重大なセキュリティ脆弱性が発見されました：ハッカーは期限切れのドメインを悪用してSnap Storeを通じて暗号通貨を盗む方法

2024年1月21日、Linuxシステム向けのアプリケーションマーケットプレイスであるSnap Storeに影響を与える重大なセキュリティ脅威が発見されました。SlowMist Technologyの最高情報セキュリティ責任者によると、攻撃者は暗号通貨ウォレットアプリケーションを危殆化させ、ユーザー資産を流出させることができる重大な脆弱性を発見したとのことです。このハッカーの攻撃は、Linuxの最も広く使用されているソフトウェア配信チャネルの一つを標的とした高度な攻撃チェーンを示しています。

攻撃者はどのようにドメイン有効期限の脆弱性を悪用してパブリッシャーアカウントを乗っ取ったのか

攻撃の手法は、ドメイン登録の失効を利用した多段階のプロセスを含みます。セキュリティ研究者は、ハッカーがSnap Store上の開発者アカウントを体系的に監視し、関連するドメインが有効期限切れになったアカウントを特定していることを突き止めました。対象が特定されると、攻撃者は同じドメイン名を登録し、その登録に紐づくメールアドレスを使ってアカウントのパスワードリセットを試みます。有効期限切れのドメインに関連付けられたメールを掌握することで、攻撃者はプラットフォーム上で重要な評判を築いていたパブリッシャーアカウントを乗っ取ることに成功しました。

これまでに確認された侵害されたパブリッシャードメインには、storewise.techやvagueentertainment.comが含まれます。これらのアカウントは攻撃者の管理下に置かれ、その後、悪意のあるアプリケーションの配布に利用されました。

暗号通貨ウォレットが狙われる：マルウェア偽装戦略

乗っ取られたパブリッシャーアカウントは、人気の暗号通貨ウォレットアプリケーションの偽造版を配布するために利用されました。これらの悪意のあるアプリは、Exodus、Ledger Live、Trust Walletなどの有名な正規ウォレットを模倣しており、ユーザーインターフェースもほぼ同一に設計されているため、一般ユーザーによる検出は非常に困難です。

インストール後、これらの偽装アプリは、「ウォレットリカバリーメモニックフレーズ」の入力を促す欺瞞的なプロンプトを表示します。これは、暗号通貨の保有資産に完全にアクセスできる非常に機密性の高い情報です。ユーザーが無意識のうちにこのリカバリーデータを送信すると、その情報は直接攻撃者のコマンドサーバーに送信され、即座に不正アクセスが行われ、資産の完全な喪失につながります。

セキュリティへの影響と対策

この事件は、アプリケーションマーケットプレイスがパブリッシャーアカウントのドメイン検証を行う際の重大なセキュリティギャップを浮き彫りにしています。セキュリティチームは、開発者が有効なドメイン登録を維持し、アカウントリカバリーのための追加認証層を導入することを推奨しています。ユーザーは、ウォレットアプリケーションを公式のプロジェクトウェブサイトから検証し、リカバリーフレーズの要求には注意を払うべきです。正規のウォレット開発者は、この情報をアプリケーションを通じて求めることは決してありません。

より広範なハッカーエコシステムは、サプライチェーンの侵害やドメインを利用したソーシャルエンジニアリング攻撃を通じて、暗号通貨分野を標的とする高度化を進めています。