全3990文字
PR

暗号資産(仮想通貨)交換所を利用するユーザーのメールが盗まれる事件が起きた。ただし、交換所を運営する企業のシステムが直接攻撃されたわけではない。狙われたのはドメイン登録サービス事業者のシステムだった。攻撃によってインターネットの住所にあたるドメインの登録情報が書き換えられた。その結果、仮想通貨交換業者宛てのメールが不正なサーバーに送られた。

 2020年6月初旬、日本の暗号資産(仮想通貨)交換業者を狙う新手のサイバー攻撃の存在が明らかになった。攻撃を受けたと公表した交換業者はコインチェックとビットバンクの2社。両社はGMOインターネットのドメイン登録サービス「お名前.com」を利用していた。攻撃者はお名前.comの管理ツールを悪用し、インターネットにおける両社のドメイン登録情報を不正に書き換えていた。

 この影響でコインチェックは、5月31日から6月1日にかけて最大約300人の顧客のメールを第三者が不正に取得した可能性があるとしている。ビットバンクについては実害が発生していないという。今回の攻撃を受けGMOインターネットは管理ツールの不具合を修正し、「大変な迷惑とご心配をおかけしたことをおわびする。今回の事態を厳粛に受け止め、再発防止はもちろん、セキュリティーの機能向上などに引き続き全力で取り組む」と謝罪した。

 ドメインは、いわばインターネットにおける住所表示の仕組みだ。WebブラウザーからWebサーバーにアクセスする際に使うURLにはドメイン名が含まれる。メールアドレスの「@」以降に続く文字列もドメイン名だ。企業などがWebサイトを開設したりWebサービスを提供したりする際は、覚えやすい文字列を使ったドメイン名をドメイン登録事業者経由で登録し、公開する。そうすると一般のユーザーがIPアドレスではなくドメイン名を使ってWebサイトにアクセスしたり、電子メールをその企業に送ったりできるようになる。

 つまり、コインチェックやビットバンクのようにインターネット上でサービスを提供する事業者にとって、ドメインは利用者に自社サービスを届けるために不可欠な仕組みというわけだ。それをドメイン登録事業者の不手際によって悪用された。Webサービス事業者にとって想定外の事態となった攻撃がどのように行われたのか。順を追ってみていこう。

管理ツールの「不具合」を突く

 今回悪用された管理ツールは「お名前.com Navi」である。お名前.comの利用者がドメインやサーバーなどの情報を管理するのに利用する。このツールに「サーバーとクライアント間の通信を改ざんできる不具合があった」(GMOインターネットの山田稔システム本部担当部長)という。「個人情報を閲覧できる不具合ではない。Webブラウザーから入力して情報を書き換える事象でもない」(同)としている。

 攻撃はこの「不具合」を突き、コインチェックが持つお名前.com Naviのアカウントを乗っ取ることから始まった。