ハッキング/クラッキングは、この界隈では日常的な風景だ。しかし、詐欺は高度化し、特定個人に向けたDMからのクラッキングが相次いでいる。
最近は、クラッキングから身を守る方法を考えたとき、最も確実な方法は何だろうか?セキュリティのかなめとは何だろうか?といったことについて考えていた。
それはおそらく、「ハッカーに存在を認知されない事」なのだと思う。
今回は、これについてまとめておこうと思う。
まずは、最近のクラッキングの事例を見てみたい。
https://x.com/mameta_zk/status/1894767610556002581
最近有名になった個人向けなクラッキングの事例を見返すと、異常に手が込んでおり、キモいほど高度化しているのがわかる。
上記の例はその最たるもので、
「プロジェクトの開発に誘い(ご丁寧にLinkedInから)、その後ローカルで悪意あるコードを実行させ暗号化されたウォレット情報等を盗み、最後にMetamaskのパスワードを偽のUI上で入力させシードを復元し盗む」
という複雑かつ高度極まりないことをやっている。
https://zenn.dev/mameta29/articles/7aa221046a87ff
少し前に流行った、
「独自のWeb会議ツールをインストールさせてそれ経由で情報を抜く」
手口に近いが、こちらはGithub等を利用しより開発者向けに調整してきている。
フローもWeb開発で一般的に利用される手法・フローにまあ似通っており、スタートアップの多いこの界隈ではこういったやり方に疑問を持たない人も多いだろう。
これとは別で、StilachRATと名付けられた新しいのトロイの木馬型コンピュータウイルスも発見されており、これも秘密鍵を盗むことに特化した内容となっている。
https://x.com/SlowMist_Team/status/1901921386060460122
また、
「Chrome拡張機能にマルウェアが仕込まれておりそれ経由で秘密鍵を抜かれる」
こともあるそうだ。
これらのクラッキングは、既に普通の人がわかるはずがない領域まで来ている。
個人向けから脱して組織向けのサイバー犯罪に目を向けると、もっと高度化している。
直近のBybitの件がそれであり、あれはBybit本部とBybitの使用するSafe、どちらもを同時にクラックして最終的にBybitのETHをすべて盗むことに成功している。
https://note.com/yasuotezuka/n/n403394192d3c
https://x.com/safe/status/1897663514975649938
このproxyの仕様を利用した手口はEthereumの仕様をとてもうまく利用している。国家事業としてのハッキングは、想像を絶する高度さになってきている。
クラッキングは、正直言って相場だとかエアドロだとかトランプだとかいう前に、実は**最も重大で絶対に起こしてはならないリスクとして存在している。**まず、全員それを肝に銘じたほうがいい。
クラッキングはリセッションよりも清算よりも怖い。なぜなら一手間違うだけで、持っている暗号資産を全て失うからだ。
詐欺はいわゆるテールリスクである。なかなか起こりえないが、起こった場合の損失はデカい。
しかし人々はテールリスクに対するヘッジは行わない。なぜなら面倒だからだ。
既に述べたように、詐欺は均衡現象である。予防手段は高いか不便かのどちらか、あるいは両方で、(しかし、相手を)信頼するのは無料だ。
ー 金融詐欺の世界史、ダン・デイヴィス著、大間知知子訳
クラッキング対策としては、基本的には以下のようなものが良いとされている。
- Chrome拡張機能はむやみに入れない。- 精査していないプロジェクトは使わない。- 情報ソースは複数確認する。- 秘密鍵は入力しない。わかっていてするとしても、クリップボードに全秘密鍵を一度にはコピーしない。
他にもいろいろあるが、先史が教えてくれている通り、どれもこれも「不便で時間がかかるもの」だ。
しかし、やらなければ避けられない**。**犬も歩けば棒に当たる。 歩き続けるならそれくらいのコストを払わなければならない。
引用の通り、安全にしたいなら、無限に「面倒なことをやる」しかないのだ。
ハードウェアウォレットを使用し、ウォレットは分け、資金の関係を悟らせないためにミキシングサービスやCEXを利用した送金を利用し、使うプロジェクトを精査し、サイトのURLを確認し、トランザクションで何が起こるかを確認し、少額のテスト送金を行う。
これを毎回、毎回やらなくてはならない。なんと不便なことだろうか。もうちょっと楽にならんだろうか。と考えてしまうが、それこそが罠だ。
先の本には、利便性を取ったせいで詐欺に巻き込まれる例が紹介されている。ダークウェブ上の違法な薬物のオンラインショップの事例だ。
こういったオンラインのブラックマーケットでは、基本的にはエスクローが用いられる。支払者と販売者が取引が実行されることを信頼するために、第三者が「入金を確認したら発送する」という仲介を行っている。このエスクローサービスを信頼する形で取引が行われている。
しかし、エスクローサービスは時間がかかり、しかもエスクローサービスの手数料もあったので、「fast Execution(FE)」という、エスクローを使用しない支払い手段もあった。
ブラックマーケットのユーザーたちは、結局安くて早いほうを使うために、割とFEを使用していたらしい。クリプトの住民からしたらあり得ない話…もとい、エスクローだって信頼できないのだが。
最終的に、業者がFEのセールを急に初めてオーダー(つまり支払い)を大量に受けた後に消滅する、という出口詐欺が蔓延している他、案の定エスクローサービスそれそのものが詐欺で業者もユーザーも金を盗まれるというケースもあったそうだ。
この話の教訓は、人はどれだけ信用できなさそうなものでも安さと利便性の前には屈する、ということだ。
誰だって、一度問題はなかったから次も大丈夫だろう、信頼してる情報源であるあの人が教えてくれたから大丈夫だろう、と、少しでも時間と労力効率を求め楽をしようとする。
全ての人類にこの性質は共通しており、これは「信用」と呼ばれている。しかし、信用は必ず悪用される。
クラッキングの事例を見ていると、ざっくり2パターンあることに気付くだろう。
対個人のクラッキングと、対多数の範囲攻撃的なクラッキングだ。
先の開発者向けクラッキングや独自のWeb会議アプリを使用した物は対個人的な攻撃であり、普段よく見るような偽のエアドロップの広告やスパムなどは対多数の攻撃だ。
対個人のクラッキングは、対多数のクラッキングに比べて高度で、かなり検知しづらくなっている。スナイパー的な対個人へのクラッキングはその個人に合わせて最もターゲットが自然だと勘違いできる手段を構築できる。
ざっくり言えば、対個人へのクラッキングは初見で防ぐのがかなり難しい。ということだ。
後者の範囲攻撃的なクラッキングはこの界隈で活動するにあったって避けるのは不可能だろう。これらの対策は先に挙げており、息をするようにそれらができなくてはならない。しかし、前者の方はそれらができていても検知できない可能性が大いにある。よりこちらの方が危険だと私は考える。
したがって、今回考えるメインのものは、「いかにして対個人クラッキングから狙われなくするか」だ。
クラッカー側になって考えてみよう。どういったターゲットなら、DMのやり取りをしてまで資金を狙いたいと思うか?
狙われない条件は簡単だ。
お金を持っていないことがわかる事
この一点に限る。
しかし、実際にお金を持っているかどうかはインターネット上からの監視では絶対にわからない。だから実際には持っていなくても狙われる可能性がある。つまり、裏を返すと、
お金を持っていそうなこと
が狙われる条件だと言える。
と考えると、自分の資金を守るためにはそう思われたくはない。
どうすれば「お金を持っていそう」と思われないだろうか?
お金を持っている人に共通している情報はいくつかあるが、この界隈が直接お金に関連する界隈のためか、その条件は個人のTwitterの説明欄や普段のツイートに色濃く出る。
それらはざっくり、以下の二つに分かれている。
お金を持っていることの証明になる情報がある
影響力があることの証明になる情報がある
まずは前者の条件を見ていこう。
これらは簡単で、稼げた情報をどれだけ挙げているか、有名な組織に所属しているか、などが条件だろう。
Botの収支報告を上げている
エアドロで受け取った額を公表している
名の知られた組織で働いている・アンバサダーなどをやっている
何らかの企業のCEO、役員だと明言している
よく案件を受ける
これらの条件を満たしている人は、通常よりも裕福である可能性がそれなり高い。収支報告とか、まんまそれである。正直危険極まりない。
次に後者の影響力の条件だ。 これはシンプルだ。
フォロワーが多い
フォロワーの多さは見かけ上の信用の大きさだ。またこれは、その人の潜在的な影響力でもある。フォロワーが数千や1万人以上いたら、 我々はその人がすごい人なのかなと一瞬思ってしまうし、そうであるケースは多い。このバイアスは詐欺師も活用しており、たいていの詐欺アカウントは大量にアカウントを買い、数千人以上フォロワーがいることが基本だ。
また、フォロワーが多いことで資産狙いの対個人攻撃とは別のベクトルでアカウント乗っ取りに狙われる等の危険性が出てくる。
つい最近、ロンブー淳のツイッターアカウントがクラックされ、不正なログインを受けた。ご丁寧にAIで作った画像まで添付して、ミームコインの宣伝に使用された。このアカウントはフォロワー300万人越えだった。正直引っかかった人はほぼいないとは思うが、それでも悪い話題や混乱を生むし、アカウントの復旧ができないケースもあるだろう。
有名であることは、それだけで極端に狙われやすくなり、またクラックされた時の被害者も増えやすい。
今回は暗号資産に無関係な人だったから良かったが、普段から知識がありツイートが信用されている人がハックされたら、まず一瞬信用してしまうだろう。
また、クラッカーたちはAIによって高精度な画像を、そして同じくAIによって言語の壁を乗り越えてくる。
いまのところ、日本語圏の自分たちが詐欺にある程度耐性がある要因はこの言語的な壁が大きいと思う。英語とは文章構造も言い回しも全く違うため、上記のツイートにも独特な不自然さがあり、それを見抜くことができている。
が、これはまだクラッカー側が発展途上なだけで、すぐに彼らはこの不自然を埋めてくる可能性がある。
よくリプライ欄で見る「この人のおかげで儲かりました」スパムも、昔より文章の多様さと日本語の精度が上がってきている。
この界隈は、他のどの界隈よりリスクが高い。まずこの界隈に関わっている時点で、必然的に資産がある可能性が高いとみなされているのだ。
海外のイベントの会場付近や空港の周りなどで、Cryptoに関連するグッズやTシャツを着ている人が強盗に優先的に狙われていたという話もある。
その最たる例が、少し前に起こったLedgerの共同設立者の拉致監禁事件だろう。
2025年1月の下旬に、Ledgerの共同設立者のであるDavid Balland氏が、自宅に襲撃を受け、妻と共に拉致された。
2人は最終的に別々に解放されたが、身代金は一部支払われ、そしてなんとBalland氏は指を一本失っていた。
他にも、2024年12月31日、フランスの仮想通貨インフルエンサーの父親、母親、妹が誘拐され、フランス東部で数時間拘束された事件があったりと、この界隈の人間を狙った犯罪が増えてきているのかもしれない。
少なくとも、「我々は優先的に狙われうる」ということは覚えておいた方がいいだろう。
金は稼ぎなおせるかもしれないが、四肢とか命は帰ってこない。代償は重い。
まだどのクラッカーにも存在がバレていない人も存在するだろう。
君たちは隠れ続けろ。自己顕示欲を飼いならし、リスクをコントロールしろ。
稼ぎは続けつつ、しかし出てこないほうがいいだろう。
既に多くの人はこの界隈で著名人となっている。そして皆、そうなりたがる。しかし、それはそれ自体がリスクをはらむと言って過言ではない。
インターネットにあげた情報は消せない。たとえあとから消したとしても、それまでに誰かに既に保存されている可能性が存在する。インターネットへの情報の公開は不可逆なのだ。
著名となってしまった人はもう後戻りはできない。利益を最大化し、なるべくリスクを抑えて活動したほうがいい。少なくとも、自らがさらされているリスクを正確に認知したほうがいい。
そして著名になりたがっている人がいたら、そのリスクについて教えてあげるべきだろう。
それでも情報発信をする場合、どこですべきだろうか?
日本人の濃いコミュニティに入り、そこで発言や情報発信を行うのがまだ安全だと私は考えている。すべての発信とコミュニケーションを断つのは容易ではない。
よりクラッキングが発展してきたら、人々はいっそうより安全なコミュニティ、閉鎖的なコミュニティで情報発信をすることになるだろう。
現在のインフルエンサーのような、他人に富の場所を教え、そして影響力を得る行為は、差し引きほぼ慈善事業かそれ以下であり、かなりのリスクを伴う行為となる。しかし、自分でエッジを探すより楽そうなので、人はそれを選んだりする。
しかし、ハイリターンなものは、常にハイリスクなのだ。例外はない。
ハイリターンを見た時、裏に潜むハイリスクを適切に認知する。これが最も重要だ。
リスクが認知できない、ありうる顛末を予測できないと、致命的な事件につながるだろう。
この状況は、小説「三体」における、黒暗森林という考え方に近い。
この概念について細かいことを言い始めるとネタバレになるので実際に読んでみてほしいのだが、ざっくり言うと、
「自分の居場所がばれたら、誰かにすぐさま殺される」
といった意味だ。
資産があることを悟られたら、クラッカーに狙われる。狙われたら、防げない。何度か防げても、最終的に資産は奪われる。狙われないように、できるだけ隠し続けるしかない。
まあ、資産が奪われるというのはかなり極端な表現で、適切にリスクを管理し予測氏自身の行動を俯瞰することで、避けられるケースは多いだろう。しかし、いつまでもそうなるかはわからない。
いつかそれが詐欺かどうか、見分けられなくなる時が来ると思う。事実、Bybitの件はBybit側から検知できない状況だった。
また、自身が全く想定していなかったチャネルからの攻撃もあり得る。10$wrench、拉致などだ。対象が自分とも限らない。自分の大切な人かもしれない。
つまるところベストは、そもそも狙われない事。つまり、「お金を持っていることを隠し続けよう」ということだ。
既にあなたが有名ならば、「死ぬほど気を付けよう」。正直それ以外にいい方法はない。
君は狙われている。