相手を信用させる前例なき手口 コインチェック攻撃で明らかに
https://www3.nhk.or.jp/news/html/20180512/k10011436321000.html
記事によると
・今年1月、大手交換会社コインチェックから「NEM」と呼ばれる仮想通貨580億円相当が流出した事件
・犯人は半年余り前からコインチェック社のシステム管理権限を持つ複数の社員とSNSを通じて偽名で交流を重ね、信用させたうえでウイルスを仕込んだメールを送りつけていたことがわかった
・技術者も疑うことなくメールを開いてしまったことでパソコンがウイルスに感染し、不正アクセスの足がかりとなった
・人の心の隙を突いてサイバー攻撃を仕掛ける手口は「ソーシャルエンジニアリング攻撃」と呼ばれ、世界では被害が相次いでいる
・国立情報学研究所の高倉弘喜教授は、「長期間のやり取りを経て巨額の金を奪ったサイバー攻撃は国内では初めてと見られる」と指摘している
この記事への反応
・「長時間かけて相手を信用させた上で」「莫大の金額をぶんどる」サイバー攻撃としては日本では初めてかも
・ここまで用意周到だったのか。そりゃ成功するし捕まらないわけだ
・犯人の方が心理的に1枚も2枚も上手だった、ということだから、こんなの防げるはずがない。詐欺としては古典的な方法なのではなかろうか。
・古典的なマジモンの白サギやないですか…('A`)
・これは自分も騙されそう。スゲー巧妙だわ
・ぶっちゃけ技術力に磨きをかけてセキュリティーホールを探すより、ソーシャルエンジニアリング仕掛けるほうが効率が高いのではないか、という実例だなー。
・すっげ、スパイ小説だな。でもIT技術者に会社のPCでウィルス入りメール開かせるってどんなやりとりしてたんだろ。激務の息抜きに女の子とメール交換しててエッチな画像開いちゃったくらいしか思いつかないんだけど
・ソーシャルエンジニアリングは名前だけは知ってたけど実際例を見るのは初めてかもな。
・「会社のEメールで送れる容量が限られているんです」とかでファイル圧縮して分割したメールをすでに何度もやりとりしていたら、しばらく後に犯人が差し出した本命のメールを開いてしまうかもしれない
・サイバー攻撃というか人間が管理してるだけに、認識の甘さもありそうだけど。こういうことが起きてる限り、暗号通貨はまだまだ普及しなさそう。
【ソーシャル・エンジニアリング - Wikipedia】
ソーシャル・エンジニアリングとは、人間の心理的な隙や、行動のミスにつけ込んで個人が持つ秘密情報を入手する方法のこと。ソーシャル・ワークとも呼称される。[要出典]あるいはプライベートな集団や政府といった大規模な集団における、大衆の姿勢や社会的なふるまいの影響への働きかけを研究する学問である(Social engineering : 社会工学)。
元来は、コンピュータ用語で、コンピュータウイルスやスパイウェアなどを用いない(つまりコンピュータ本体に被害を加えない方法)で、パスワードを入手し不正に侵入(クラッキング)するのが目的。この意味で使用される場合はソーシャルハッキング(ソーシャルハック)、ソーシャルクラッキングとも言う。
ソーシャル・エンジニアリングには以下のような方法が、よく用いられる。
・重役や上司(直属でない・あまり親しくない)、重要顧客、システム管理者などと身分を詐称して電話をかけ、パスワードや重要情報を聞きだす。
・現金自動預け払い機 (ATM) などで端末本体を操作する人の後ろに立ち、パスワード入力の際のキーボード(もしくは画面)を短時間だけ凝視し、暗記する(ショルダーサーフィン(英語版))。
ATMの操作時に後方や隣に不審者がいないかを確認するため凸面鏡、覗かれないようパーティションを設置したり、静脈による生体認証を取り入れるなど対策が強化されている。
・IDやパスワードが書かれた紙(付箋紙など)を瞬間的に見て暗記し、メモする。ディスプレイ周辺やデスクマットに貼り付けられていることが多い。
・特定のパスワードに変更することで特典が受けられるなどの偽の情報を流し、パスワードを変更させる(日本において、この手法でパスワードを不正入手した未成年が2007年3月に書類送検されている)。
関連記事
【【悲報】警視庁「せめてコインチェック社長を逮捕したい」 犯人逮捕の可能性はほぼゼロだと判明・・・】
【【敗北宣言】コインチェックから流出した仮想通貨、関係機関が追跡を停止 大半が既に換金済みか】
【【犯人大勝利】コインチェック流出の仮想通貨、資金洗浄完了か 販売サイトに金正恩氏のコラ画像で「Thank you!!!」】
すごい計画的犯行
でも580億円手に入るならいくら時間かけても元取れるよな…
でも580億円手に入るならいくら時間かけても元取れるよな…
【PS4】Detroit: Become Human【早期購入特典】PS4用テーマ (封入)posted with amazlet at 18.05.13ソニー・インタラクティブエンタテインメント (2018-05-25)
売り上げランキング: 21
コインをチェックしてなかったんだからな
とんでもないネーミング詐欺会社だったな
そう・・・ロシ・・・あ誰か来たみたい
何人のせいにしとるんだよ
少しずつ信用を得て世界に行き渡った時、世界第三次大戦が始まる
日本ではシャープがその尖兵となるかも知れない
こんな気の長い詐欺はやってられんな
それだけ足がかりも残ってそうだが
犯人見つからんのかー
何かにつけて世界第三次大戦煽るの好きだなw
何年前からそういう話してるんだよ一度も起きたことね―じゃん
ソニーはどう責任取るつもりだ?
陰謀論としてはその説が一番好き
そうだね。
社会との接触の一切を絶って山奥に閉じこもってれば100%防げるねぇ。
そうでない限りは可能性はいくらでも残っちゃうけど。
セキュリティに一番気をつかわなきゃいけない業務なのに何やってんの
だまされたやつがアホなだけやんけwwww
?
社会と人間を切り離せってこと?
確かにそれならソーシャルエンジニアリングは防げるね。
たしかに
ネトウヨも反ネトウヨの正義の人々も、中韓が戦争を煽るとかアベが戦争を煽るとかお互いいい続けてネットで戦争してるだけやな
そもそもなんで外部に接続できるコンピュータで個人のやり取りを許可してるんだ
会社側のセキュリティも論外やんけ
起きたらお終いだし。
第三次世界大戦が起こった後の世界なんてこの世には存在しないよ。
それでいつ起きるの?w
ホンマそれ
普通の企業でもその行為そのものが禁止だよね?
メール受け付けるPCとネットワーク切り分けておけばよいだけでは?
え?
外部に接続できるコンピュータでのやり取りを禁止してる会社なんてこの世にあるの?
じゃあいつ起きるんだよ
10年ぐらい前には「あやふやだけど5年後ぐらい。でも絶対に起きる」とか言いつつもう何年も経っているわけだが
派閥があるの??
それでソーシャルエンジニアリングが防げるわけないじゃん。
馬鹿なの?
真面目にもの考えたことあんのかよ。
普通にあるわwうちの会社とか知り合いの会社とかいくらでもあるが
じゃあこれで防げない理由説明できる?
さあねぇ。
いつ起こるんだか。
起きなきゃいいねぇ。
起きたら終わりだし。
後ろの時間を無限にとればいつかは起きるんじゃない?多分。
人間が一番のセキュリティーホールだもんな
じゃあ俺がいつか神になって世界を支配する日も来るね
後ろの時間を無限にとればいつかは起きるんじゃない?多分。
ソーシャルな話だから。
コンピュータでいくら対策してもそんなんで防げるわけない。
どこ縦読み?
だから防げない場合のルートを教えてよw
どんだけ有能な手法なんだよ
推奨の対策もなにもしてなかったんだから相手がすごいっていうのより運営が無能だっただけ
多分来ないと思うよ。
何故なら、人間の後ろの時間は決まってるから。
大体100年くらい?
それ以上の寿命を得た存在になれるならいつかは神になれるかもね。
絶対安心とは言えないが、それでも個人メールを会社のPCで受け取ってる時点でNGだから
何も言い訳できんね
国の認可申請が2度も却下されてる時点で「ここはヤバい」と思って使うの辞めたから
俺の場合は被害ゼロだったが
ここに預けるやつ?
おwおwおらんやろ〜www
そう、スピード重視にしてたから取られた
専用端末には外部デバイスすら基本は繋げないって扱いだろ
全然有能な手法じゃないよ。
よくソーシャルエンジニアリングの例として挙げられるのは
パスワードの入力を盗み見るとか。
そんなもんシステム的に防ぎようがないでしょ。
でも寿命が永遠になる科学が見つかるかもしれない。
死んでも俺を復活させる科学が見つかるかもしれない。
後ろの時間を無限にとればいつかは起きるんじゃない?多分。
今回の話って9から始まってるんでしょ
それについては防げるんじゃない?
そうだよねセキュリティ室として部屋もネットワークも切ってるよね
こんだけのお金管理しているシステムなら
そうね。
確かにそれなら来るかもしれない。
多分無理だけど。
未来の人もそんなに暇じゃないでしょ。
わざわざ昔の一般人を復活させたりしないよ、きっと。
そうね。
じゃあ第三次世界大戦も来るかもしれないね。
多分起きないけど。
未来の人もそんなに暇じゃないでしょ。
わざわざ自滅するリスク抱えて突撃するわけないよ、きっと。
せやで
紐付けされてるから特定余裕ホワイトハッカーjk 立ち上がったとは何だったのか
取引所の社員であったというオチ
そうだね、起きないかもしれない。
起きたら終わりだけどね。
それに人間はいつでも理性的な行動をするわけじゃない。
撃ち殺されるとわかってても反抗することはあるかもしれない。
そして、一度でもそういうことがあったらもうそれで終わりだよ。
その先は無いよ、多分ね。
盗んだ手法も凄いが、ダークウェブや換金方法、また追跡するホワイトハッカーの能力や行動力には驚かされた。
まあ素人なりに思ったのは仮想通貨は完全な無法地帯で、相対してる犯罪組織が国だったり麻○系のマフィアや人○売買の組織だったりと大規模だから、ターゲットにされれば防ぎようがないんだろうと思った。
それに人間はいつでも理性的な行動をするわけじゃない。なら昔の一般人を復活させる可能性もある。
特定の誰か=俺を復活させたくなるかもしれない。
そして、一度でもそういうことがあったらもうそれで終わりだよ。
その先で俺は神になる。多分ね。
随分と「本格」の仕事(おつとめ)だな
鬼平辺りが出張らないと捕まらないんじゃないかこれ
核程度では第3次には不足だろうに
そんだけの技術力が世の中のために使われていないのが悲しいけどね
マフィアや犯罪組織も世の中だと言われたらどうしようもないが
まぁ、とんでもなく低い可能性を無視しないのならそうなるかもね。
大丈夫。
君は神になれるし、第三次世界大戦は永久に起こらないよ。
心配いらない。
心配を煽る奴は馬鹿だよ。
USBは大手でも使うの禁止してるとこ多いでしょ特にUSBメモリ
むしろいまだにUSBメモリないと情報のやり取りできないとかクソザコ環境なのが悪い
禁止してるって言っても、端子を鉛で塞いでるとかじゃないし。
禁止してることをしている時点でそいつの責任では・・・
それに差されたとしても検知してシス管に連絡するようになってれば被害拡大止めやすいでしょ
すぐネットワークから遮断するでもいいし
誰の責任って話じゃないでしょ。
自分じゃない誰かの過失で自分の会社が倒産したとして、
「俺の責任じゃないから何の問題もない」ってなる?
ここまでが計画でシナリオ通りか
後から言うだけなら誰でも完璧超人になれるわ、ボケ
ゴックスはビットコインではなく日本円で返還するそうだ
盗まれた被害者は、盗まれた時点での価値で計算されるから
盗まれずにそのまま保有していた場合の数十分の1しか返して貰えないんだよ
結果、余ったお金は全て社長のものという…
コインチェックも同じだろう
主旨はそこではないんだがそれ抜きにしても禁止ていることをする時点でおかしいでしょって話
そもそも禁止していることをして起こった話と禁止してなくても起こった話じゃ違い過ぎる
そういうシナリオを用意しただけや
よこだが
国から2度も申請却下されてるからな
セキュリティの問題を指摘されて
その結果がコレ
>禁止ていることをする時点でおかしいでしょ
おかしいとかおかしくないとかいう話じゃないでしょ。
事実として起こりうるし、起こったらえらいことになるかもってことだよ。
殺人をしている時点でおかしいかもしれないけど、殺人が起こることを前提としていない社会はおかしいでしょ。
はっきりって完璧な防御なんて無いんだよ、ウィルスにしてもソ-シャルハックにしてもな
現実的なオペレーションを考えたらなおの事無理無理
だからこそ、この手のIT系セキュリティの基本は「被害が出ることを前提に」「被害を最小限にする方策」と「事後対応」をとにかくつめておくんだよw
しかし”わかってない”バカども(ITに疎い上役に多い)は、これを軽視して「被害が起きないようにしろ」って言うんだよねw
こんな内情だと知ってさえいたらコインチェックを利用する奴なんてほとんどいなかっただろうよw
ここがありえんほどセキュリティ意識がショボかったのは事実だが、ぶっちゃけ国が申請みとめるくらいしっかりやってても今回の事は防げてないよ
はっきり言えばそこそこ実力ある泥棒に狙われたら防ぎようがない
この発言はどうかと思うぞ
全仮想通貨廃止しないのか?w結局裏はロスチャ系なのかな?
コインチェックは、これやってなかったって事かね?
ソニー銀行とかでもヤバい?
預けてるんだけど
俺はこの事件についてはあんまり詳しくは無いけど、やってたらここまでにはなってないでしょ。
殺人の例はおかしいでしょ
会社の損失を与えないように入社時に誓約があるんだから
それとも人は生まれた瞬間に殺人しませんっていう誓約に同意させられるの?
過去までさかのぼっても巨額の金を扱ってるのにここまでセキリティがザルだったのは国内ではコインチェックだけだったという話でしかない
意識高いこと
>人は生まれた瞬間に殺人しませんっていう誓約に同意させられるの?
そうだよ。
人は生まれた瞬間にその国の法律に従いますという誓約に同意させられるんだよ。
「俺は同意した覚えはねぇ」って言っても無駄だよ。
嫌なら他の国に移住するしかない。
あくまで本質的にはシステム構成の問題なわけで
他は鯖落ちたりで機会損失やばいし未だに
そんな重要なPCでSNSするな!
このバカチンが!!
そんだけ手掛かりあんのに捕まえられんの
自作自演じゃね?
しかも管理者権限付きのPCでしょ?
ウイルスなんてPC使ってる人なら誰もが危険なのわかるのに、そのPCで外部と接触しようとするとか
まじもんのアホ
と、見せかけた自作自演ですか?
犯人が分かったぜ・・・犯人は内部にいる!!!! デデーン!!!!
ありとあらゆる所ががばがばだったてことやろなw
やってなかったし、まぁそこそこやってたとしても仮想通貨の性質の問題で「盗まれたらどうしようもない」から被害の最小限化も糞もないんだよね 国の補償なども無い場合がほとんどだし
それが仮想通貨取引所のリスク
それをして「だから仮想通貨で投機をやるのはバカ!」という人間がいるわけで、そしてそれは正しいわけだ
はじめは自分たちの勝利とか言ってたのに犯人に勝ち目がないとわかると自分たちは関係ないってNEM財団は本当にゴミだと思ったわ
いまIT会社のトップから末端までエンジニアがツイッターでラフに交流してるの当たり前だしSNSだとプライベート性の高い人がほとんど
それで異業種含めて楽しくやってるから仲良いフォロワーにメールされたら何の疑いもなく開くわ
普通はネットワーク的にもアカウント的にも切り離したところで仕事するよね?
中からやれてるだけ
んなわけないだろw
てかネットワーク切り離したところで何をどうやってネットとつながったサーバーの管理するんだつーの
切り離すのは別系統の複数のネットワークだろ。
うちは数年前からメールはシンクライアント経由の専用仮想端末のみになったよ。
急所をオフラインにして守って無かった時点で
シンクライアントでも経由がある以上いくらでもそっからやられる可能性あるんだよなー
アホか
「取引所」だぞ
急所だろうがなんだろうがソコがオンラインじゃなかったら、利便性高いオンライン取引所なんかできるわけねーだろ
まさかのコールドウォレットご存じないお方?
>>150
コールドウォレットはリアルタイム性の高い利便性を追求した取引所の運営できんだろ、にわか
簡単に防げるやん
朝鮮堂と違って守るところはしっかり守ってるけどな
後から言うなら簡単だよね
理論的にはヒューマンエラーなんかこの世から消せるが
って、コインチェックのやつらが「コミュ障」だったことが主因
コミュ障に親切に語りかける奴なんていないものな
盗まれたのに、取材班見てニヤけていたなんて馬鹿共だぞ
性格はどうでもいいなんていう奴の末路がこれだよ
さてさて本当に馬鹿どもなのかねぇ?
なんだかんだ言ってコインチェック社員達やあの社長は軽く数百億円稼いだわけだよ
盗難”被害”にあったとして、それで朴訥な運営だ!ありえない!だなんだと罵られようが、それまでの給料で数億円いただけたことからすると痛くかゆくもない
現状なんら罪にも問えんし
というか、金融関係は規制が無いと駄目だってハッキリ分かるね
いろいろと不自由な事は増えるけど、規制されてない企業に金融関係の仕事をさせるのはリスクの方が大きい
> 技術者も疑うことなくメールを開いてしまった
仕事とプライベートの用事を同じ端末で行なうという
セキュリティって何それ?レベルの杜撰さが原因だな。
それで完全に防げないからやらなくていいってものじゃないぞ
少なくともシンクライアント云々は単に運営上の管理のしやすさの問題であって「ウィルス侵入に対するセキュリティの強度」とは関係ねー
如何せんシステム管理者は孤独であり孤立無援であり会社の上からも下からも睨まれる哀れな存在だ
人は、一人では生きていけない
ソーシャルハックが悪質なのは正に外道だからだ
吐き気を催す邪悪って奴よ
後から言うなら簡単ってこんなレベルの事に使わねぇよバカ
管理権限持ってるヤツが、いろはの「い」もできてないような会社が仮想通貨扱ってるのが異常
この会社があまりに低レベルすぎただけだわ
日本人にそんな凄い詐欺師いるのかな
英語でしょ
意識高い()日本人技術者は「英語で外人と交流しちゃう」っていう事にすごく優越感を感じる印象(偏見)
やたら外人と会ったり外国行ったことアピールしてくるからね
結局コインチェック側に初歩的なセキュリティの甘さがあっただけでしょ。
会社のパソコンでやるなって事やけどな。
複数のってあるから、ゆるいやつ探してたんやろうな。