24日夜、仮想通貨「イーサリアム」のウォレット(保管所)MyEtherWallet(マイイーサウォレット)が不正ログインされ、1500万円相当(215ETH)の不正送金被害が発生した。ブラウザの警告を無視してフィッシングサイトにログインしてしまい、送金に必要な情報を盗まれたとみられる。
■正規サイトのURLで偽サイトに誘導
同社の発表などによると、いくつかのDNS(Domain Name System)の通信が乗っ取られ、正規サイトのURLで偽サイトに誘導される問題が、同日、一時的に発生したという。
DNSは、インターネットで使用するドメイン名を管理するシステムのこと。Webサイトにアクセスする際には、URLのホスト名(例:www.so-net.ne.jp)をDNSサーバーに問い合わせ、接続相手のサーバーのIPアドレス(例:210.132.253.161)を取得する。実際の通信は、このIPアドレスを使って行うのだが、DNSへの問い合わせに対し、正規サイトのIPアドレスではなく偽サイトのIPアドレスが返されると、正しいURLでありながら偽サイトに接続するという異常事態が発生する。
■暗号化接続ならブラウザが偽サイトを警告
正しいURLで接続した偽サイトが本物そっくりに作られていたら、もはや見分けるのは無理と思われるかもしれない。ところが、暗号化通信を行うHTTPSで始まるURLのサイトの場合には、偽サイトに誘導されたことをブラウザが検出し、ユーザに教えてくれる。
ブラウザは、HTTPS接続時に接続先のサーバ証明書を調べ、URLに指定した名前と証明書が証明する名前とが一致しているかどうかを確認する。そのサイトのドメイン名やサーバ名は、サーバ証明書必須の証明事項であり、ドメインの所有者確認を行ったうえで、所有者にサーバ証明書が発行される。何らかの不正な手段を使って本物のサイトのサーバー証明書を入手しない限り、本物のサイトのサーバー証明書を持つ偽サイトを開設することはできず、ほとんどの場合はブラウザのチェックに引っかかってしまう。このとき、ブラウザは「証明書エラー」や「プライバシーエラー」を出してユーザーに警告する。
MyEtherWalletの公式サイトはもちろんHTTPS接続であり、攻撃者に本物のサイトのサーバー証明書を入手されることもなかった。DNSに偽サイトのIPアドレスを返され、正しいURLで偽サイトに誘導されても、ブラウザが警告を表示してアクセスを遮断してくれたのだ。それでも被害が発生したのは、ブラウザの警告を無視し、遮断された偽サイトを自ら開いてしまったからに相違ない。
ちなみにMyEtherWalletの公式サイトは、一定に基準で運営者の確認も行う「EV証明書」という特別なサーバ証明書を持っている。接続先がEV証明書の場合には、ほとんどのブラウザが証明書に記載された運営者名(本件の場合は「MyEtherWallet Inc」)をアドレスバーに表示する。ただしモバイル版のGoogle Chromeに関しては例外で、EV証明書の場合も通常の錠前マークのみの表示となる。アドレスバーの錠前マークをタップし、[詳細]→[証明書情報]と進むと、[組織(O)]欄で運営者名が確認できる。
正しいURLであっても偽サイトに誘導されてしまうことがある。URLが正しく、なおかつHTTPS接続で正常に接続できたなら、それは正規サイトだ。もしブラウザが何らかの警告を表示したなら、無視せずそれ以上先に進んではいけない。
(2018/04/27 ネットセキュリティニュース)
【関連URL】
・Twitterでの公式アナウンス
https://twitter.com/myetherwallet/status/988830652526092288
・MyEtherWallet公式サイト
https://www.myetherwallet.com/
【関連記事:ネットセキュリティニュース】
・自宅Wi-Fiで知らぬ間に「DNS情報」書き換えられ、不正アプリDLの恐れ(2018/03/27)