偽ウォレット認証で仕掛けられた巧妙な詐欺
仮想通貨の価格追跡サイトとして広く知られるCoinMarketCapが、一時的にセキュリティ侵害を受けていたことが判明した。
短期間ではあったものの、ホームページ上に悪意あるコードが埋め込まれ、ユーザーがフィッシングサイトに誘導されるリスクが生じていた。攻撃は、CoinMarketCapのホームページに外部スクリプトを通じて悪意あるJavaScriptコードが挿入される形で行われた。これにより、偽のウォレット認証ページにリダイレクトされ、ウォレット接続を求めるポップアップが表示された。このポップアップは正規の接続画面を装ってユーザーの認証情報を盗み取るフィッシングの仕組みだった。表示期間は短かったものの、ユーザーが気付かずにアクセスしてしまう危険性は高かったとされる。
CoinMarketCapの対応と調査状況
CoinMarketCapは今回の問題について、外部から読み込まれたスクリプトを通じて悪意あるコードが挿入された可能性があるとし、現在も調査を継続している。
同社は、コードベースや外部リソース、依存関係の見直しを進めており、再発防止に向けたセキュリティ対策を強化していると説明している。今回のCoinMarketCapに対する一時的な侵害はすでに解決されているが、仮想通貨関連サイトを狙う同様の攻撃は今後も継続する可能性がある。特に、正規のサイトを装ったフィッシング攻撃はユーザーの油断を誘うため、接続先URLやポップアップの内容に注意を払い、少しでも不審な挙動があれば直ちに操作を中止することが重要だ。
ウォレット接続に際しては、公式アプリや信頼できる拡張機能を利用し、セキュリティ対策を徹底することが被害防止につながる。
