top of page
執筆者の写真CryptoZen

DeFiを狙うドメインハイジャックの脅威と効果的な対策

暗号資産とDeFi(分散型金融)の世界では、セキュリティは最重要課題の一つです。しかし、コントラクトのバグやフィッシング詐欺は対策が進んでいますが、多くのユーザーや開発者が見落としがちな重大な脅威が存在します。それが「ドメイン窃取(ドメインハイジャック)」です。


ドメインハイジャックとは、公式サイトのドメインが書き換わり、フィッシングサイトに誘導されるハッキングです。ドメインハイジャックは、クリプト特有のハッキングではなく、ありとあらゆるサイトで起こりえますが、DeFiプロジェクトは特に、ドメイン窃取による被害を受けやすく、その影響は甚大になる可能性があります。その理由は以下の通りです。



  1. 高い資金流動性: DeFiプラットフォームには多額の暗号資産が預けられており、攻撃者にとって魅力的なターゲットとなります。

  2. 即時性と不可逆性: 暗号資産取引は即時かつ不可逆であるため、被害が発生した場合の回復が極めて困難です。

  3. ユーザーの信頼性依存: DeFiユーザーは、プラットフォームのドメインを信頼して取引を行います。ドメインが偽装されると、気づかずに大きな被害を受ける可能性があります。


本記事では、DeFiプロジェクトとユーザーを守るため、ドメイン窃取の仕組み、実際の事例、そして効果的な対策について詳しく解説します。


ドメイン窃取(ドメインハイジャック)とは


ドメイン窃取とは、正規の所有者から不正にドメイン名の管理権を奪い取る行為を指します。攻撃者は様々な手法を用いてドメインレジストラのアカウントにアクセスし、ドメインの設定を変更したり、所有権を移転したりします。


主な目的としては、下記のとおりです。


  1. フィッシング攻撃の実行

  2. 機密情報の窃取

  3. マルウェアの配布

  4. 身代金要求


フィッシング攻撃は、特にDeFiにおいて起こりやすく、甚大な被害になります。また、ニコニコ動画などの件であったような、マルウェアや身代金につながることもあるため、DeFiプロジェクト以外でも最大限の注意が必要です。


また、ドメイン窃取の具体的な手法として、以下があげられます。


  • レジストラアカウントの乗っ取り

  • 手法:パスワード推測、ブルートフォース攻撃、フィッシング

  • 詳細:攻撃者は、ドメイン所有者のレジストラアカウントへのアクセスを試みます。弱いパスワードや再利用されたパスワードが特に狙われやすくなっています。


  • ソーシャルエンジニアリング

  • 手法:なりすまし、従業員からの攻撃、内部犯

  • 詳細:攻撃者は、レジストラのカスタマーサポートを騙して、ドメインの所有権や設定を変更させます。例えば、正規の所有者になりすまして緊急のドメイン移転を要求するなどの手法が使われます。また、退職した従業員などが犯行におよび、ユーザーの暗号資産を盗む可能性があります。

  • DNSサーバーの乗っ取り

  • 手法:DNSキャッシュポイズニング、DNSハイジャッキング

  • 詳細:攻撃者はDNSサーバーを直接攻撃し、ドメイン名の解決結果を改ざんします。これにより、正しいIPアドレスではなく、攻撃者のサーバーにユーザーを誘導します。

  • DeFiリスク:ユーザーは正しいドメイン名を入力しても偽のDeFiプラットフォームに接続してしまい、資金を失う危険があります。


  • レジストラの脆弱性の悪用

  • 手法:ゼロデイ攻撃、既知の脆弱性の悪用

  • 詳細:ドメインレジストラのシステムに存在する脆弱性を攻撃者が発見し悪用します。これにより、多数のドメインが一度に危険にさらされる可能性があります。 大手レジストラが攻撃を受けた場合、複数のDeFiプロジェクトが同時に影響を受け、業界全体に混乱をもたらす可能性があります。2024年7月から起きた、SquareSpace における脆弱性の悪用はこの分類に入ります。

  • ドメイン登録の期限切れの悪用

  • 手法:ドロップキャッチング、バックオーダー

  • 詳細:攻撃者は、価値のあるドメインの登録期限を監視し、期限切れ直後に再登録を試みます。所有者が更新を忘れた場合、ドメインを奪取されてしまいます。

  • 中間者攻撃(MITM)

  • 手法:SSL/TLS降格攻撃、ARP spoofing

  • 詳細:攻撃者がユーザーとサーバー間の通信を傍受し、DNSリクエストを改ざんします。これにより、正規のドメインへのアクセスを偽サイトにリダイレクトできます。 攻撃者は、ユーザーの暗号資産取引を傍受し、送金先アドレスを攻撃者のものに置き換えることで、資金を盗む可能性があります。


これらの手法は、単独で使用されることもあれば、複数の手法が組み合わされて使用されることもあります。DeFiプロジェクトにとっては、これらすべての脅威に対して包括的な防御策を講じることが重要です。特に、レジストラアカウントのセキュリティ強化、DNSセキュリティの導入、従業員教育によるソーシャルエンジニアリング対策、そして定期的なセキュリティ監査が効果的です。


実際にあったドメインハイジャック事例


実際に、いくつかドメインハイジャック事例が起きており、とくにDeFiプロジェクトでは甚大な被害につながっています。


Curve Finance事件(2022年8月)

2022年8月9日、人気のDEX(分散型取引所)であるCurve Financeがドメインハイジャック攻撃を受けました。攻撃者はCurve Financeの公式ドメイン(curve.fi)のDNS設定を改ざんし、フロントエンドを悪意のあるコントラクトに置き換えました。これにより、ユーザーが偽のウェブサイトに誘導され、約70万ドル相当の暗号資産が盗難されました。


SquareSpace の移行に伴うDNSハッキング(2024年7月)

2024年7月、Google ドメインのレジストラ管理者がSquareSpace に移管されるに伴い、2FAなどのセキュリティが無効化されました。それにより、Compound Finance などのいくつかのDeFiプロジェクトがいくつか被害にあいました。



DeFi利用ユーザー向け、ドメインハイジャック対策


ドメイン窃取の脅威に対しては、DeFi利用ユーザーと事業者がそれぞれの立場で対策を講じる必要があります。ここでは、DeFi利用ユーザーに焦点を当て、効果的な対策について詳しく説明します。


コントラクトアドレスの再確認

DeFiプラットフォームを利用する際のフロントエンドのハッキングとして最も有効なのは、取引を行う前に必ずスマートコントラクトのアドレスを再確認することです。この確認作業は、Etherscanなど、信頼できるソースで行うことが推奨されます。該当コントラクトで、正規の取引が行われており、Verifyされており、長期間安定して動いていることを確認するのが最も有効です。


PocketUniverseなどのセキュリティツールの利用



PocketUniverse等のセキュリティツールの利用は非常に効果的です。これらのツールは、不審なトランザクションや潜在的な脅威を検出し、ユーザーに警告を発する機能を持っています。トランザクションの詳細を分析し、リスクレベルを評価する機能も備えているため、ユーザーは簡単に不審なトランザクションを発見可能です。ただし、これらのツールも定期的なアップデートが必要であり、最新の脅威に常に対応できる状態を保つことが重要です。


ハードウェアウォレットの利用(マルウェア対策)

マルウェア対策として、ハードウェアウォレットの利用も強く推奨されます。Ledger、Trezorなどの信頼できるハードウェアウォレットを使用することで、秘密鍵をオフラインで保管し、オンラインの脅威から保護することができます。トランザクションの署名をハードウェアデバイス上で行うことで、マルウェアによる改ざんのリスクも大幅に低減されます。特に、フロントエンドがハッキングされた場合、ゼロデイ脆弱性でマルウェアをインストールされることや、不審なプログラムをフィッシングでインストールされることもあるので、ハードウェアウォレットは重要です。


署名内容の確認

トランザクションや承認を行う際は、署名内容を詳細に確認することが極めて重要です。特に、フィッシングサイトにおいては、無制限のETH送信や、関係ないトークンのApproveなどを求められるため、署名前に取引内容は充分確認しましょう。


公式チャンネルの確認

常に最新の情報を入手するために、DeFiプロジェクトの公式チャンネルを定期的に確認することが欠かせません。Twitter、Discord、Telegramなどの公式アカウントでは、緊急アナウンスや警告が発信されることがあります。フィッシングサイトやスキャムに関する警告を見逃さないよう、常に注意を払いましょう。ただし、なりすましアカウントにも注意が必要で、必ず認証済みアカウントからの情報を参照するようにしましょう。


Dapps事業者のための対策


DeFiプロジェクトで甚大な被害を生むドメインハイジャックですが、DeFiだけでなく、Dappsプロジェクトを運営する事業者には、ユーザーの資産と信頼を守る重大な責任があります。以下に、Dapps事業者が実施すべき重要な対策を詳しく説明します。


強力な認証システムの実装

Dapps事業者にとって、強力な認証システムの実装は最優先事項です。多要素認証(MFA)を義務化し、特に重要な操作やトランザクションには追加の認証ステップを設けましょう。また、従業員のアカウントに対しても厳格なアクセス管理を行い、パスワードの使い回しをやめ、パスワードマネージャの導入などを実施します。さらに、生体認証やハードウェアトークンなど、より高度な認証方法の導入も検討すべきです。AWSなど、高度な認証を持っている基盤をドメインレジストラとして使うのも有効でしょう。


ドメインセキュリティの強化

ドメインの安全性を高めるためには、レジストラレベルでのドメインロックを活用し、不正な変更や移転を防ぐ必要があります。DNSセキュリティ拡張(DNSSEC)を実装することで、DNSレコードの改ざんを防止し、正規のDNSレスポンスであることを保証できます。不審な変更を即座に検知できるモニタリングシステムの導入も重要です。


継続的なセキュリティ更新とモニタリング

セキュリティ対策は一度実装して終わりではなく、継続的な更新とモニタリングが不可欠です。最新のセキュリティ動向を常に把握し、必要に応じてシステムやプロトコルを更新します。レジストラの公式情報は常にウォッチし、作業が必要であれば実施しましょう。





閲覧数:56回0件のコメント

Comments


bottom of page