フィッシング詐欺はWeb3時代にも続く

2022年2月22日、Mike Vizard

ブロックチェーン技術を採用し、分散型ネットワーク上で共有・アクセス可能なデータの不変インスタンスを作成するWeb3技術の台頭が最近話題になっています。Web 2.0技術を利用して構築された中央集権型サービスにも、少数の極めて大規模なエンティティによって制御されている中央集権型クラウドサービスにも依存することなく、データをより安全にすることを目的としています。

それは立派な試みである一方で、Web3プラットフォームは依然として、さまざまな種類のクレデンシャルを使用してアクセスされています。そのため、現在 Web2.0 プラットフォームを悩ませているのと同じように、フィッシング攻撃の対象となる可能性があります。例えば、マイクロソフトは、Web3プラットフォームへのアクセスに依存する暗号鍵が、デジタルウォレットソフトウェアになりすまし、被害者のデバイスにマルウェアを展開し、正規のスマートコントラクトのフロントエンドにタイポスクワッティングを行い、不正なデジタルトークンを製造し、ユーザーが謎のトークンが何であるかを調べて、認証情報を盗まれるエアドロップ詐欺に利用できることを説明した警告を発表しています。

これらのいわゆる「アイスフィッシング」技術は、何らかの方法でエンドユーザーを騙し、サイバー犯罪者にトークンの制御を密かに与えるような取引にサインさせるものです。

Web3の研究開発には、既に数十億円が注ぎ込まれています。Web3という言葉は2014年にポルカドットの創業者でイーサリアムの共同創業者であるギャビン・ウッドが作った造語です。その中核となるWeb3は、中央当局を介さないデジタル資産のあらゆる交換を表します。デジタル資産の交換を管理するエンティティは、分散型自律組織（DAO）と呼ばれます。既存のWeb2.0の枠組みに取って代わるというよりも、中央集権的なインターネットサービスに依存する必要性が少なくなる中で、ユーザーや組織が取引だけでなくデータもよりコントロールできるような別の枠組みを横に重ねていくことが、その核となる考え方です。

ブロックチェーンプラットフォームは、分散型台帳を使用してネットワークの各メンバーに全く同じデータのコピーを提供するため、分散化が可能になります。ある台帳が何らかの形で改ざんされたり、破損したりすると、ネットワーク上の他の台帳から自動的に拒否されます。ネットワーク上のすべてのエンティティは、台帳に格納されたデータの共有リアルタイムビューにアクセスすることができます。

分散化の大きなメリットの一つは、システム停止や障害に繋がりかねない特定のプラットフォームへの依存を減らすことです。また、リソースの配分を最適化することでより良いパフォーマンスと一貫性を実現し、全体的により安全なアプリケーション体験を可能にします。しかし、克服すべき課題も残されています。例えば、ブロックチェーンプラットフォームは大量のエネルギーを消費するため、分散化へのアプローチは、気候変動政策や要件に沿ったものである必要があります。

また、様々な違法行為の資金源として使用されるため、法執行機関による金銭的な支払いの追跡が非常に困難になっています。サイバー犯罪者が身代金の支払いを暗号通貨で行うよう要求するのはこういった背景があるからです。

どのようなプラットフォームであっても、サイバー犯罪者は認証情報を侵害するためにあらゆるフィッシング攻撃の技術を用いてきます。どんなに優れたプラットフォームであっても、完璧なセキュリティはありえないということを覚えておいてください。

原文はこちら：
Phishing scams continue into the Web3 era
February 22, 2022 Mike Vizard
https://blog.barracuda.com/2022/02/22/phishing-scams-continue-into-the-web3-era/