The Block の特別プロジェクト ディレクターである Frank Chaparro 氏は最近、The Scoop ポッドキャストのシーズン 6 のエピソード 47 で、Coinbase の最高情報セキュリティ責任者 (CISCO) である Jeff Lunglhofer 氏にインタビューしました。

ルングホファー氏は、Coinbase がユーザーとその資産を保護するために採用しているさまざまな戦略と実践について包括的に解説するとともに、悪意のある人物が脆弱性を悪用するために使用する高度な戦術についても明らかにしました。

監護と教育の二重の役割

ルングホファー氏は、まず、Coinbase のセキュリティ ミッションの 2 つの側面、つまり顧客資産の保護とユーザーへの教育を強調しました。同氏は、Coinbase は暗号通貨業界で最も信頼される企業であることを誇りにしており、その評判を維持するには絶え間ない努力が必要であると強調しました。この努力の重要な部分は、顧客が詐欺を理解して回避できるように支援することです。

同氏は、詐欺師が使用する最も一般的な戦術の 1 つはソーシャル エンジニアリングであり、Coinbase などの正当な組織になりすましてユーザーから機密情報を引き出すものだと指摘しました。こうした詐欺師は、多くの場合、インターネット上のさまざまなデータ侵害から収集したターゲットに関する詳細な情報を持っており、十分に準備が整っています。そのため、なりすましは非常に説得力のあるものになります。

コンボリストとデータ侵害について理解する

ルングホファー氏は、複数のデータ侵害から個人情報を集めた「コンボ リスト」の概念について説明しました。詐欺師はこれらのリストを使用して、ターゲットの詳細なプロファイルを作成します。この情報には、名前、電子メール アドレス、電話番号、さらには取引履歴が含まれる場合があります。詐欺師はこれらのデータを使用して、正当な組織の代表者になりすまし、個人が実際の通信と詐欺的な通信を区別することを困難にします。

詐欺師の巧妙な手口

この会話では、これらの悪意あるグループの組織的かつ巧妙な運用が浮き彫りになりました。彼らは孤立した個人ではなく、Coinbase のような暗号通貨取引所を含む金融プラットフォームのニュアンスを理解している、よく組織化されたグループです。彼らはこの知識を利用して詐欺を巧みに練り上げ、非常に効果的な詐欺を巧みに実行しています。

ルングホファー氏は、詐欺師がコインベースの社員を装ってユーザーに連絡し、安全だとされているウォレットに資産を移すよう説得するが、実際には詐欺師が管理しているという詐欺の例を挙げた。同氏は、資産がコインベースのプラットフォームから移されると、同社のセキュリティ対策では保護されなくなり、ユーザーが無防備な状態になると強調した。

予防策とベストプラクティス

ルングホファー氏が提供した重要なアドバイスの 1 つは、金融機関からのあらゆる連絡を常に独自に確認することだ。同氏は、一方的な電話は切り、クレジットカードの裏面に記載されている電話番号や金融機関の公式 Web サイトなど、正式な連絡方法を使用して金融機関に直接連絡することを推奨した。

また、彼は強力な多要素認証 (MFA) 方式を使用することの重要性についても話しました。SMS ベースの MFA は何もしないよりはましですが、それほど安全ではありません。代わりに、Lunglhofer 氏は、フィッシングや傍受が簡単にできないため、はるかに高いレベルのセキュリティを提供する物理的なセキュリティ トークンの使用を提唱しています。

Coinbase の内部セキュリティ対策

Coinbase は社内的に、ソーシャル エンジニアリング攻撃から保護するための強力なセキュリティ対策を採用しています。たとえば、攻撃者がユーザーに MFA 要求を大量に送りつけて屈服させる「プッシュ疲労」と呼ばれる手法を利用した一連の攻撃に気付いた後、Coinbase は従業員に物理的なセキュリティ トークンの使用を義務付けました。

将来を見据えて: 暗号セキュリティの未来

ルングホファー氏は、仮想通貨のセキュリティの将来は、オンチェーンのセキュリティ問題への対処を伴う可能性が高いと指摘した。仮想通貨エコシステムは非常に動的かつオープンであるため、従来の金融システムと比較して独特の課題がある。スマートコントラクトの脆弱性、ブリッジの侵害、ブロックチェーン技術の急速な進化などの問題には、継続的な警戒が必要となるだろう。

注目の画像はCoinbaseより