暗号資産(仮想通貨)取引所にたびたび送られてくる危険なトラップとその対策について

はじめに

普段はビットバンクという暗号資産(仮想通貨)取引所にてエンジニアをしています。
会社の技術的な内容やセキュリティの話などについては ビットバンク株式会社 Advent Calendar 2020 にて公開してますのでこちらも合わせて読んでみてください。

近年、たびたび情報漏洩が報道されています。
暗号資産(仮想通貨)取引所に勤務している中でもたびたび情報漏洩のリスクをはらんだトラップがたびたび送られてきます。
IT業界に携わる人たちは情報漏洩のリスクをはらんだトラップに引っかからないようにするために取り組んでいる習慣の一例を紹介します。

結論

メールでコミニュケーションをとるのはやめましょう!!せめてチャットツールを使いましょう!!

メールコミニュケーションの危険性

コインチェック事件

2018年に暗号資産(仮想通貨)取引所のコインチェックにて580億円相当のNEMが盗まれた事件です。
この事件が発生した原因は悪意のある第三者からコインチェック社員に対して送信されたメール内のリンクを開いたことによる「マルウェア感染」によるものでした。

参考

• Coincheck

2020年情報漏洩事例

2020年にも情報漏洩事件が多く発生しました。
一例を以下に挙げます。

• PayPay
• Peatix
• カプコン

など

その他については 個人情報漏洩事件・被害事例一覧 - サイバーセキュリティ.com を参照してください。
上記に挙げた事例においてメールが起因ではないものが多くあります。ここではすべての要因への対策については言及しません。
以降ではメールにおける実際にしばしば行われるトラップについて言及していきます。

会社にたびたび送られてくるトラップの紹介

会社には危険なトラップである標的攻撃型メールやフィッシングメールといったものがたびたび送られてきます。

上記の画像は実際に送られてきたメールの一つです。
このときには送られてきたメールアドレスには会社の上司の名前が記述されていました。

このようなメールを受信した際には直ちに社内に以下のような注意喚起が行われました。

この他にも会社の社長の名前であったりなど、フィッシングメールや標的攻撃型メールといったメールをたびたび受信しており、その度に間違えてメールを開かないようにという注意喚起が行われています。
また社内ではメールでコミュニケーションを行う習慣がなかったため、すぐに危険なトラップであると気づくことができる状態でありました。

参考

• フィッシング詐欺に注意｜基本的な対策｜一般利用者の対策｜国民のための情報セキュリティサイト
• 標的型メール攻撃とは？その特徴と対策を徹底解説

情報漏洩しないための対策

メールを使わないこと!!

情報漏洩を起こさないために気をつけることとして基本的には
メールを使わず、普段からチャットツール(Slack, FacebookMessenger, TwitterのDMなど)を使うようにしてコミュニケーションを取るようにしましょう。
(私も会社の名刺を渡す際にはSNSなどのアカウント情報が入った個人名刺も渡しています。その際に「メールを送られても見ないのでチャットで送ってください」と必ず言うようにしています)

SNSやチャットツールを使う方が安全なのか?

確実に安全というわけではないがメールよりはマシ

SNSやチャットツールを使ったからといってメールでマルウェア感染してしまうような危険なメッセージが送られなくなり、安全であるということはありません。
ただしメールと違って一般的な利用をしていればトラップに引っかかりにくいです。その理由として以下の内容が挙げられます。

• Slackなどのクローズドなチャットツールでは招待しなければ怪しい人が入ってくることは(アカウントが乗っ取られない限り)基本的にはない
• FacebookMessengerやTwitterのDMなどオープンなSNSチャットツールの場合、基本的に友達じゃない人からのメッセージは区別されるので怪しいものかどうか判別しやすい

• そもそもウィルスソフトなどの危険なファイルをアップロードして共有することができない

SNSやチャットツールを使う場合においての鉄則

上記のようにメールよりSNSの方が危険なトラップが送られてきたときに判別がしやすいとはいえ、危険性がないわけではないので以下のルールで対処することをオススメします。

• 面識のない人からのコンタクトには対応しない(ファイルをダウンロードしない、URLにアクセスしないなど)
• 友人や有名人に似たアカウントからのコンタクトにも同様に警戒心を持って対応する(おかしいと思ったらそのままスルー)
• 友人などから不自然なメッセージが送られてきたら一旦放置する(多くの場合、あとでアカウント乗っ取りなどで連絡してくる可能性が高いので)

など

迷惑メールフィルタイングの効能

実際の事例にて紹介したように巧妙に偽装されたメールは迷惑メールフィルタイングに検知されません。迷惑メールフィルタイングはないよりはずっとマシ、程度のモノであると考えた方がいいと思います。

アンチウィルスソフトをいれることは必要

今回紹介したことを気をつけていれば、アンチウィルスソフトをいれなくても大丈夫というわけではありません。
アンチウィルスソフトを導入することは必要です。
しかしアンチウィルスソフトの特性上、未知のウィルス(危険な処理が行われるプログラム)やオーダーメイドのものはアンチウィルスソフトによってブロックされないことがあります。
そのため、あくまでアンチウィルスソフトは最後の砦という位置づけであって普段からマルウェアなどに感染するリスクを減らす必要があるので上記の対応を心がける必要があります。

まとめ

今回は暗号資産(仮想通貨)取引所にたびたび送られてくる危険なトラップについての紹介とその対策について紹介しました。ぜひとも、怪しいもの行動には警戒心を持って対応するようにしてみてください。