shibarium基盤BONE」に簡単交換|ガス代補充機能の使い方を解説

‌NFTマーケットプレイス「Magic Eden」とは?機能や使い方などを解説

‌NFTマーケットプレイス「Magic Eden」とは?機能や使い方などを解説

仮想通貨ビットコインの買い方をわかりやすく解説|取引所と販売所の違いなども紹介

仮想通貨ビットコインの買い方をわかりやすく解説|取引所と販売所の違いなども紹介

市場分析・価格予想

「ビットコインは100万ドルを超える」ビットワイズ幹部、根拠と共に提唱

「ビットコインは100万ドルを超える」ビットワイズ幹部、根拠と共に提唱

ビットコイン、目標価格は255,000ドル?著名アナリストの価格予想と重要なサポートライン

ビットコイン、目標価格は255,000ドル?著名アナリストの価格予想と重要なサポートライン

ポリマーケット市場「BTCが年末までに10万ドル突破」を予測|10%から65%へ

ポリマーケット市場「BTCが年末までに10万ドル突破」を予測|10%から65%へ

ビットコイン、トランプ氏勝利で76,000ドル到達|ドージコインの価格上昇も近い?

ビットコイン、トランプ氏勝利で76,000ドル到達|ドージコインの価格上昇も近い?

米大統領選後もポリマーケットの躍進は続く?選挙と関係ないトピックで取引

米大統領選後もポリマーケットの躍進は続く?選挙と関係ないトピックで取引

「2025年までに20万ドル」バーンスタインのビットコイン価格予想

「2025年までに20万ドル」バーンスタインのビットコイン価格予想