暗号資産レンディングサービスの米企業 BlockFi が不正アクセスを受け顧客情報が影響を受けたことを発表しました。
ここではBlockFiの発表したインシデント報告を元に関連する情報をまとめます。
SIMスワッピングでアカウント侵害
攻撃者はSIMスワッピングで従業員アカウントを侵害し社内システムに侵入した。
- 攻撃者がBlockFiの従業員が保有する電話番号に対しSIMスワッピング
- 攻撃者が従業員のメールアカウントのパスワードリセットを実行
- 取得した電話番号用いてリセットに成功しメールアカウントを侵害
- 侵害したアカウントを通じて資産の奪取を実行(これは結果的に失敗)
- 発生日は2020年5月14日 7時17分~8時43分の約86分間。この侵害を通じBlockFiの社内システムにアクセス可能となった。
- 攻撃者の行為は全て記録されており、顧客資金の奪取を試みたが失敗していた。機微情報(パスワードや社会保障番号等)への影響もなかった。
- マーケティングで使用される情報へのアクセスが確認された。表示可能だった情報は名前、メールアドレス、生年月日、住所、活動履歴。
- 一部報道によれば影響を受けた顧客は半数に及んだ模様。機関投資家の情報は対象外。
- BlockFiは影響を受けた情報をもって直ちに顧客や会社への資金に対する直接的なリスクとはならないと見解を示している。
- 日本国内ではSIMスワッピングの被害事例の報告はないが、海外ではたびたび発生。Twitter CEOのアカウントのっとりもこの方法が用いられていた。
BlockFiがとった対応
攻撃検出後にBlockFiの対処チームがとった行動は次の5つ。BlockFiは攻撃者のアクセスに対し迅速な対応が行えたとコメントしている。
- 影響を受けた従業員の資格情報停止
- 影響を受けた従業員の全ての社内システムへのアクセス一時停止
- 全従業員に対し追加のID制御を実施し、アカウントの完全な制御状況を確認
- 攻撃範囲の監査
- 攻撃第二波に対する防止
事後対応では次の行動がとられた。
- マーケティング目的で使用されうる情報に対し、従業員アクセスの更なる管理を可能とするセキュリティアップデート
- 攻撃リスクを低減させるための従業員の携帯電話のセキュリティ更新
- セキュリティ監査、ペネトレーションテストの強化
- IRプロセス拡充によるロックダウン時間の短縮
- BlockFiでは同種の攻撃を防ぐために多要素認証の有効化等を推奨している。
- 例えばGmailの場合、電話番号や個人的なメールアドレスは控え、プッシュ通知や認証アプリの使用を呼び掛けている。
更新履歴
- 2020年5月23日 AM 新規作成
