QRコードをスキャンしてダウンロードしてください。
ホームページ
記事
速報
Token Unlock
プロジェクトランキング
専題
専門コラム
ETF
ナレッジベース
カレンダー
イベント
ツールナビゲーション

Coinbaseは自身の事例を公開:ハッカーが「ソーシャルエンジニアリング」を通じて段階的に侵入する方法

コインベース
2023-10-06 14:08:34
コレクション
個人情報の提供を求める人に対しては、必ず疑いの目を持つべきです。決して自分の認証情報を共有せず、誰にも自分の個人デバイスへのリモートアクセスを許可せず、利用可能な最も強力な認証方法を有効にしてください。

原文标题:Social Engineering - A Coinbase Case Study

原文作者:Coinbase

原文编译:GaryMa,吴说区块链


概要

Coinbase は最近、従業員の一人をターゲットにしたサイバーセキュリティ攻撃を受けました。幸運なことに、Coinbase のサイバーセキュリティ制御措置が攻撃者の直接的なシステムアクセスを阻止し、資金の損失や顧客情報の漏洩を防ぎました。私たちの会社のディレクトリからのデータの一部のみが漏洩しました。Coinbase は透明性を重視しており、私たちの従業員、顧客、コミュニティがこの攻撃の詳細を理解し、攻撃者が使用した戦術、技術、手順(TTP)を共有することで、誰もが自分自身をより良く守れるようにしたいと考えています。

Coinbase の顧客と従業員は、詐欺師の標的になることがよくあります。その理由は簡単で、あらゆる形態の通貨、特に暗号通貨は、サイバー犯罪者が追い求めるターゲットだからです。多くの攻撃者が迅速な利益を得る方法を常に探している理由は理解しやすいです。

これほど多くの攻撃者やサイバーセキュリティの課題に対処することは、Coinbase が興味深い職場である理由の一つだと思います。この記事では、私たちが最近 Coinbase で対処した実際のサイバー攻撃と関連するサイバー事件について議論します。このケースでは顧客の資金や情報に影響がなかったことを非常に嬉しく思いますが、それでも貴重な教訓があります。Coinbase では透明性を信じています。このようなセキュリティ問題について公に話すことで、私たちはコミュニティ全体をより安全にし、セキュリティ意識を高めることができると信じています。

私たちの物語は、2023 年 2 月 5 日の日曜日の遅い時間に始まります。数人の従業員の携帯電話が、提供されたリンクを通じて緊急にログインして重要な情報を受け取る必要があるというテキストアラートを発信し始めました。ほとんどの人はこの不審なメッセージを無視しましたが、一人の従業員は重要な正当なメッセージだと考え、リンクをクリックしてユーザー名とパスワードを入力しました。「ログイン」後、その従業員はメッセージを無視するように促され、従ってくれたことに感謝されました。

次に起こったことは、攻撃者が正当な Coinbase の従業員のユーザー名とパスワードを利用して、Coinbase へのリモートアクセスを何度も試みたことです。幸運なことに、私たちのサイバーセキュリティ制御システムは準備が整っていました。攻撃者は必要な多要素認証(MFA)資格情報を提供できなかったため、アクセスを阻止されました。多くの場合、これが物語の終わりです。しかし、これは普通の攻撃者ではありませんでした。私たちは、この人物が昨年から多くの企業を標的にした高度で持続的な攻撃活動に関連していると考えています。

約 20 分後、私たちの従業員の携帯電話が鳴りました。攻撃者は Coinbase の情報技術部門からのもので、従業員の助けが必要だと主張しました。正当な Coinbase の IT スタッフと話していると信じたその従業員は、自分のワークステーションにログインし、攻撃者の指示に従い始めました。これが攻撃者とますます疑念を抱く従業員との間のやり取りの始まりでした。会話が進むにつれて、要求はますます疑わしくなりました。幸運なことに、資金は奪われず、顧客情報へのアクセスや閲覧もありませんでしたが、私たちの従業員の限られた連絡先情報が取得されました。これには従業員の名前、メールアドレス、いくつかの電話番号が含まれます。

幸運なことに、私たちのコンピュータセキュリティインシデント対応チーム(CSIRT)は、攻撃が発生してから最初の 10 分以内にこの問題を把握しました。私たちのセキュリティインシデント管理システムは異常な活動を示しました。その後すぐに、私たちのインシデントレスポンダーは内部の Coinbase メッセージシステムを通じて被害者に連絡し、アカウントに関連する異常な行動や使用パターンについて質問しました。従業員は深刻な問題があることに気づき、攻撃者とのすべての通信を直ちに終了しました。

私たちの CSIRT チームは、被害を受けた従業員のすべてのアクセス権を即座に停止し、全面的な調査を開始しました。私たちの階層的な制御環境のおかげで、資金の損失も顧客情報の漏洩もありませんでした。清掃作業は比較的迅速に行われましたが、それでも多くの教訓があります。

誰でもソーシャルエンジニアリング攻撃の標的になり得る

人間は社会的な動物です。私たちは調和を求め、チームの一員でありたいと願っています。もしあなたが、巧妙に計画されたソーシャルエンジニアリング攻撃に騙されることはないと思っているなら、それは自分自身を欺いていることになります。適切な状況下では、ほぼ誰でも被害者になり得ます。

最も抵抗が難しい攻撃は、直接接触によるソーシャルエンジニアリング攻撃です。私たちの従業員がここで受けた攻撃のように、攻撃者はソーシャルメディア、あなたの携帯電話、さらにはあなたの家や商業施設に直接訪れて接触してきます。これらの攻撃は新しいものではありません。実際、人類の初期からこのような攻撃は行われてきました。これは攻撃者のお気に入りの戦略の一つであり、効果的だからです。

では、私たちはどうすればよいのでしょうか?このような事態を防ぐには?

私はこれが単なるトレーニングの問題だと言いたいです。顧客、従業員、そして全員がより良いトレーニングを受ける必要があり、もっと良くなる必要があります。この主張には常に一定の真実があります。しかし、サイバーセキュリティの専門家として、これは私たちがこのような状況に直面するたびの言い訳にはなりません。研究は何度も繰り返し、誰もが最終的には騙される可能性があることを示しています。どれほど警戒していても、熟練していても、準備が整っていてもです。私たちは常に悪いことが起こる前提で考えなければなりません。これらの攻撃の効果を弱めるために絶えず革新し、同時に顧客や従業員の全体的な体験を向上させる努力を続ける必要があります。

いくつかの戦術、技術、手順(TTP)を共有できますか?

もちろんです。この攻撃者が広範な企業を標的にしていることを考慮し、私たちは皆が知っていることを知ってほしいと思っています。以下は、企業のログ/セキュリティ情報およびイベント管理システム(SIEM)で確認すべき特定の項目です:

あなたの技術資産から以下のアドレスへの任意のウェブトラフィック、ここで * はあなたの会社または組織名を示します:

  • sso-*.com
  • *-sso.com
  • login.*-sso.com
  • dashboard-*.com
  • *-dashboard.com

以下のリモートデスクトップビューアの任意のダウンロードまたはダウンロードの試み:

  • AnyDesk (anydesk dot com)
  • ISL Online (islonline dot com)

第三者の VPN サービスプロバイダー(特に Mullvad VPN)を通じてあなたの組織にアクセスしようとする行為。

以下のサービスプロバイダーからの電話/テキストメッセージ:

  • Google Voice
  • Skype
  • Vonage / Nexmo
  • Bandwidth dot com

以下のブラウザ拡張機能のインストールを試みる予期しない行動:

  • EditThisCookie

ネットワーク防御者として、盗まれた資格情報、Cookie、または他のセッショントークンを使用して VPN サービス(例えば Mullvad)から企業アプリケーションにログインしようとする行動を予期するべきです。また、顧客サポート向けのアプリケーション、例えば顧客関係管理(CRM)アプリケーションや従業員ディレクトリアプリケーションを列挙しようとする試みもあるかもしれません。テキストデータを無料のテキストまたはファイル共有サービス(例えば riseup.net)にコピーしようとする行動も見られるかもしれません。

このような状況について話すことは決して簡単ではありません。従業員にとっては恥ずかしいことであり、サイバーセキュリティの専門家や管理者にとっては苛立たしいことです。全員にとって、これはフラストレーションの原因です。しかし、コミュニティとして、このような問題についてもっとオープンに議論する必要があります。もしあなたが Coinbase の顧客であれば、個人情報を提供するよう求める人に対して常に疑念を持つべきです。決してあなたの資格情報を共有せず、誰にもあなたの個人デバイスへのリモートアクセスを許可せず、利用可能な最も強力な認証方法を有効にしてください。あなたの Coinbase アカウントには、物理的なセキュリティトークンを使用してアクセスすることを検討してください。頻繁に取引を行わない場合は、私たちの Coinbase Vault ソリューションを使用して資産に追加の保護層を提供することを検討してください。

もしあなたが Coinbase またはオンラインプレゼンスを持つ他の企業の従業員であれば、攻撃を受けることになります。特に誰かが電話をかけてきたり、あなたに連絡してきたりする場合は警戒を怠らないでください。シンプルなベストプラクティスは、電話を切り、信頼できる電話番号や会社のチャット技術を使用して助けを求めることです。初めて連絡してきた人に情報やログイン情報を提供しないでください。

もしあなたがサイバーセキュリティの専門家であれば、悪い人が常に悪いことをすることを知っています。しかし、良い人も間違いを犯すことを忘れてはいけません。私たちの最良のセキュリティ制御が時には機能しないこともあります。最も重要なのは、常に学び、より良くなる努力をする意欲を持つことです。私たちは皆人間です。これは(希望的に)永遠に変わらない定数です。

安全を保ってください!

関連タグ
Coinbase ハッキング TTP VPN
ChainCatcherは、広大な読者の皆様に対し、ブロックチェーンを理性的に見るよう呼びかけ、リスク意識を向上させ、各種仮想トークンの発行や投機に注意することを提唱します。当サイト内の全てのコンテンツは市場情報や関係者の見解であり、何らかの投資助言として扱われるものではありません。万が一不適切な内容が含まれていた場合は「通報」することができます。私たちは迅速に対処いたします。
banner
コインベース
コインベース
変革的成長:Coinbase 2025 ビットコイン暗号市場展望レポート全文
変革的成長:Coinbase 2025 ビットコイン暗号市場展望レポート全文
Coinbase 年中回顾:10 のグラフで暗号市場の基本面と技術トレンドを解析
Coinbase 年中回顾:10 のグラフで暗号市場の基本面と技術トレンドを解析
プロジェクトについて言及する。
コインベース
コインベース 著名な暗号通貨取引所
関連タグ
Coinbase ハッキング TTP VPN
関連読み物
速覧 Venice と $VVV:DeepSeek を統合し、24 時間 Coinbase の BASE チェーンの新興企業
速覧 Venice と $VVV:DeepSeek を統合し、24 時間 Coinbase の BASE チェーンの新興企業
オンチェーン探偵 ZachXBT と 390 万ドルの Meme コイン:ドラゴンスレイヤーが逆に悪ドラゴンに?
オンチェーン探偵 ZachXBT と 390 万ドルの Meme コイン:ドラゴンスレイヤーが逆に悪ドラゴンに?
スーパーサイクルが始まり、TRUMPコイン事件後の暗号市場に関する4つの予測
スーパーサイクルが始まり、TRUMPコイン事件後の暗号市場に関する4つの予測
双子座のE人、トランプの非常識な行動の源。
双子座のE人、トランプの非常識な行動の源。
著作権 © 2023年
私たちについて
メディアリソース
コラムの申請
免責声明
RSSリンク
募集
琼ICP备2021009392号
琼ICP备2021009392号
チェーンキャッチャー イノベーターとともにWeb3の世界を構築する
アプリを開く