連載
» 2020年06月09日 09時20分 公開

半径300メートルのIT:セキュリティインシデントの報告書で信頼を高める――コインチェックの対応に学べ (1/2)

サイバー攻撃の標的にされて何らかの被害を受けた時、企業組織は社会に向けてその経緯や対処を伝える「報告書」を公開します。コインチェックが公開した報告書からは、社会や攻撃者に対して明確なメッセージがこめられていました。

[宮田健,ITmedia]

 暗号資産(仮想通貨)の取引サービスを提供するコインチェックが2020年6月2日、第1報として「当社利用のドメイン登録サービスにおける不正アクセスについて」という文書を公開しました。

 コインチェックといえば、2018年1月に不正アクセスを受けて約580億円相当の暗号資産が流出した事件の印象が強いでしょう。当時は強烈なインパクトを持って報道され、この時流出した暗号資産を不正に取得したとして、2020年3月には初の逮捕者が出ています。

 そのような印象を持っていたので、第一報の時点では「やはり巨額の資産が動く場所は狙われやすいものだな」程度の、簡単な感想を持っていました。しかし今回の事件には以前とは少々毛色が違う、注目すべき内容が含まれています。

第1報からわずか3日後、たたえるべき“最終報告”が公開される

 不正アクセスに関する第一報を公開してからわずか3日後に、コインチェックは最終報告を公開しました。

 同じタイミングで、コインチェックが利用するドメイン管理サービスであり、GMOインターネットが提供する「お名前.com」が以下のような報告を公開しました。

お名前.comをご利用のお客様の管理画面が不正にアクセスされ、ご登録いただいている情報が書き換えられるという事案が発生しました。

これについて調査を行ったところ、悪意のある第三者が、当該お客様のIDと、「お名前.com Navi」における通信を改ざんできる不具合(※)を利用して、お客様のお名前.com会員情報(メールアドレス)を書き換えたことが判明しました。

2020.06.03【お知らせ】お名前.com Naviで発生した事象につきまして|お名前.com

 これらを総合すると、コインチェックが今回対応したインシデントの姿が見えてきます。狙われたのは、コインチェックの外で行われている「ドメイン設定に関連する処理」でした。

攻撃者の手口と狙いは?

 今回の経緯を整理してみましょう。コインチェックは2020年6月1日、監視業務においてレスポンス遅延を発見します。7時間後、コインチェックのドメイン登録情報が何者かによって書き換えられていたことに気付きました。コインチェックはお名前.comを利用しており、GMOインターネットの協力を受けて、登録情報を修正しました。

 さて、攻撃者はなぜ、自分の持ち物でもないコインチェックのドメイン情報を書き換えられたのでしょうか?

 お名前.comの報告には、詳細は開示されていません。しかし「悪意のある第三者が、お客さまのIDとお名前.com Naviにおける通信を改ざんできる不具合があった」ことが示唆されています。つまりドメインの管理に関連する処理に脆弱(ぜいじゃく)性があり、第三者による認証情報の不正取得か、お名前.comのデータベースの直接操作が可能だったのかもしれません。

 この問題によってコインチェックのドメインのレコードが偽のサーバに登録され、「メール問い合わせをした顧客のメールアドレスと本文が第三者に流出した可能性がある」そうです。

 今回の事件は、コインチェックが管理するサーバそのものではなく、外部にあるドメイン管理画面の脆弱性が狙われたものでした。いわばサプライチェーンが狙われたと考えても良いでしょう。検知や対処が遅れれば、金融機関として甚大なインシデントになりえたものでした。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ