アカウント乗っ取りで100万ドル相当の盗難被害
BINANCE(バイナンス)を利用していた個人投資家が、Aggr(アグル)と呼ばれるGoogle Chromeの拡張機能を利用したことによってアカウント乗っ取りの被害に遭い、100万ドル(約1億5,600万円)相当の被害をうけたことが明らかになりました。
今回の被害を報告したのは「@CryptoNakamao」というXアカウントの中国人トレーダーで、2024年6月3日のX投稿を通じて今回の被害内容が報告されています(※X投稿は削除されました)。
同氏によると、今回の事件の犯人はBINANCEアカウントのパスワードと二段階認証コード(2FA)を必要としない方法でアカウントを乗っ取っていたとのことで、「他の人が同じミスを繰り返さないために」として被害内容が共有されています。
私は仮想通貨業界のおとり捜査の被害者となり、BINANCEアカウントで保管していた100万ドルを失いました。これは過去数年間で貯めた私の貯蓄のほぼ全てです。
BINANCEアカウント乗っ取りの概要
Chrome拡張機能を用いたアカウント乗っ取り
今回のアカウント乗っ取りはパスワードなどのログイン情報が流出したというような単純なものではなく、Aggr(アグル)と呼ばれるGoogle Chrome拡張機能を通じてウェブブラウザのクッキーデータにアクセスされ、BINANCEアカウントを不正操作されたと報告されています。
(*1) Cookie(クッキー):自分が見ているウェブサイトから自分のスマホやパソコン内のブラウザに保存される情報のこと。
具体的には「悪意のある拡張機能でクッキー情報を収集し、その情報を使用してパスワードや二段階認証コードを必要とせずにBINANCEアカウントを乗っ取る」という流れです。
Aggr(アグル)は以前から公開されていたクローム拡張機能で、海外の著名人やテレグラムチャンネルなどで宣伝されていたとのことですが、この拡張機能はユーザーのウェブブラウジングデータとクッキーを盗み取るために作成されていたようです。
CryptoNakamao氏は、仮想通貨業界で推奨されている二段階認証コードなども設定していたようですが、今回はこの拡張機能をインストールしてしまったことによって、アカウントを乗っ取られてしまいました。
乗っ取り後の不正取引で資金を盗む手法
BINANCEアカウントから資産を出金するためには「メールに届く認証コード」や「二段階認証コード」などといった各種パスワードが必要となるため、これらの設定を行なっている場合、BINANCEアカウントから資産を盗み出すのは困難です。
今回の犯人はこれを回避して資産を盗むために「流動性が低い仮想通貨を被害者のアカウントから売買し、それにあわせて自分のアカウントでも対象の仮想通貨を売買する」という方法をとっています。
この方法は複雑ではあるものの、攻撃者の意図した通りに取引が成立すれば「被害者のアカウントに大量の損失を発生させて、自分のアカウントで大きな利益を得る」という行為が可能となります。
BINANCE側の対応に対する指摘
CryptoNakamao氏はアカウント乗っ取りに気付いた後にBINANCEのカスタマーサービスに連絡したとのことですが、ハッカーの資金を凍結するまでには1日以上かかったとのことで、ハッカーの資金はすでに送金済みの状態になっていたと報告されています。
また、同氏は「調査の結果、BINANCEが詐欺的な拡張機能の存在を以前から認識して、内部調査を進めていたことが判明した」ということも報告しており、それにも関わらずバイナンスが適切な通知や行動を取らなかったことも非難しています。
なお、CryptoNakamao氏は一連の投稿の中でBINANCE側の対応の問題点を指摘していますが、それに合わせて「BINANCEチームを尊敬しているし、悪意を持って中傷するつもりもない」ということも説明しています。
バイナンス側からの説明
この件についてはバイナンス側からも公式発表が行われていて、「不正取引を調査して疑わしいアカウントを特定し、複数のプラットフォームで凍結リクエストを行うには時間がかかる」との説明が行われています。
これは、1,600以上取引相手と 8,000件以上の取引の中から疑わしい取引を見つけ出す必要があるためであり、データを抽出して分析・実行するために一定の時間がかかることが説明されています。
なお、今回のケースは「CryptoNakamao氏が悪意のある拡張機能をインストールこと」に原因があるため、BINANCE側がこのような事例で補償を提供することはできないとのことです。
また、このような被害を避けるための対策としては以下のような点が挙げられています。
- BINANCEの公式サイトにアクセスする際には、Binanceの公式アプリのみをインストールするか、拡張機能が導入されていないクリーンなブラウザを使用する。
- ログイン状況が漏洩するリスクを避けるために、資金を伴うアプリやブラウザを使用した後は速やかに終了し、オンライン状態を維持しないようにする。
今回の事件から学ぶべきこと
今回の事件は「Aggrと呼ばれるクローム拡張機能を利用していたBINANCEユーザー」に発生した事例となっていますが、同様の手法を用いた仮想通貨盗難事件は今後も発生する可能性があるため、拡張機能を利用している仮想通貨保有者は十分に注意・警戒する必要があると考えられます。
仮想通貨の世界には、ウォレットをはじめとする様々なブラウザ拡張機能が存在しますが、今後はAggrのような別の拡張機能が登場する可能性もあります。
また、BINANCE以外の仮想通貨取引所を利用している場合でも、同様の手法でアカウントを乗っ取られる可能性はありますので、BINANCEユーザー以外も注意が必要です。
仮想通貨を盗むための詐欺アプリや拡張機能は毎年数多く報告されているため、仮想通貨を保有している場合は安易にアプリや拡張機能をインストールしないように心がけ、不要なアプリは定期的に削除することが重要になると考えられます。