コミュニティ投稿 - 著者: WhoTookMyCrypto.com

2017 年は仮想通貨業界にとって注目すべき年でした。仮想通貨の価値が急上昇し、主要メディアに取り上げられたからです。当然のことながら、一般の人々だけでなくサイバー犯罪者からも大きな関心を集めました。仮想通貨は比較的匿名性が高いため、犯罪者の間で人気があり、従来の銀行システムを回避したり、規制当局による金融監視を逃れたりするためによく使用されています。

人々がデスクトップよりもスマートフォンに多くの時間を費やしていることを考えると、サイバー犯罪者がスマートフォンに注目するのも不思議ではありません。以下の説明では、詐欺師がモバイル デバイスを通じて暗号通貨ユーザーをターゲットにしている方法と、ユーザーが自分自身を守るために実行できるいくつかの手順について説明します。


偽の暗号通貨アプリ

偽の暗号通貨取引アプリ

偽の暗号通貨取引アプリの最も有名な例は、おそらくPoloniexでしょう。2018年7月に公式モバイル取引アプリがリリースされる前に、Google Playにはすでに、意図的に機能するように設計された偽のPoloniex取引アプリがいくつか掲載されていました。これらの不正アプリをダウンロードした多くのユーザーのPoloniexログイン認証情報が侵害され、暗号通貨が盗まれました。一部のアプリでは、ユーザーのGmailアカウントのログイン認証情報を要求するなど、さらに一歩進んでいました。2要素認証(2FA)のないアカウントのみが侵害されたことを強調しておくことが重要です。

次の手順に従うと、このような詐欺から身を守ることができます。

  • 取引所の公式ウェブサイトをチェックして、実際にモバイル取引アプリが提供されているかどうかを確認してください。提供されている場合は、ウェブサイトで提供されているリンクを使用してください。

  • レビューと評価を読んでください。詐欺アプリには、詐欺に遭ったと不満を言う悪いレビューが多数あることが多いので、ダウンロードする前に必ず確認してください。ただし、完璧な評価とコメントを提示するアプリにも疑いの目を向けてください。正当なアプリには、否定的なレビューがそれなりに存在します。

  • アプリ開発者の情報を確認してください。正当な会社、メールアドレス、ウェブサイトが提供されているかどうかを確認してください。また、提供されている情報をオンラインで検索して、本当に公式取引所と関連しているかどうかを確認する必要があります。

  • ダウンロード数を確認してください。ダウンロード数も考慮する必要があります。非常に人気のある暗号通貨取引所のダウンロード数が少ないということは考えられません。

  • アカウントで 2FA を有効にします。100% 安全ではありませんが、2FA は回避するのがはるかに難しく、ログイン認証情報がフィッシングされた場合でも資金を保護するのに大きな違いをもたらします。


偽の暗号通貨ウォレットアプリ

偽アプリにはさまざまな種類があります。その 1 つは、ユーザーのウォレットのパスワードや秘密鍵などの個人情報を取得しようとするものです。

場合によっては、偽のアプリが以前に生成された公開アドレスをユーザーに提供し、資金がこれらのアドレスに預け入れられるものと想定します。ただし、偽のアプリは秘密鍵にアクセスできないため、自分に送金された資金にアクセスすることはできません。

このような偽のウォレットは、イーサリアムやネオなどの人気の暗号通貨向けに作成されており、残念ながら多くのユーザーが資金を失っています。被害者にならないために実行できる予防策をいくつか紹介します。

  • 上記の交換アプリのセクションで強調した予防措置も同様に適用されます。ただし、ウォレット アプリを扱うときに実行できる追加の予防措置は、アプリを初めて開いたときに新しいアドレスが生成され、秘密鍵 (またはニーモニック シード) を所有していることを確認することです。正規のウォレット アプリでは秘密鍵をエクスポートできますが、新しいキー ペアの生成が危険にさらされないようにすることも重要です。したがって、信頼できるソフトウェア (できればオープン ソース) を使用する必要があります。

  • アプリが秘密鍵 (またはシード) を提供する場合でも、公開アドレスがそこから派生してアクセスできるかどうかを確認する必要があります。たとえば、一部の Bitcoin ウォレットでは、ユーザーが秘密鍵またはシードをインポートしてアドレスを視覚化し、資金にアクセスできます。キーとシードが侵害されるリスクを最小限に抑えるには、エアギャップ コンピューター (インターネットから切断されたコンピューター) でこれを実行できます。


クリプトジャッキングアプリ

クリプトジャッキングは、参入障壁が低く、必要な経費も少ないため、サイバー犯罪者の間で人気があります。さらに、長期にわたる継続的な収入の可能性も提供します。PC と比較すると処理能力が低いにもかかわらず、モバイル デバイスはクリプトジャッキングの標的になりつつあります。

ウェブブラウザのクリプトジャッキング以外にも、サイバー犯罪者は、合法的なゲーム、ユーティリティ、教育アプリのように見えるプログラムも開発しています。しかし、これらのアプリの多くは、バックグラウンドで秘密裏にクリプトマイニングスクリプトを実行するように設計されています。

正当なサードパーティのマイナーとして宣伝されているクリプトジャッキング アプリもありますが、報酬はユーザーではなくアプリ開発者に支払われます。

さらに悪いことに、サイバー犯罪者はますます巧妙になり、検出を回避するために軽量のマイニング アルゴリズムを導入しています。

クリプトジャッキングは、モバイル デバイスのパフォーマンスを低下させ、消耗を加速させるため、非常に有害です。さらに悪いことに、クリプトジャッキングは、より悪質なマルウェアのトロイの木馬として機能する可能性があります。

これらを防ぐために、以下の手順を実行できます。

  • アプリは必ず Google Play などの公式ストアからダウンロードしてください。海賊版アプリは事前にスキャンされていないため、クリプトジャッキング スクリプトが含まれている可能性が高くなります。

  • 携帯電話のバッテリーの過度な消耗や過熱を監視します。検出されたら、原因となっているアプリを終了します。

  • セキュリティの脆弱性が修正されるように、デバイスとアプリを最新の状態に保ってください。

  • クリプトジャッキングを防ぐ Web ブラウザを使用するか、MinerBlock、NoCoin、Adblock などの信頼できるブラウザ プラグインをインストールしてください。

  • 可能であれば、モバイル用ウイルス対策ソフトウェアをインストールし、最新の状態に保ってください。


無料プレゼントと偽の暗号通貨マイニングアプリ

これらは、ユーザーのために暗号通貨をマイニングしているふりをしているアプリですが、実際には広告を表示する以外は何もしていません。時間の経過とともにユーザーの報酬が増加することを反映することで、ユーザーがアプリを開いたままにするよう促します。一部のアプリでは、報酬を得るために 5 つ星の評価を残すようユーザーに促しています。もちろん、これらのアプリは実際にマイニングを行っておらず、ユーザーは報酬を受け取ることはありません。

この詐欺から身を守るには、ほとんどの暗号通貨のマイニングには高度に特殊化されたハードウェア (ASIC) が必要であり、モバイル デバイスでマイニングするのは現実的ではないことを理解する必要があります。マイニングできる金額はせいぜいわずかなものです。このようなアプリには近づかないでください。


クリッパーアプリ

このようなアプリは、ユーザーがコピーした暗号通貨のアドレスを変更し、攻撃者のアドレスに置き換えます。そのため、被害者は正しい受取人のアドレスをコピーしたとしても、取引を処理するために貼り付けたアドレスは攻撃者のアドレスに置き換えられてしまいます。

このようなアプリの被害に遭わないために、取引を処理する際に取るべき予防策をいくつか紹介します。

  • 受信者フィールドに貼り付けるアドレスは必ず二重、三重に確認してください。ブロックチェーン取引は元に戻すことができないため、常に注意する必要があります。

  • 住所の一部ではなく、住所全体を確認するのが最善です。一部のアプリは、意図した住所に似ている住所を貼り付けるほどインテリジェントです。


SIMスワッピング

SIMスワッピング詐欺では、サイバー犯罪者がユーザーの電話番号にアクセスします。彼らはソーシャルエンジニアリングの手法を使って携帯電話事業者を騙し、新しいSIMカードを発行させます。最も有名なSIMスワッピング詐欺は、暗号通貨起業家のマイケル・ターピンが関与したものでした。彼は、AT&Tが携帯電話の認証情報の取り扱いに不注意だったために、2,000万ドル以上の価値があるトークンを失ったと主張しました。

サイバー犯罪者があなたの電話番号にアクセスすると、それを利用して、それに依存する 2FA を回避できます。そこから、あなたの暗号通貨ウォレットや取引所に侵入することができます。

サイバー犯罪者が使用するもう 1 つの方法は、SMS 通信を監視することです。通信ネットワークの欠陥により、犯罪者がメッセージを傍受できる可能性があり、そのメッセージには、ユーザーに送信される 2 要素 PIN が含まれている可能性があります。

この攻撃が特に懸念されるのは、ユーザーが偽のソフトウェアをダウンロードしたり、悪意のあるリンクをクリックしたりするなどの操作を実行する必要がないことです。

このような詐欺の被害に遭わないようにするには、考慮すべきいくつかの手順があります。

  • SMS 2FA には携帯電話番号を使用しないでください。代わりに、Google Authenticator や Authy などのアプリを使用してアカウントを保護してください。サイバー犯罪者は、あなたの電話番号を入手したとしても、これらのアプリにアクセスすることはできません。または、YubiKey や Google の Titan Security Key などのハードウェア 2FA を使用することもできます。

  • 携帯電話番号などの個人を特定できる情報をソーシャル メディアで公開しないでください。サイバー犯罪者はそのような情報を入手し、それを使用して他の場所であなたになりすます可能性があります。

  • 仮想通貨を所有していることをソーシャル メディアで公表しないでください。そうすると標的にされてしまいます。また、すでに仮想通貨を所有していることを誰もが知っている場合は、使用している取引所やウォレットなどの個人情報を公開しないでください。

  • 携帯電話プロバイダーと契約して、アカウントを保護してください。アカウントに PIN またはパスワードを設定し、PIN を知っているユーザーだけがアカウントを変更できるように指定することもできます。または、変更は直接行うように要求し、電話での変更は禁止することもできます。


Wi-Fi

サイバー犯罪者は、特に暗号通貨ユーザーのモバイルデバイスへの侵入口を常に探しています。そのような侵入口の 1 つが WiFi アクセスです。公衆 WiFi は安全ではないため、ユーザーは接続する前に予防措置を講じる必要があります。そうしないと、サイバー犯罪者がモバイルデバイスのデータにアクセスする危険があります。これらの予防措置については、公衆 WiFi に関する記事で説明されています。


最後に

携帯電話は私たちの生活に欠かせないものになっています。実際、携帯電話はデジタル ID と密接に結びついているため、最大の脆弱性になる可能性があります。サイバー犯罪者はこのことを認識しており、今後もこれを悪用する方法を見つけ続けるでしょう。モバイル デバイスのセキュリティ保護はもはやオプションではなく、必須となっています。安全を確保してください。