何者かがEthescanのコメント欄を利用してハッキングを試みるも失敗か?
EthereumのブロックプロデューサーであるEthescanが何者かによりWebサイトのコメント欄に悪意あるコードを打ち込むといった方法でハッキングされかけました。
月曜日にEthescanのWebサイトにアクセスしようとしたユーザーは1337と書かれたJavascriptのポップアップメッセージを目にすることとなりました。これは恐らくハッカーがEthereumのフィッシングスキャの実行を試みるようにWebサイト内に悪質な打ち込んだためだと考えられています。
この問題を調査するにあたって、Ethescanは今回のこの攻撃がWebサイト上のコメント欄を用いて作成されたのは確定的だとしている。このコメント欄は利用者がEthereumのアドレスを書き込むためにありサードパーティーのコメント提供サービスDisqusによって提供されている。
Webサイトは即座にサイトのフッターにあったこのDisqusのコメントを使用不可にしました。
またRedditに投稿されたアナウンスメントによるとEthescanは現在フッターHTMLを要約し、将来他の似たような事件の発生を防止するパッチを開発したとのことです。
MyCryptoの開発者であるMicheal Hahnによると開発者がwebサイトへの攻撃に気づいたときにはwebサイトへ悪質なコードが書き込まれていることは出てこないとしています。
「クロスサイトスクリプティング(Webサイトへの有名な攻撃手法)。今回のjavascriptを書き込むケースではサイト利用者がアドレスを書き込むために絵のコメント欄の長所を利用された。 Etherscan.ioでDisqusはXSSに対応するためのパッチ完成までDisqusのコメント欄は無効になっている。また、Etherscanは、今回のハッキング対処後に米国掲示板Reddit(レディット)で、「創造性と独創性でいつも私たちを驚かせるハッカー達にKudos(あっぱれ)」とハッカーの斬新な手口を称賛した。現状今回のハッキングで、資金流出などの被害は出ていない。
今月初めにもEthereumはハッカーがGoogleChromeのVPN拡張機能を利用してMyeatherwalletにはっきんぐをしたり、2月にもトークン販売業者を装いICO参加希望者からハッカーが100万ドルを詐取するという事案も起こっています。
ハッカーたちは常に手を替え品を替え様々な方法でハッキングを試みているようです。
ハッキングに対するセキュリティの向上も期待したいですがまずはユーザー個人がフィッシング等のサイトを見極められる様になることが必要不可欠なのもしれません。
運営の見解
その通りで、ハッキング側はあらゆる方法で頭を使ってお金を搾取してきます。
常に新しい手法で試みてくるので、なかなかユーザー側も気づきにくいような仕掛けになっています。
私は、疑わしい点が一つでもあれば、そのリンクを踏まなかったり、メールを開かないようにしています。
また公共のWi-Fiを絶対に使いません。多くの人が見ている公共のWi-Fiだと危険線がかなり上がってくるので、気軽にスマホで公共のWi-Fiに接続できるようの中ですが、これからは自分の資産は自分で守っていく試合です。
仮想通貨は特にそうでう、管理もまた重要なポイントになっています。
パスワード管理、ICO管理、エアドロップ管理、資産管理、しっかりとオフラインのエクセルにまとめて保管しておきましょう。