アドレスポイズニングとは?
DMM Bitcoinの不正流出はなぜ起こったのでしょうか? まだ公式の詳細発表はない状況ですが、この事件はクラッキングの類ではなく、「アドレスポイズニング」という手法によって引き起こされたのではと推測されています。
今回は、この手法について、皆さんも引っかかってしまう可能性もあるので、少し深堀りしてご紹介します。
アドレスポイズニングを簡単に説明すると、「被害者が本来送金しようとしていた先のアドレスによく似た偽のアドレスを作成し、それに対して誤送金させる」という手法です。
なので、所謂ハッキング(クラッキング)ではなく、どちらかというとフィッシングにあたります。
これらのハッキングやフィッシングの手法、つまり敵の攻撃手段を知っておくことは、直接自身の資産を守るための防御力につながります。アドレスポイズニングについても、どういった手段なのかを知っておくと大いに参考になると思います。
アドレスポイズニングは、暗号資産では広く当然となっているいくつかの文化を利用して攻撃を行います。それは、「ウォレットアドレスが長すぎて、毎回アドレスのすべてを表示することはできないが、アドレスが合っているかどうか前後何文字かのみを確認する」という方法です。
実際よくある省略方法として、アドレスの前後4つの文字だけを表示する方法がありますね。
合計8桁の数字が一致しているアドレスはかなり珍しいので、送金時などでは基本的にこの方法でアドレスを判別します。しかし、アドレスポイズニングではこれを利用します。
Vanity Addressという種類のアドレスを聞いたことがあるでしょうか。Vanity Addressは、「意図した文字列を含むように生成したウォレットアドレス」のことです。最近はあまり聞かなくなりましたが、昔は自分の好きな英単語を含むアドレスを作ることが流行っていた時期もありました。
Vanity Addressで好きなアドレスを作成するには、「目的のアドレスになるまでアドレスを手当たり次第に生成し続ける」しか方法はありません。またランダムに生成されるものなので指定する文字数が多いほど生成確率が減り、生成に時間がかかります。ただそれらを作成するツールも存在します。
アドレスポイズニングの方法ですが、まず攻撃者がこのVanity Addressを利用して、「被害者が過去送金した対象」と前後4桁が同じアドレスを作成します。
その後、このアドレスで被害者に対し送金を実行するなどして、被害者側のtx履歴に取引履歴を作成します。そして被害者がトークンの送金先を本来のアドレスでなくこの生成したアドレスと勘違いし、誤送金してしまうことによって攻撃が完了します。
アドレスを毒によって汚染するという例えから、アドレスポイズニングという呼び方がされているようです。
このようなフィッシングや詐欺は人間の心理をかなりうまく活用しています。特に射幸心やFOMOの心理、慣れや油断を利用して人をうまく誘導します。アドレスポイズニングもこの慣れや油断を利用した攻撃の一種といえるでしょう。
よくあるフィッシングはウォレットの秘密鍵やトークンの送信権利を奪うもので、アドレスポイズニングのようにウォレットアドレスのコピーという行為に罠があることは普通は予測できないので、知らないと引っかかりやすいということが考えられます。
攻撃者が被害者に対して行った攻撃は「被害者と攻撃アドレス間の取引履歴を作る」だけなので、アドレスポイズニングでは特に不正な操作は行われません。とはいえ対策はシンプルで、「きちんと事前に送り先アドレスを確認する」だけで防ぐことができます。
大きな資金を送金する際だけでなく、普段からしっかりとアドレスを確認する癖をつけるとよいかもしれませんね。
DMMのビットコイン不正流出事件の原因は、アドレスポイズニングと確定しているわけではありません。しかしこの攻撃で大きな資金を失った報告も出ているため注意するに越したことはないでしょう。
皆さんも今一度セキュリティについて考えてみてください!
関連リンク
今後もこちらでの連載や、私のnote、XなどでWeb3に関する情報発信をしていきますので、ぜひフォローいただけると嬉しいです。