新たな詐欺手口『ビットフリップ攻撃とは?防ぐ方法は?』をわかりやすく説明します。
web3は詐欺手口に関しても最先端を行っていますので、奇しくも生き残るためには自然と詐欺に関しても敏感で詳しくなります。
ということで、2024年2月、新たな詐欺の手口が判明したのですが、
「これどう言う意味?全然手口が分からないんですけど!」
「これ、仕組みが分かったところで、どうやって防げばよいの?」
との声を多く聞きます。
そこで今回は
『新たな詐欺の手口ビットフリップ攻撃とは?その防ぎ方は?』
をわかりやすく噛み砕いて説明します。
この記事を読むことで
◎、ビットフリップ詐欺を理解し、警戒することができます
◎、ほぼ絶望的とも思える手口の防ぎ方をある程度知ることができます
それではビットフリップ攻撃について一緒に見ていきましょう!
ビットフリップ攻撃とは?
<ビットフリップ攻撃の全体像>
ビットフリップ攻撃とは
『署名の内容を処理の途中で書き換える詐欺の手口』
です。
全体的な流れとしては
1)詐欺師がサービスなどをハッキングする
※ハッキングすることで公式と同じ権限を得る
2)私達がそのサービスを利用する
3)ウォレット接続等を署名・承認する
4)詐欺師は、その署名の処理を一旦保留・停止する
※ハッキングにより、その権限を持っている
5)停止中に署名の中身を自分に都合が良いように書き換える
6)書き換えた内容で実行する
7)詐欺師に送金したことになる
という流れです。
これだけではよくわからないと思いますので、最初から説明しますね。
<ビットフリップ攻撃の中身説明>
web3を扱う際に私達は、頻繁に署名・同意をしますよね。
例えば、
「このサイトにウォレットを接続しますか?」
「ウォレットに新たなトークンを追加しますか?」
「そのウォレットに送金しますか?」
等々。
その署名・同意を持って、アプリ側のプログラムが処理を開始します。
しかし詐欺師はアプリのシステムをハッキングしておき、私達からの署名を待ち受けます。
そして署名が来たら、プログラムが処理する前にその署名の内容を
「アプリにウォレットを接続じゃなくて、俺達のウォレットへ送金に書き換えちゃえ!」
とすることで、強制的に詐欺師のウォレットへ送金することにされてしまうんですね。
私達は公式のサービスでウォレット接続に同意しただけなのに、詐欺師へ送金に同意したと無理矢理に書き換えられてしまうんですね。
ハッキリ言ってどうしようもないですよね。
こっちとしてはキチンと公式サービスを、何の不審点もない状態で利用しているだけなんですから。
特に仕組みや詐欺師のメリット的に、一番狙われているのがsolanaチェーンだそうです。
そう聞くと
「じゃあsolanaチェーンはしばらく使わない方がいいの?」
と感じるかもしれませんが、そういうわけでもありません。
ということで、
「適正な公式の署名をしても途中で書き換えられちゃうんじゃ、そんなのどうしようもないじゃんか!」
というビットフリップ攻撃をある程度防ぐ方法について見ていきましょう!
ビットフリップ攻撃を防ぐ方法とは?
<①ファントムウォレットを使う>
まず一つ目で、誰でも簡単に出来る対策としては
『ファントムウォレットを使う』
です。
ファントムウォレットはsolana系で最も使われている代表的なウォレットです。
以前はsoalanチェーンにしか対応していませんでしたが、現在はETHとの互換性も備えていますので、これ一つで幅広くweb3サービスを利用できます。
流石ビットフリップ攻撃の標的にされていると名指しされているだけあり、対策が早いです。
既に現在わかっているビットフリップ攻撃を行う悪質なプログラムには対応済だそうです。
これが現時点では一番確実で、楽な対策方法と言えます。
他の方法は違和感に気付くという、ちょっとレベルの高い方法になります。
その分だけ、他の詐欺手口でも活用できますので、一応紹介しておきます。
<②使う前にそのサービスの公式発表を全て見る>
ちょっとレベルの高い対策方法として
『サービスの公式発表を全て見る』
があります。
詐欺被害が出ている場合や、不正アクセスがあった場合は、公式がそのことを発表しています。
そのため公式から出されている発表の内容を見るのは詐欺被害を避ける上で重要になります。
ただし、ビットフリップ攻撃を始め、その他にも公式アカウントをハッキングして奪ったうえで行う詐欺手口は複数存在します。
そのため、それらに対応するためには一つの場所だけではなく、全ての情報を見る必要があるんですね。
そもそも公式からの発表部分すらハッカー(厳密にはクラッカーですかね?)は書き換えられるわけですからね。
とはいえ、今までそのような手口を見ている限り、全ての公式部分を書換えは出来ていません。
特にディスコード等のコミュニティの公式部分は流石に操作しきれていません。
エックスなどのSNSは真っ先に書き換えられますので、SNSだけを見て公式発表と信じるのは少し危険かもしれませんね。
<③そのサービスのSNSなどでの挙動を見て違和感を察知する>
最後は最も経験や積み重ねが活きてくる、一種のスキルと読んでも良いレベルのモノですが
『そのサービスの公式の挙動を見て違和感に気付く』
です。
詐欺師がハッキングして、偽情報を出しているとどこかに違和感が生じます。
「ここの公式がこんな言動するかなぁ?」
「なんで急にそんなキャンペーンを始めたの?」
「なんか、具体的には言えないんだけど、どこか微妙に違和感があるんだよねぇ」
みたいに気付ければ、ハッキングを受けている可能性に気付けます。
そのためには、そのサービスの発信に普段からある程度触れている必要があります。
これは介護職なら何となく理解してもらえると思います。
介護の世界には、熟練者になると
「言葉にできないけど、どこか微妙に違和感がある。」
という機微に気付ける特殊能力が存在しますからね。
介護職のその特殊能力は熟練度にもよりますが50~70%くらいの確率で当たっています。
医療系の人では気付かないその微妙な違和感を信じて受診させると、
「命に係わるレベルの大病が発見された!もう少し気付くのが遅れていたら手遅れだった!」
なんてこと、結構あるあるなんですよね。
そのようなスキルはweb3詐欺を防ぐ上でも有用だということです。
これは別に介護職しか身につけられないスキルではなく、普段から触れていれば違和感には気付けるようになっていきます。
これらのアカウント乗っ取りによる詐欺は、それを行う詐欺師側も高度なスキルを必要としますので、そこまで多い手口ではありません。
しかし、流行りに乗っている限りは遭遇する可能性は決して低くありません。
詐欺師は流行りで注目されている部分を狙ってきますからね。
是非、これらの対策を講じて出来るだけ詐欺被害に遭わないようにしていきましょう!
私がweb3に身を置いてから早7年以上。
その間に私自身が様々な詐欺被害に遭ってきた一人のため、本ブログでは詐欺に関する情報は充実させています。
頭でっかちな机上の知識だけではなく、実体験やそこから生じた危機感による詐欺情報。
そんな他のweb3周りの詐欺に関しても知りたいと思ってくれた貴方はこちらのカテゴリーからどうぞ。
最後に
ブログは基礎知識を主に配信しています。
リアルタイムのトレンドや時事的な最新情報はSNSとコミュニティ内でほぼ毎日配信しています。
今のweb3周りの最新情報を知りたい貴方は是非フォローやコミュニティ参加を検討して下さい。
読んでくれて、ありがとうございます。