人気の秘密鍵ジェネレーターに脆弱性、偽の仮想通貨ウォレットが出現

122674937_s.jpg

 セキュリティ研究者らが仮想通貨利用者に対し、18年8月以降にウォレットジェネレーター・ドットネットで生成されたアドレスから資金を移動するよう促すと共に、グーグルプレイからウォレットアプリをダウンロードする際に特段の注意を求める警告を出した。

 イーサリアム(ETH)ウォレットを提供するマイクリプト・ドットコムのセキュリティ研究者であるハリー・デンレー氏は最新のブログ記事で、「18年8月17日以降にウォレットジェネレーター・ドットネットで生成した秘密鍵を利用している人々は、速やかに安全なアドレスに資金を移して欲しい」と述べた。

 同氏によると、ウォレットジェネレーター・ドットネットを通じて提供されていたコードが改変され、重複したキーペアが利用者に提供されていたという。生成されたキーペアはサーバー側に保管されていた可能性もある。

 デンレー氏は、新たなキーペアやウォレットを作製し、資金を新しい安全なアドレスに移すよう求めた。

 「一部の人々は、ビットアドレス(オフライン)を利用するよう推奨している」とデンレー氏は述べ、19年5月24日時点では悪意のある活動は見つかっていないが、いつでも元に戻される可能性があると付け加えた。

 「思いがけない出来事であり、現在のサイト所有者が悪意のある当事者なのか、サーバーが安全では無いのか、その両方なのかはまだ分からない」と同氏は述べた。

 ウォレットジェネレーター・ドットネットはまだコメントを出していない。

 この調査に関わったチームは、1000個の鍵を生成することで重複した鍵を見つけ出す方法を動画で公開した。

 デジタル市場調査プラットフォームのシミラーウェブによると、ウォレットジェネレーター・ドットネットの4月の訪問者数は3月から307%増の約14万5780人だったという。

 ペーパーウォレットのインターフェースは秘密鍵・公開鍵ペアを簡単に生成できる便利なツールだ。しかしクリプトニュースが以前報じた通り、ペーパーウォレットは見かけほど安全ではなく、多くの一般人の能力を超えた一定の技術的専門知識と監視を必要とする。

●偽の仮想通貨アプリ

 一方、ITセキュリティ企業ESETに勤めるマルウェア研究者のルーカス・ステファンコ氏は、偽の仮想通貨アプリが「ビットコイン(BTC)の上昇と共にグーグルプレイに出現している」と語った。

 それらの偽アプリの中で、同氏は有名な仮想通貨ハードウェアウォレットのトレザーを装った「トレザー・モバイル・ウォレット」という名称のアプリと、ザ・コイン・ウォレットというアプリに言及した。当記事公開時点で、どちらのアプリもグーグルプレイ上で入手不可能になっている。しかし、1000人以上がザ・コイン・ウォレットをインストールしたと報じられている。

 ESETとトレザーによると、この偽アプリは利用者に直接的な脅威はもたらさないという。

 ステファンコ氏はブログ記事の中で「しかし、(トレザーは)偽アプリによって集められたメールアドレスが今後トレザー利用者を狙ったフィッシング詐欺に悪用される可能性について懸念を表明した」と述べた。

 一方、ザ・コイン・ウォレットは「利用者を騙し攻撃者のウォレットへ仮想通貨を送らせるという古典的なウォレットアドレス詐欺」を目的としていた。

 「ビットコインの上昇トレンドが続けば、アンドロイドの公式アプリストアなどにより多くの仮想通貨詐欺アプリが出現する可能性がある」とステファンコ氏は述べ、以下のような基本的なセキュリティの原則に従うよう促した。

 ・公式サイトやサービスからリンクされた仮想通貨関連アプリやその他の金融アプリのみを信頼する

 ・セキュリティと合法性に確信を持っている場合にのみ、オンラインフォームに個人情報を入力する

 ・機器をアップデートされた状態に保つ

 ・信頼できるモバイルセキュリティソフトを使い脅威を遮断・除去する

(イメージ写真提供:123RF)

https://cryptonews.com/news/popular-private-key-generator-compromised-fake-crypto-wallet-3941.htm

This story originally appeared on cryptonews.com.

ランキングページ
ビットコイン詳細ページ
イーサ詳細ページ
XRP詳細ページ
ICOレーティングについて