「巧妙なソーシャルエンジニアリングはどのように行われるのか?」を被害者視点でまとめたレポートが公開

GIGAZINE


ソーシャルエンジニアリングとは、人間の心理やミスを利用して重要なデータや財産、アクセス権などを盗み取る方法を指します。「巧妙なソーシャルエンジニアリングによって仮想通貨トークンのAaveが危うく盗み取られるところだった」という人物が、被害者側からの視点で自らが受けたソーシャルエンジニアリングの手口をまとめています。

For the past two weeks, I’ve been targeted in an extremely thorough social engineering scam that nearly cost me all of my ETH. I’m super lucky to have made it through unscathed. Here’s the story ????

— thomasg.eth (@thomasg_eth)


今回、危うく所持している仮想通貨トークンを根こそぎ奪われかけたのは、オープンソースの垂直離着陸機(VTOL機)開発プロジェクト・Arrowを運営するトーマス(@thomasg_eth)氏。トーマス氏はArrowについて「まだ初期段階にあり、多くの人々からの協力を受け付けていて、協力してくれる人々を拒むことはない」と説明しています。

1/ First a quick background. I’m the founder of Arrow, a DAO working to build open-source VTOL aircraft and air taxi protocol. We’re still fairly early-stage and focused on growing the team. We’re open to contribution and don’t turn anyone away if they’re excited to help.

— thomasg.eth (@thomasg_eth)


ある日、ArrowのDiscordチャンネルに「heckshine」という名前のユーザーが参加しました。自己紹介でheckshineは、ゲーム開発企業のUbisoftで働いており、3Dデザインやアニメーションを手がけていると述べました。また、VTOLに対する情熱や、義理の兄弟がボーイングの副社長であること、メタバースプロジェクトに取り組んでいる友人がいるといった情報をheckshineは語ったそうです。

3/ Heckshine also has a friend that is really passionate about VTOLs, and is working on a metaverse project. Her brother in law is a VP at Boeing. Wow, what a connection! pic.twitter.com/Hvf1l5lZyB

— thomasg.eth (@thomasg_eth)


heckshineの英語には妙な部分があったものの、トーマス氏は「言語の壁があるからだろう」と大して気にしなかったとのこと。その後の数日間で、heckshineはArrowのウェブサイトで使用するアニメーション製作に取りかかり、きちんとしたデータを提出したほか、航空機のレンダリングにも取り組み始めました。この時点で、トーマス氏や他のArrowメンバーは、heckshine氏の献身的な姿勢に感銘を受けていました。

そんな中、heckshineは友人である「Linh」という人物をトーマス氏に紹介し、「LinhがArrowに興味を持っているからメールを送ってくれないか」と頼んできました。Linhの参加はArrowにとって有益だと伝えられたトーマス氏がメールを送ると、Linhは思慮深いメールで返信し、自身が運営する「Space Falcon(スペースファルコン)」というメタバースプロジェクトについて話したとのこと。この時点では、トーマス氏は特にNFTに興味を持っているわけではなかったので、Linhのメタバースプロジェクトについて深く考えませんでした。

Linhはその後のやり取りで、自身がボーイングや電動航空機スタートアップのWiskとつながりがあることや、Arrowに関するいくつかの考えを述べ、最終的にArrowのアドバイザーとして参加することとなりました。Linhの英語にもやはり違和感があったものの、これも言語の壁が原因だろうと気に留めなかったそうです。

8/ Linh and I move the conversation over to Discord. We talk more about our backgrounds and end up deciding that she can best help out as an advisor. She offers to provide guidance and advice around what would work well regarding partnerships for us. I’m excited for her support. pic.twitter.com/a0MF0ZqtKa

— thomasg.eth (@thomasg_eth)


その後、Linhはスペースファルコンについて、ユーザーが保有するNFTに応じて継続的に収入を得られる「ステーキング」という仕組みだと話しました。このあたりでトーマス氏が調べてみたところ、確かにスペースファルコンというゲームプロジェクトは存在し、ブロックチェーンのSolanaでかなり人気があるということが判明。また、チームページにはLinhの名前も表示されていたそうです。

11/ Somewhere in here I actually look up Space Falcon. I had never heard of it, but it seems like a fairly popular gaming project on Solana. I see Linh’s name on the team page. Linh and I agree to stay in touch, and I move on to other things.

— thomasg.eth (@thomasg_eth)


それからもheckshineは献身的にArrowのプロジェクトに協力し、いくつかの超高品質なレンダリングデータを提出していたとのこと。そしてheckshineがプロジェクトに参加してから2週間が経過したある日、Discorfでトーマス氏とheckshineが航空機の設計について会話していたところ、Linhから驚きのニュースが飛び込んできました。Linhは、Wiskのチームとトーマス氏の面会の約束を取りつけることに成功したと報告し、Wiskのヴァイス・プレジデントとやり取りした電子メールスレッドのスクリーンショットを貼り付けました。後になって考えると非現実的な話ではあるものの、トーマス氏はこれをうそだと信じる理由もなく喜びました。

15/ As we’re wrapping up, Linh reaches back out to me with some crazy exciting news. She’s going on a tour of the Wisk facility and has invited me along to meet the team. She includes a screenshot of an email thread with Sebastien, who is actually a VP at Wisk. pic.twitter.com/EpXM3Ri2mK

— thomasg.eth (@thomasg_eth)


このタイミングで、Linhはスペースファルコンのステーキングアプリがリリースされたと述べ、トーマス氏のイーサリアムウォレットにNFTを送ってアプリをテストしたいと依頼しました。LinhのArrowに対する協力に感謝しているトーマス氏は、アプリのテストくらいの手伝いは当然だと考えて受諾。トーマス氏はこの際、スペースファルコンが新しいプロジェクトであるという点を考慮して、NFTを新しいイーサリアムアカウントに保管することにしました。これは、将来的にスペースファルコンに関連する問題が発生し、悪用された場合に備えてのことでした。Linhがトーマス氏に見せたウェブサイトのページには、「Armstrong ETH」というトークンを利用することが記されていました。

18/ She sends me some instructions on the staking app. The site seems fine and it has prompts for three transactions: The NFT approval, a token approval for Armstrong wrapped ETH, and a stake function. The token approval seems little strange but I don’t hold it so I don’t worry pic.twitter.com/byKlGFgP2Y

— thomasg.eth (@thomasg_eth)


結果的に、ステーキングプロセスは問題なく完了し、操作も簡単だったことをトーマス氏は伝えました。すると、Linhは新たに他のNFTを送ることを申し出た上で、「スペースファルコンの成長をサポートするために、メインアカウントに保管してほしい」と依頼してきました。面倒ではあるものの受け入れたトーマス氏が、「メインアカウントでステーキングする前に、契約をしっかり読み通す」とLinhに知らせたところ、なぜかLinhの態度が強引になり始めたとのこと。これにより、トーマス氏は何かがおかしいことに気付いたそうです。

21/ I let Linh know that I’m going to read through the contracts before I stake it on my main account, and she starts getting pushy. This is when I finally realize that something sketchy is going on. pic.twitter.com/D3aXCc7puR

— thomasg.eth (@thomasg_eth)


最初にLinhからNFTが送られたアドレスの取引履歴を確認したところ、ステーキング時に承認したイーサリアムトークンはウェブサイトに記されていた「Armstrong ETH」ではなく、別のトークンであるAaveだったことが判明。トーマス氏は、メインアカウントでAaveを多数保有していました。この時点でLinhらは全てのDiscordメッセージを削除し始めたそうです。トーマス氏がさらに契約を精査すると、「アカウントから任意の金額のイーサリアムトークンを転送できる機能」が含まれていることがわかりました。つまり、もし最初のNFTを新しいアカウントに保管せず、普段から使っているメインアカウントに保管していた場合、Linhらはトーマス氏のメインアカウントにAaveを送れるだけでなく、逆にAaveを自由に引き出すことも可能だったというわけです。

24/ I dig further into the contract that I almost approved to spend my aWETH and find this truly terrifying function. This is where the scammers would have been able to transfer any amount of aWETH out of my account.

I’m at the limit for this thread. Stand by for part 2 pic.twitter.com/Cn9Xl9XCSJ

— thomasg.eth (@thomasg_eth)


その後の調査で、Linhらのアカウントには100ETH(約3300万円)もの資金があり、Linhらは非常に資金豊富なグループだったことがわかりました。この点から、トーマス氏はLinhらが3Dデザインの請負業者を雇い、heckshineの仕事を委託していたと考えています。また、スペースファルコンというプロジェクトは実際に存在していますが、Linhは実際にプロジェクトに関わる同名の「Linh」をかたる偽物だったとのこと。

28/ So the Linh that I’ve been interacting with is probably just an imposter of the real Linh working on the real space falcon…

— thomasg.eth (@thomasg_eth)


今回の事例から、トーマス氏は「トークンの承認は非常に危険であり、最新の注意を払う必要がある」「詐欺師は非常に賢くなっており、これまでより巧妙で徹底的な手口を使う」「どれだけ信頼できる相手であっても、常に確認する」という教訓が得られると主張。今回のLinhらは実に2週間もプロジェクトに関わってトーマス氏の信頼を獲得しており、被害を回避できたのは単に新しいアプリのセキュリティを気にしたからに過ぎません。

トーマス氏は、「最小限のダメージでこれら全てを乗り越えられたのはとても幸運です。皆さん、気をつけてください!」と報告を締めくくりました。

32/

I’m super lucky to have made it through all of this with minimal damage. You guys all stay careful out there!

— thomasg.eth (@thomasg_eth)

この記事のタイトルとURLをコピーする

・関連記事
「伝説のハッカー」ケビン・ミトニックと行動を共にしソーシャル・エンジニアリングの数々を仕掛けた知られざる天才「スーザン・サンダー」とは一体何者なのか? – GIGAZINE

電話番号に届く認証番号を使った「2要素認証」はもはや安全ではない – GIGAZINE

AmazonやPayPalの「2段階認証」を突破するための音声ボットがハッカーに販売されている – GIGAZINE

プロサッカー選手や著名ゲーマーなど「FIFA 22」の有名アカウントが複数乗っ取られる、EAは事件を認めて公式謝罪 – GIGAZINE

Twitter大規模乗っ取りの数年前から「請負業者によるセレブへのスパイ行為」は認識されていた – GIGAZINE

Twitterアカウント大規模ハッキング事件の詳細をTwitterが公表、最大8件のアカウントがDMなどの詳細データを盗まれた可能性 – GIGAZINE

Twitter史上最大のハッキング攻撃を仕掛けたとして17歳の青年が逮捕・起訴される – GIGAZINE

・関連コンテンツ

Source

タイトルとURLをコピーしました