仮想通貨は、無名のサイドプロジェクトから数十億ドル規模のビジネスへと進化を遂げた。 代替資産クラス 過去10年間で、ブロックチェーンは安全な取引のために設計されたものの、その不変性とオンライン性ゆえにサイバー攻撃の格好の標的となっている。仮想通貨を保有する者にとって、適切なサイバーセキュリティ対策は不可欠である。
多くの犯罪者は、ソーシャルエンジニアリングの手法を用いてユーザーを騙し、アカウント情報や仮想通貨を盗み出そうとします。また、仮想通貨取引所やオンラインウォレットにハッキングして仮想通貨を盗む者もいます。これらの攻撃を理解し、適切な対策を講じて被害に遭わないようにすることが重要です。
最も一般的な攻撃を3つ取り上げ、それらから身を守るための対策を見ていきましょう。
ハッキングされた仮想通貨取引所
ハッカー 最近盗まれた 2019年5月には、世界最大の取引量を誇る仮想通貨取引所であるバイナンスから7,000ビットコイン以上が盗まれた。この攻撃は、セキュリティ対策に多額の投資を行っている大手取引所でさえ、サイバー攻撃から免れることはできないことを示している。
巧妙なサイバー攻撃により、ユーザーのAPIキー、二段階認証コード、その他の情報にアクセスした後、当時4100万ドル(現在は8300万ドル)相当の仮想通貨が1回の取引で送金された。攻撃者らは現在、盗んだ資金を洗浄し現金化するために、ビットコインを複数の口座に送金している。
バイナンスのユーザー向けセキュアアセットファンド またはSAFUは、攻撃による損失を補償します。SAFUプログラムは、攻撃が発生した場合にユーザーを保護するために、取引所が生み出すすべての取引手数料の10%を保持します。コインは、サイバー攻撃が発生した場合に保護されるように、専用のコールドウォレットに保管されますが、すべての取引所がこのようなポリシーを持っているわけではありません。
取引所への攻撃から身を守る方法はいくつかあります。
- 保険対応多くの取引所は、攻撃が発生した場合でもユーザーの資金が安全であることを保証するために、何らかの保険制度を設けています。例えば、Coinbaseは保険制度を導入しており、攻撃にさらされる可能性のあるオンライン上の保管場所は顧客資金の2%未満に抑えています。
- 二要素認証多くの取引所は二段階認証をサポートしており、アカウントにアクセスするにはパスワードとセキュリティコードの両方が必要です。これらのセキュリティコードは、携帯電話にSMSメッセージで送信されるか、スマートフォンアプリ(例:)からアクセスできます。 Google認証システム
- 固有のパスワード多くの人が複数のアカウントで脆弱なパスワードを使い回しており、定期的に変更していないため、重大なセキュリティリスクとなっています。各アカウントごとに固有のパスワードを設定し、定期的に(例えば3ヶ月ごとに)更新することをお勧めします。
SIMスワップハック
二段階認証は、サイバー攻撃から暗号資産アカウントを保護する一般的な方法となっています。パスワードが盗まれたとしても、犯罪者は標的の電話や認証アプリにアクセスできなければアカウントにアクセスできません。これらの対策は、 アカウントを安全に保つしかし、サイバー犯罪者がアクセスする方法はいくつか存在する。
SIMスワップとは、攻撃者が被害者の携帯電話番号の所有者になりすまし、通信事業者を騙してSIMカードを使って通話やメッセージへのアクセスを許可させることで発生する攻撃です。有効な電話番号を入手した攻撃者は、SMSで確認コードを受け取ったり、パスワードのリセットを要求したりすることで、二段階認証を回避できます。
例えば、仮想通貨投資家で起業家のマイケル・ターピン 最近勝った ニコラス・トルグリアに対し、7500万ドルの賠償判決が下された。トルグリアは、SIMスワップの手法を用いてテルピンのアカウントを乗っ取り、2018年に2380万ドル相当の仮想通貨を盗んだハッカーである。トルグリアは同じ手口で少なくとも他に6人の被害者を騙していた。
これらの攻撃から身を守る方法はいくつかあります。
- 冷蔵長期投資家は、保有する暗号資産の大部分をオフラインのコールドストレージに保管し、取引所やオンラインウォレットには必要な分だけを保管する傾向があります。例えば、Ledger NanoやTrezorは、暗号資産を安全にオフラインで保管するための人気のあるハードウェアウォレットです。
- PINを設定する多くの携帯電話会社は、ユーザーがアカウントにPINコードまたはパスコードを設定できるようにしており、これによりSIMスワップ攻撃に対する保護がさらに強化されます。これらのPINコードまたはパスコードは、侵害される可能性のある他のアカウントで使用されているパスワードとは異なるものにする必要があります。
- 代替認証認証アプリは、SMSベースの二要素認証よりも安全性が高い場合があります。YubiKeyなどの物理的な二要素認証方法は、攻撃者がTFAコードにアクセスするためにUSBデバイスを物理的に盗む必要があるため、さらに安全性が高くなります。
ソーシャルエンジニアリングとは
犯罪者が社会工学を行うとき 騙された被害者 仮想通貨をウォレットに送金させたり、アカウントの認証情報を渡させたりする――多くの場合、金銭を約束して。
最も一般的なソーシャルエンジニアリング攻撃は、ねずみ講、いわゆる高利回り投資プログラム(HYIP)です。これらの詐欺の加害者は、被害者に対し、毎月一定の割合の利益が得られる「ファンド」に仮想通貨を投資するよう促します。新規ユーザーからの資金流入が不足し、既存ユーザーへの支払いが滞るまでは、この詐欺は宣伝通りに機能します。
もう一つよくあるソーシャルエンジニアリング攻撃は、無料の仮想通貨プレゼントを装うものです。攻撃者は企業や有名人になりすまし、魅力的なプレゼント企画を提示しますが、取引を円滑に進めるために少額の投資を要求します。例えば、200ドル相当のビットコインを受け取るために50ドル相当のビットコインを送金するよう要求し、あなたのウォレットアドレスを聞き出そうとします。
これらの攻撃から身を守る方法はいくつかあります。
- 懐疑的になる無料の仮想通貨や平均以上の高利回りを提供するというオファーのほとんどは、ハイリスクか、あるいは明らかな詐欺です。こうしたオファーには十分注意してください。特に、今すぐ行動する必要があるといった期間限定のオファーには要注意です。迷った場合は、専門家に相談しましょう。
- 規制と評判合法的な仮想通貨ファンドは、SECやFINRAなどの政府機関や業界団体によって規制されています。また、大手投資家や他のファンド・オブ・ファンズの間で確固たる評判を築いています。ご不明な点がある場合は、ファイナンシャルアドバイザーにご相談ください。
ボトムライン
仮想通貨の価値が急上昇したことで、サイバー攻撃の格好の標的となっています。攻撃の多くはソーシャルエンジニアリングによるものですが、適切なセキュリティ対策を講じることで回避できる技術的なハッキングもいくつか存在します。ここでご紹介したヒントを参考にアカウントを保護し、一般的な攻撃から身を守りましょう。
ZenLedgerに登録する 仮想通貨取引を追跡し、一般的な税務申告書を自動的に作成します。
