AmazonのDNSトラフィック乗っ取り、仮想通貨盗まれる被害

AWSのクラウドベースのDNSサービスである「Route 53」のDNSトラフィックが何者かに乗っ取られ、「MyEtherWallet.com」のユーザーが仮想通貨を盗まれる事件が発生した。

» 2018年04月25日 09時00分 公開
[鈴木聖子ITmedia]

 米Amazon Web Services(AWS)のDNSサービスで4月24日、トラフィックが一時的に不正なWebサイトにリダイレクトされ、仮想通貨Ethereumを扱うウォレットサービス「MyEtherWallet.com(MEW)」のユーザーが通貨を盗まれる被害に遭った。

 MyEtherWallet.comは同日、DNS登録サーバが何者かに乗っ取られ、ユーザーがフィッシング詐欺サイトにリダイレクトされていたことを明らかにした。DNSサーバのリダイレクトには、古くからあるハッキングの手口が使われており、どんな組織であっても被害に遭う恐れがあると強調している。

photo MyEtherWallet.comは、ユーザーがフィッシング詐欺サイトにリダイレクトされていたことを明らかにした
photo AWSのクラウドベースのDNSサービス、「Route 53」のDNSトラフィックが何者かに乗っ取られた

 この攻撃についてセキュリティ研究者のケビン・ボーモント氏は、世界協定時の4月24日午前11時〜午後1時(日本時間同日午後8時〜10時)ごろにかけ、AWSのクラウドベースのDNSサービスである「Route 53」のDNSトラフィックが何者かに乗っ取られたと伝えた。

 攻撃には、インターネットトラフィックのルーティングに使われるプロトコルの「BGP(Border Gateway Protocol)」が利用されていたという。

 Route 53のサービスはTwitterなどの大手が利用しているが、現時点でトラフィックがリダイレクトされる被害は、MyEtherWallet.comのみで確認されている。同サイトのトラフィックはロシアでホスティングされているサーバへリダイレクトされ、利用者の仮想通貨が盗まれていた。

 「BGPとDNSの脆弱性はよく知られていて、過去にも攻撃が発生していた。しかし両方を組み合わせたこれほど大規模な攻撃を目にしたのは初めて。インターネットセキュリティがいかに脆弱かを物語る」。ボーモント氏はそう解説し、「MyEtherWallet.comが唯一の標的だったとは思えない」と指摘する。

 攻撃者は、通信に割り込む中間者攻撃を仕掛けたものの、SSL証明書を盗むには至っていなかった。MyEtherWallet.comによれば、被害に遭ったユーザーは、ブラウザでSSL警告が表示されたにもかかわらず、「無視する」ボタンをクリックしてしまったと思われる。MEWを使う際は、アドレスバーに表示される緑色のSSL証明書情報で、「MyEtherWallet Inc」の名称を確認してほしいと同社は呼び掛けている。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ