Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

Coinbaseは多要素認証をバイパスされた

日本でもサービス提供をしている世界2位の仮想通貨取引所Coinbaseが3月~5月に顧客の暗号通貨ハッキングキャンペーンの攻撃を受けていた事を発表しました。

www.bleepingcomputer.com

今週影響を受けた顧客に送信された通知の中で、Coinbaseは、2021年3月から5月20日の間に、攻撃者がCoinbaseの顧客アカウントを侵害して暗号通貨を盗むためのハッキングキャンペーンを実施したと説明しています。

攻撃を実行するには、攻撃者はCoinbaseアカウントに関連付けられている顧客の電子メールアドレス、パスワード、電話番号を知っており、被害者の電子メールアカウントにアクセスできる必要があるとCoinbaseは言います。

(中略)

「上記の情報があっても、Coinbaseアカウントにアクセスするには、追加の認証が必要です」と、BleepingComputerが閲覧した顧客へのCoinbase通知について説明しました。

「しかし、この事件では、二要素認証にSMSテキストを使用する顧客の場合、サードパーティは、SMS二要素認証トークンを受信して​​アカウントにアクセスするためにCoinbaseのSMSアカウント回復プロセスの欠陥を利用しました。 」

 

公式発表(coinbase)

Unauthorized Access to Your Coinbase Account 9/24

 

キタきつねの所感

日本語リリースは(まだ)見当たりませんし、侵害に関する米国での顧客通知のひな型を見ると、日本のユーザーが含まれている様な記載には見えませんでしたので、被害は米国側の限られた顧客だけだったのかと思いますが、世界100カ国、約6,800万人の顧客の内、6,000人以上が暗号通貨を盗まれる被害に遭った様です。

f:id:foxcafelate:20211002081533p:plain

 

暗号通貨取引所は、ハッカー(攻撃者)の攻撃対象となりやすいのは今さら言うまでもありませんが、世界第2位のCoinbaseはセキュリティ対策も当然の事ながらしっかりしていると思われていた中、今回狙われたのが「多要素認証」の脆弱性であった点が気になりました。

 

侵害通知の内容を見ると、Coinbaseは多要素認証を導入しており、一般的に言えば十分な不正アクセス対策が実施されていた事が分かります。そして多要素認証を構成する重要な1要素目であるIDとパスワードに関しては、Coinbase側のシステムが侵害されて認証情報が漏洩したという事実は無い様で、フィッシングやソーシャルエンジニアリング等、別で漏えいした認証情報が用いられた可能性を示唆しています。

 

※参考:MalwareHunterTeamの今年1月の投稿(Coinbaseのフィッシング)

 

※この侵害通知には書かれていませんが「パスワードの使い回し」も原因として十分考えられるかと思います。

 

何が起こったのか?
残念ながら、2021年3月から5月20日の間に、お客様は、第三者によるコインベースのお客様の口座に不正にアクセスし、お客様の資金をコインベースのプラットフォームから移動させようとする第三者のキャンペーンの犠牲になりました。
プラットフォームの外に移動させられました。お客様を含め、少なくとも6,000人のCoinbaseのお客様が、ご自身の口座から資金を引き出されました。
これらの第三者は、お客様のCoinbaseアカウントにアクセスするために、まず、お客様のCoinbaseアカウントに関連付けられた電子メールアドレス、パスワード、電話番号を事前に知る必要がありました。これらの第三者は、お客様のCoinbaseアカウントに関連付けられた電子メールアドレス、パスワード、電話番号を事前に知り、お客様の個人的な電子メール受信箱にアクセスする必要がありました。
個人のメールボックスにアクセスする必要がありました。これらの第三者がどのようにしてこれらの情報にアクセスしたのかは確定できませんがこの種のキャンペーンでは、通常、フィッシング攻撃やその他のソーシャルエンジニアリング技術を用いて被害者を騙し、悪質な業者にログイン情報を無意識に開示させることがあります。我々はこれらの三者がCoinbase社からこれらの情報を入手したという証拠は見つかっていません

 

こうしたIDとパスワード漏えいについては、他のインシデントでも同様な原因ではありますが、2要素目が侵害を受けた部分がどうであったのかは気になる所です。

 

その部分に関して、Coinbaseの通知では、以下の様に書かれています。

 

上記の情報があっても、お客様のCoinbaseアカウントにアクセスするためには、追加の認証が必要です。
お客様のCoinbaseアカウントにアクセスするためには、追加の認証が必要です。しかし、今回の事件では、二要素認証にSMSテキストを使用しているお客様に対して第三者がコインベースのSMSアカウントリカバリープロセスの欠陥を利用して、SMSによる二要素認証を受けました。SMSの二要素認証トークンを受け取り、お客様のアカウントにアクセスすることができました。

この第三者は、お客様のアカウントに入った後、お客様の資金をCoinbaseとは無関係の暗号ウォレットに転送することができました。

 

二要素認証は、リカバリープロセスの欠陥により・・・とあるので、想定外の部分を攻められた様に見えます。

 

この部分についてBleeping Computerの記事ではアカウント保護に関するCoinbaseのガイダンスを参照しながら、以下の様に説明しています。

アカウントの保護に関するCoinbaseの ガイドでは、セキュリティキー、認証システムアプリを使用した時間ベースのワンタイムパスワード(TOTP)または最後の手段としてSMSテキストメッセージを利用した多要素(MFA)認証を有効にすることを推奨しています。

ただし、Coinbaseは、SMSアカウントの回復プロセスに脆弱性が存在し、ハッカーがセキュリティで保護されたアカウントにアクセスするために必要なSMS2要素認証トークンを取得できると述べています。

Bleeping Computer記事より引用)※機械翻訳

 

少し読みづらいのですが、Coinbaseでは多要素(2段階)認証としては時間ベースのOTP(Google AuthenticatorやDUO)と、もう1つ、SMSベースのOTPが利用可能だった様です。

どうやら最初のOTPが使えなかった場合の代替手段としてSMS-OTPの設定が可能だった様ですが、この部分の脆弱性が今回の侵害原因だった様です。

 

因みに・・・この部分の日本語ガイダンスページがありましたので、日本ユーザーでも同様な脆弱性を抱えていた(攻撃を受ける可能性)があったかも知れません。

help.coinbase.com

 

これ以上の詳細は書かれておらず、既にCoinbase側も脆弱性を修正した様ですので、どういった脆弱性であったのかは想像の域を超えませんが、

彼らが攻撃を知った後、Coinbaseは、SMS多要素認証のそれ以上のバイパスを防ぐために「SMSアカウント回復プロトコル」を修正したと述べています。

Bleeping Computer記事より引用)※機械翻訳

 

例えば、ID/パスワードを既に漏えいした認証情報で突破した後、Google Authenticatorをバイパス≒認証出来ないとキャンセルし、既にマルウェア侵害をしていたスマホ端末、あるいはクローン端末に送付されてきたSMS-OTPを使って不正ログインを成功させる、といった攻撃だったのかと想像します。

※根拠はない勝手な想像です

 

Coinbaseの改修内容は分かりませんが、私だったら「SMSアカウント回復プロトコル」がそもそも必要なのか?をまずは再検討するかと思います。

コールセンターへのエスカレーション・・・だと問題があるのでCoinbaseはこうした代替策を残していたのだと思いますが、Google Authenticatorなどに比べて、やはり脆弱のプロトコル(※SMS-OTPはNIST推奨から外れています)であると思いますので、再検討(廃止又は追加セキュリティ対策実施)が必要な気がします。

 

次に考えるとすれば、2段階認証ではなく、ID/Passwordと同時に2要素目の認証(OTP)を入力させる方式を検討するかと思います。

技術的な困難さ、あるいはユーザーからの無駄な問合せ部分の考慮などを無視して、純粋にセキュリティ要素だけを考えると、1要素目と2要素目のどちらが失敗したかを「知らせない」同時検証方式が正しい多要素認証の在り方かと思います。

 

これは決してCoinbaseだけの問題ではなく、代替手段が脆弱な部分を”突く”攻撃どの会員サイトにも発生する攻撃だと思いますので、想定を超える「バイパス」が発生してないか、定期的に第三者も交えて検証する事をお勧めします。

 

参考:現在のCoinbaseのログイン画面(2段階認証を採用している様に思えます)

f:id:foxcafelate:20211002090523p:plain

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 仮想通貨泥棒のイラスト

 

更新履歴

  • 2021年10月2日 AM