ハッキング、エクスプロイト、ランサムウェア、およびあらゆるサイバーセキュリティの脅威は、その規模と重大度が増大しています。 Web 3.0 エコシステムは、スマート コントラクトの脆弱性や新しいフィッシング手法など、他のテクノロジーには見られないさまざまな攻撃ベクトルを悪意のある攻撃者に提供するという点で独特です。
ただし、Web 3.0 のセキュリティ インシデントの話は、他の業界の状況と密接に関連しています。 Web 3.0 以外の分野では、一元化されたプロジェクトや企業が対処できなかったのと同じ種類のセキュリティ ホールを見逃してしまいます。
お金を失うことより恐ろしいことは何でしょうか?もちろんデータも! Web3 分野でのデータ漏洩、あなたの情報は 10 日間ダークウェブで販売されています...
執筆者: Certik
今日の社会では、仕事でも生活でも、インターネットは人々の生活から切り離せないものになってきました。財布を持っていく必要はないが、外出するときは携帯電話を持っていく必要があり、支払い手段として物理的なカードは存在せず、街頭の物乞いさえもインターネットを利用して送金や集金を行うようになった。 QRコード。
個人、企業、組織、およびその顧客が現在直面している脅威のほとんどが、実際にはネットワークの脆弱性と攻撃から来ていることは想像に難くありません。昨今、人々が懸念するデータプライバシーや個人プライバシーは非常に重要になってきています。脆弱性が原因で機密データが失われるケースは毎年無数にあります。
Web3.0 の歴史の中で、集中型取引所の秘密鍵の紛失から投資家の個人データの盗難に至るまで、多数の重大なセキュリティ インシデントが発生しました。そして、そのデータはオンラインのハッキング フォーラムやダークネット マーケットプレイスに何年にもわたって存在する可能性があり、データ侵害が発生した場合、影響を受けるユーザーは長期間にわたり危険にさらされることになります。
CertiK 分析では、集中管理された Web 3.0 エンティティで発生した 74 のセキュリティ インシデントを調査しました。 これらのインシデントのうち 23 件は、長期にわたる高いデータ損失リスクをもたらしました。これらの 23 件のインシデントのうち、10 パケットは依然としてダークネット フォーラムで購入できることが判明しました。
ハッカー フォーラムに対する一連の法執行活動により、特定のデータの抽出を防ぐことができますが、そのような措置は結局のところ緩和策にすぎません。
この記事では、Web3.0 データ漏洩インシデントの分類と、データのセキュリティを保護するためにどのような対策を講じるべきかについて説明します。
## バックグラウンド
ハッキング、エクスプロイト、ランサムウェア、およびあらゆるサイバーセキュリティの脅威は、その規模と重大度が増大しています。 Web 3.0 エコシステムは、スマート コントラクトの脆弱性や新しいフィッシング手法など、他のテクノロジーには見られないさまざまな攻撃ベクトルを悪意のある攻撃者に提供するという点で独特です。
ただし、Web 3.0 のセキュリティ インシデントの話は、他の業界の状況と密接に関連しています。 Web 3.0 以外の分野では、一元化されたプロジェクトや企業が対処できなかったのと同じ種類のセキュリティ ホールを見逃してしまいます。
私たちは、Web 3.0 の目標に対する サイバーセキュリティ インシデント履歴を詳しく調査し、過去のインシデントが現在コミュニティ メンバーに継続的なリスクをもたらしているかどうかを評価したいと考えました。
これを行うには、このレポートのセキュリティ インシデントが、スマート コントラクト プロトコルの悪用によって引き起こされる脆弱性とどのように異なるのかを注意深く分析する必要があります。
私たちは 2011 年以来、Web3.0 企業に対する多くのインシデントを調査してきましたが、それらは大きく 2 つのカテゴリに分類できます。
短期リスクと長期リスクの点で、2 つのカテゴリの間にはいくつかの重要な違いがあります。
プロトコルの悪意のあるエクスプロイトは 明確な期間内に発生し、攻撃者がエクスプロイトを実行したときに始まり、利用可能な資金がすべて使い果たされるか、ガスがなくなるか、ターゲット プロジェクトが終了するときに終了します。これらのイベントの中には、数時間から数日間続くものもあり、イベント後の交渉によりこの期間はさらに延長され、プロジェクトが直後に中止されるケースもあります。ただし、重要なのは、これらの攻撃には開始ノードと終了ノードが明確であるということです。
対照的に、脆弱性は 継続的なインシデント (攻撃者がネットワークにアクセスし、そこに長時間滞在する) として分類されます。通常、侵害は、攻撃で悪用されたデータ、またはその後ダークネットやオンライン フォーラムで販売されたデータの流出として定義されます。
ネットワーク侵害は、重大な経済的損失につながる可能性もあります。 Web 3.0 組織のほとんどは資金の流れが豊富な金融機関であるため、ハッカーの自然な標的となります。
データ侵害は壊滅的なものになる可能性があり、特に個人を特定できる情報 (PII) が侵害中に失われた場合、そのリスクは何年にもわたって続く可能性があります。
これを念頭に置いて、コミュニティ メンバーに継続的なリスクをもたらす侵害として分類した過去 74 件のインシデントのサンプルを収集しました (企業の内部ネットワークが侵害されたインシデントのみが含まれ、プロトコル悪用に関するデータは含まれません)。
私たちは、機密データが失われるインシデントと資金のみが失われるインシデントを区別する必要があると考えています。これらの侵害の進行中のリスクをより適切に評価するために、ダークネットまたはクリアネットの他の領域でデータがまだ販売または自由に入手可能な侵害を強調し、これらのプラットフォームのアクセシビリティについての考えを提供します。
データ侵害と資金の損失
これらのイベントに関連する進行中のリスクを評価するために、それらを次の定義されたイベントにグループ化しました。
2 番目のカテゴリの回復不能なデータ損失インシデントは、主に資金または秘密キーの損失のみを引き起こす侵害で構成されます。このような場合、失われた資金は通常は取り戻すことができません。
異常な出来事には、盗まれたデータが解放されず、返却されず、または他の目的に使用されなかった場合も含まれます。たとえば、2020 年 6 月に日本の中央取引所 Coincheck が攻撃され、200 人を超える顧客の PII が攻撃者の手に渡りました。攻撃者は Coincheck のネットワークを侵害し、同社の内部電子メール アドレスからフィッシング電子メールを送信し、顧客に PII を要求しました。しかし、この事件では特定のデータベースが失われたわけではなく、失われたデータは電子メールに応答した顧客のデータのみでした。
2020年6月の別の事件では、カナダの集中取引所コインスクエアでも、5,000件の電子メールアドレス、電話番号、自宅の住所が漏洩、紛失するという侵害が発生した。
Coinsquare間を行き来した後、攻撃者らはデータをSIMスワッピング攻撃に使用するが、「長期間漁る」ためにデータを売ろうとはしないと述べた。このタイプのイベントは、2 番目のタイプの取り返しのつかないイベントとしても分類されます。
私たちが特定した 74 件のインシデントのうち、データ取得可能なインシデントとして分類できるのは 23 件、つまり約 31% でした。残りの 51 件のインシデントは、上記の異常なインシデント、または単に資金の損失をもたらしたものです。
グラフ: 2011 年から 2023 年の間に発生したイベントの取得可能データと取得不可能なデータ (出典: CertiK)
いくつかの点がわかります。
① 2019 年以降、取得または復元される可能性が高いデータイベントが大幅に増加しました。これは、感染症流行中にさまざまな業界でハッキング攻撃やデータ漏洩事件が増加したことと正比例している。
② この時期の政府援助の拡大(その一部は Web3.0 エコシステムに注入されている)は、2021 年の強気市場と相まって、攻撃者にランサムウェアやデータを販売する機会を増やす可能性があります。
**盗まれたデータはどこへ行ったのでしょうか? **
ダークネットとテレグラム
失われたデータは、多くの場合、ダークウェブ (.onion サイト) またはクリアネットで販売または廃棄されることになります。データに何らかの経済的価値があると推定される場合 (詐欺に使用される PII やその他のデータ)、そのデータはダークネット マーケットやテレグラム チャネルにさえ頻繁に表示されます。攻撃者の要求 (ランサムウェア) が満たされない場合、データは単にペースト サイトまたはハッカー フォーラムに捨てられます。
**データが最終的にどこに行くかによって、そのデータが元の所有者にもたらす長期的なリスクが決まります。 **
ダークウェブでのみ購入できるデータと比較して、非常に低コストまたは無料でハッカーフォーラムに投棄されたデータは漏洩のリスクが高くなります。
このようなサイトに継続的にアクセスできることは、被害者のデータ侵害の長期的なリスクを「助ける」ことにもなります。以下では、これらの会場での Web 3.0 データの販売を詳しく見ていきます。
オンライン フォーラム
長年にわたって、オンライン ハッキング フォーラムが誕生してきました。 2019 年以降、取得可能なデータのインシデントが増加していることを考慮すると、この文脈でケーススタディとして考慮されるに値するフォーラムはほんのわずかです。これらのフォーラムには、Raid フォーラム、Breach フォーラム、Dread フォーラムが含まれます。
複数の侵害者が、侵害されたデータをダンピングおよび販売するための優先フォーラムの 1 つとして、Raid フォーラムを選択しました。 Raid フォーラムは 2015 年に始まり、長年にわたってクリアネット上で運営されてきました。しかし、2022 年に、Raid Forum のドメインは、ユーロポールと協力して米国の法執行機関によって押収されました。
画像: 米国とヨーロッパの法執行機関が Raid Forum Web サイトで通知を削除
2015 年に設立されたドレッド フォーラムは 2022 年末まで活動しているようですが、ソーシャル メディア上ではすでに廃止されている可能性を示す兆候が多数あります。このフォーラムのダークネット (.onion) バージョンと IP2 バージョンにアクセスしようとしましたが、それらもダウンしているようです。
Breach フォーラムは、Raid フォーラムが終了した直後にライブになりました。
Breach フォーラムは、Raid フォーラムの閉鎖によって「居場所を失った」ユーザーに適切な居場所を提供します。
メンバー評判スコアリング システムである Raid Forum と同様のインターフェイスを備えており、ユーザー数は Raid Forum の元のユーザー ベース (約 550,000 ユーザー) の 60% に達するなど、活発な活動を行っています。わずか 1 年後の 2023 年 3 月、FBI はフォーラム Breach を運営していた Conor Brian Fitzpatrick を逮捕しました。その後、サイトの再展開をめぐる内部ドラマの波の末、サイトは崩壊しました。
Breach フォーラムが崩壊してから 1 週間も経たないうちに、Pirata (@_pirate18) という名前の自称元匿名ハッカーが運営していたとされる 別の後継者 が現れました。しかし、そのメンバーは 161 人しかいないため、今回は後任がフォーラムの古いメンバーを吸収できなかったことを意味します。
この休止期間中 (3 月の最後の数週間)、他にも多くのフォーラムが登場しました。これらのいくつかは、典型的には不快なフォーラムとして削除されたため、残りは法執行機関を装ったものである可能性があると考えるのが合理的です。
画像: Breach フォーラム閉鎖後の VX-Underground フォーラムのリスト (出典: Twitter)
一部の Web3.0 データがいずれかのフォーラムに存在することのみ確認できます。
ARES フォーラムは他の非公開フォーラムから一部の活動を吸収したと伝えられていますが、その程度は明らかではありません。ランサムウェア グループやその他の悪意のある攻撃者と連携していると言われているこのフォーラムは、ロックされた VIP 販売チャネルで データの販売を宣伝するパブリック Telegram チャネルも運営しています。このチャンネルは 3 月 6 日に公開され、数百の広告 (2 つの集中型取引所関連データベースへの投稿を含む) が配信されました。
画像: ARES フォーラムの Telegram Centralized Exchange Data チャネル広告 (出典: Telegram)
全体として、ハッキングおよびデータダンピングのフォーラムコミュニティは現在、かなり混沌とした形で機能しています。従来のフォーラムに代わる明確な代替手段はなく、国際的な法執行機関がこれらのグループへの取り締まりを強化していることから、フォーラムが近いうちに重大なデータ侵害 (Web 3.0 を含む) の場所にならないことはほぼ確実です (推奨ルート)。
ダークウェブ - .onion サイトでのデータ侵害
ダークウェブのマーケットやフォーラムは長い間、人々がデータを投棄したり販売したりする場所でした。
これらのエコシステムは法執行機関の取り締まりにも直面しているが、その取り締まりはむしろ薬物販売を促進する市場に対して行われている。そうは言っても、あまり知られていない市場であっても、データ侵害は非常に高い頻度で発生しているようです、または少なくとも宣伝されています。その違いは、同じくデータを保存しているものの全面的に閉鎖されているオンライン フォーラムとは大きく異なります。
画像: ダークネット市場で販売される台帳顧客データ (出典: Digital Thrift Shop)
要約すると、特定されたデータ侵害サンプルの 74 件の侵害のうち 23 件には、取得される可能性のあるデータが含まれていました。これら 23 件のうち、10 件のアクティブ データ セール広告 (43%) を見つけることができました。このようなサンプルは、前のグラフでは緑色で強調表示されています。
このグラフにおける有料データの売上の増加は、いくつかのことを示しています。まず、2021 年以降に発生した侵害のデータ ソースにはアクセスできません。
2022 年の目標の性質に基づいて、データがもう存在しないフォーラムに掲載された可能性があるという合理的な可能性があります。
ただし、特にこれらのデータセットが Raid や Breached に代わるフォーラムのいずれにも表示されない場合、これを証明するのは困難です。第二に、これらのデータセットは、2019 年以前に見られるダークネット マーケットにも著しく存在しません。これはおそらく、これらのデータを取得したマーケットプレイスが非常に古く、ほとんど知られていないためと思われます。このデータが実際にこれらのベンダーを通じて現在も入手可能かどうかを評価することはできませんが、これらの広告は入手可能です。
**これらのデータ侵害は長期的なリスクですか? **
長期的なリスクを定量化することは困難ですが、少なくとも、このサンプルのデータ損失リスクとデータに関連しないイベントを比較することはできます。以下の理由から、直接的な経済的損失のみをもたらすコンプライアンス違反イベントのリスクは、より低いリスクとして分類できることに注意してください。
損失は即座に発生します。損失した法定通貨または Web3.0 通貨の観点から影響を測定できます
このプロセス中に失われたすべてのデータは置き換え可能です。侵害が発生した場合、問題を解決するには秘密キー、パスワード、特権ネットワーク アクセス ポイントを変更する必要があります。
機密データ、特に顧客データを失う侵害は、より大きな長期的なリスクをもたらします
このデータの多くは、ダークウェブまたはクリアウェブ上で販売されるか、無料で利用できるため、長期的な可用性が延長されます。
顧客の個人データポイント、つまり電話番号、姓名、住所、取引データは変更が困難または不可能です。したがって、誰かが侵害の結果として個人情報を変更したとしても、侵害に関与した他の個人のすべてのデータは依然として危険にさらされています。
この侵害の影響を測定することは困難または不可能です。失われたデータによっては、被害者が複数の詐欺のターゲットになっている場合もあれば、そうでない場合もあります。
2014 年にデータ侵害が発生し、販売されているのが見つかりました。この特定のデータ ポイントは、長期的なリスクを測定することの難しさをさらに証明しています。 2014年のハッキングでは、現在は廃止されている仮想通貨取引所BTC-Eが攻撃され、2017年に米国の法執行機関に押収されたが、実際には他のハッキングに比べてデータ損失に伴うリスクがはるかに低い。
ただし、明確にしておきたいのは、これらのデータが新たな侵害によるデータと一致する可能性があるリスクは依然として進行中であるため、この期間中に Web 3.0 に参加する個人の長期的なリスクが増大するということです。
この分野全体で見ると、2019 年以降に失われたデータ (特に、ダークネット市場で今もすぐに販売できるデータ) が、継続的に最も高い長期リスクを引き起こす可能性が最も高くなります。 2022 年以降、影響を受ける人々はほぼ確実に、データが (物理的に特定できない場合でも) 不正行為に使用される可能性がある重大なリスクに直面します。多くのオンライン フォーラムが閉鎖されているにもかかわらず、特に最近のデータ侵害で失われたすべてのデータは、おそらくまだどこかで利用可能であり、いつでも再び現れる可能性があると想定する必要があります。
最後に書いてください
現実には、セキュリティ ホールを 100% 排除することはできません。データが集中管理されたエンティティによって保存および処理される場合、データ侵害の影響を受けるほとんどのユーザーの修復手段は限られています。
ただし、集中型取引所を含む 集中型サービスの使用を制限することで、暴露リスクを軽減できます。また、個人は、望ましくない取引所ウォレットのアクティビティや、アカウントの詳細にアクセスまたは変更するための PII の使用を防ぐために、可能な限り 2 要素認証を使用する必要があります。
侵害の性質によっては、電子メール アドレスや電話番号など、侵害で公開された情報の一部を変更することを検討することもあります。
また、Web 3.0 のデータ侵害では、匿名で操作するつもりであれば、個人情報漏洩のさらなる脅威にさらされることになります。
データと投資を保護するためにユーザーが実行できる手順は他にもあります。セルフカストディウォレットやハードウォレットに資産を分散することで投資や財務リスクを軽減するなど。
もちろん、データは次の方法でも保護できます。