APIキーを悪用する新たなサイバー犯罪が発覚
CyberNewsの最新調査によると、APIキーは、疑いを持たないトレーダーから数百万の仮想通貨を盗むため、サイバー犯罪者によって悪用されていることが分かった。
過去数年間でビットコインやその他仮想号通貨の人気が高まるにつれ、企業は取引を容易にするためのアプリやその他のサービスを提供している。ただし、これらのサービスを使用するには、トレーダーは、自動取引注文の開始や実行など、これらのプログラムが代理でアクションを実行できるようにするAPIキーを介して、サードパーティプログラムに仮想通貨取引きアカウントへのアクセスを許可しなければならない。このAPIキーには、公開キー(public key)と秘密キー(private key)の両方が含まれれ、秘密鍵はサードパーティのアプリがユーザーに代わって取引注文を実行するために使用するものだ。ただし、サイバー犯罪者がユーザーの秘密鍵を取得した場合、仮想通貨を盗み取ることが可能だ。
仮想通貨取引所は通常、データ権限、取引権限、および引き出し権限の形式で3種類のAPI権限をトレーダーに提供する。このデータ権限により、APIはユーザーの取引所アカウントデータを読み取ることができ、取引権限により、取引の実行、オープンオーダーとクローズオーダーの実行が可能になり、引き出し権限によって、ユーザーの取引所アカウントから仮想通貨を取得して別の場所に転送できる仕組みだ。
セキュリティ上の理由から、仮想通貨取引所はデフォルトで引き出し許可を無効にする。これが、サイバー犯罪者が取引許可を利用して被害者の仮想通貨ウォレットを空にする理由である。
APIキーの乱用
CyberNewsは調査中、サイバー犯罪者がトレーダーから資金を盗むために「売り壁」のバイアウト(※1)と値上げを採用していることを発見している。
CyberNewsの最新のレポート「how cybercriminals abuse API keys to steal millions」によると、サイバー犯罪者は、被害者に仮想通貨販売を強制するため、取引ボットを使用し、多くの小さな販売注文を開き、販売の壁を作成しているという。値上げは、盗まれたAPIキーを悪用するために一般的に使用される別の手法であり、安価なコインを購入し、それを法外な料金で被害者に売り戻すことをもあるという。サイバー犯罪者は、APIキーを取得するため、これまで頻繁に利用されていたユーザーのデバイスにマルウェアやスパイウェアを仕込んだり、インストールさせる必要もない。代わりに、公開されているウェブアプリケーション環境ファイルと公開コードリポジトリをスキャンし、漏洩した秘密キーを探すという。
このような新たな手口により仮想通貨窃取被害に遭わないため、CyberNewsは、投資家がAPIキーの使用のためにIPアドレスをホワイトリストに登録し、APIキーをハードドライブに保存したり、他の人に開示したりしないようにすることを勧めている。また、さらに事前の被害予防として、Ledger NanoXやTrezorModel Tのようなハードウェアウォレットを使用するのではなく、仮想通貨をオフラインで保存することを勧めている。
