企業の暗号資産ウォレットが標的に、不可逆な送金を狙う高度な攻撃

背景

ブロックチェーン技術の普及に伴い、企業が暗号資産（仮想通貨）やNFT（非代替性トークン）を保有・運用するケースが増えています。決済手段、投資、Web3事業への参入など目的は様々ですが、これに伴い、企業の暗号資産ウォレットを標的としたサイバー攻撃が急増しています。暗号資産の取引はブロックチェーン上で確定すると取り消すことができず（不可逆性）、銀行のような補償制度もないため、攻撃者にとって極めて魅力的なターゲットとなっています。特に、秘密鍵（プライベートキー）やシードフレーズの管理不備を突く攻撃や、スマートコントラクトの脆弱性を悪用する攻撃など、従来の情報セキュリティとは異なる専門的な知識を要する攻撃手法が用いられています。

実態

企業を狙う暗号資産窃取の手口は巧妙化しています。最も一般的なのは、担当者を狙ったフィッシング詐欺です。「ウォレットのセキュリティアップデートが必要です」「エアドロップ（無料配布）の対象になりました」といった偽のメールやSNSメッセージを送り、偽のウォレット接続サイトに誘導して秘密鍵を入力させたり、悪意あるトランザクションに署名させたりします。また、「Ice Phishing」と呼ばれる手法では、ユーザーに正規の送金承認画面に見せかけた「トークン使用許可（Approve）」の署名を求め、一度承認してしまうと、攻撃者がユーザーのウォレット内の資産を自由に移動できる権限を得てしまいます。さらに、クリップボードジャッキングというマルウェアは、ユーザーが送金先アドレスをコピーした瞬間に、クリップボードの中身を攻撃者のアドレスに書き換え、誤送金を誘発します。開発者向けには、GitHub上の悪意あるライブラリをプロジェクトに組み込ませ、開発中のアプリから秘密鍵を盗み出すサプライチェーン攻撃も確認されています。

影響と対策

暗号資産の盗難は、被害額が数億円から数百億円に達することもあり、企業の財務状況に致命的な打撃を与えます。対策としては、まずウォレット管理の厳格化が必須です。多額の資産は、インターネットから物理的に隔離された「コールドウォレット」や、複数人の署名が必要な「マルチシグウォレット」で管理し、単独の担当者が送金できない体制を構築します。業務で使用するPCは、FortiEDRやCheck Point Harmony Endpointなどの高度なエンドポイントセキュリティで保護し、クリップボードジャッキングやキーロガーなどのマルウェア感染を防ぎます。また、Web3向けのセキュリティツール（ウォレットガードなど）を導入し、署名するトランザクションの内容をシミュレーションして危険性を警告する仕組みも有効です。さらに、従業員に対して「秘密鍵やシードフレーズはいかなる場合もWebサイトに入力しない」「不明なトークンやNFTには触れない」といったWeb3特有のセキュリティリテラシー教育を実施することも重要です。

まとめ

Web3時代の資産管理には、Web2時代とは異なる新たなセキュリティ常識が求められます。「自己責任」の原則が強いブロックチェーンの世界では、企業自らが高度な防御策を講じる必要があります。PSIでは、エンドポイントセキュリティとネットワーク防御を組み合わせ、暗号資産を扱う業務端末の安全性を確保するとともに、Web3事業のリスク管理に関するコンサルティング支援をご提供いたします。

会社概要

社名：株式会社ピーエスアイ（PSI）
所在地：〒160-0022 東京都新宿区新宿5丁目5-3 建成新宿ビル4階
設立：1994年
TEL：03-3357-9980
FAX：03-5360-4488
URL：https://www.psi.co.jp
事業内容：サイバーセキュリティ製品の販売および導入支援、運用サポート、ITコンサルティング

報道関係者様からのお問合せ先

株式会社ピーエスアイ
広報担当：内藤
電話番号：（03）3357-9980
Eメールアドレス：psi-press@psi.co.jp