暗号資産取引所「Kraken」とセキュリティ企業、資産窃取で対立
マイナビニュース / 2024年6月21日 9時47分
The Hacker Newsは6月19日(現地時間)、「Kraken Crypto Exchange Hit by $3 Million Theft Exploiting Zero-Day Flaw」において、暗号資産取引所「Kraken」から300万ドル相当の暗号資産が窃取されたと報じた。
○暗号資産窃取の経緯
Krakenの発表によると、サードパーティのセキュリティ調査会社がKrakenの預金および資金調達システムに存在したゼロデイの脆弱性を発見し、この脆弱性を発見者自身が悪用したという(参考:「Kraken Bug Bounty program patches isolated bug - Kraken Blog Kraken Blog」)。
これまでのところ、Krakenはセキュリティ調査会社の企業名や、ゼロデイの脆弱性について詳細を公開していない。しかしながら、脆弱性の発見者がバグ報奨金プログラムのルールに違反したこと、そして脆弱性によりアカウントの残高を増やすことができたことを報告している。
これらのことから、脆弱性を発見したセキュリティ研究者は脆弱性を報告しながら、脆弱性を悪用し、アカウントの残高を増やしたものとみられる。
The Hacker Newsによると、脆弱性を悪用したアカウントは研究者のものを含め合計3つ存在したという。研究者以外の2つのアカウントも同じセキュリティ調査会社の従業員とみられ、複数回に渡り脆弱性を悪用して合計300万ドル近くの暗号資産を不正に増やし、引き出したとされる。
Krakenが概念実証(PoC: Proof of Concept)コードの提供と、引き出した資産を返済するよう要求すると、セキュリティ調査会社はビジネス開発チームに連絡を取り、一定額を支払うよう要求してきたという。Krakenはこの要求について不正に引き出した資産を引き換えにした恐喝だと非難している。
○影響
Krakenはこの事案による顧客への影響はないと説明している。また、同様の脆弱性が今後発生しないよう、徹底したテストを実施したという。
The Hacker Newsによると、Krakenはこの件について次のように述べ、事件化に向けた行動を開始したとしている。
セキュリティ研究者に与えられる企業へのハッキングのライセンスは、その企業が提供するバグ報奨金プログラムのルールに従うことで許可される。そのルールを無視して企業を恐喝すれば、ライセンスは剥奪される。ライセンスの剥奪は、研究者自身、研究者の所属企業を犯罪者にすることを意味する。
-
- 1
- 2
この記事に関連するニュース
-
Web会議ソフトを称するアプリから複数のマルウェア検出
マイナビニュース / 2024年6月21日 8時26分
-
チェック・ポイント・リサーチ、2024年5月に最も活発だったマルウェアを発表 国内首位は先月に続きAndroxgh0st、以下多種のマルウェアがひしめく結果に
PR TIMES / 2024年6月19日 15時45分
-
誰もが信頼している製品・サービスに潜む脆弱性 まさかの「アップデートしたら感染」する事例も
東洋経済オンライン / 2024年6月17日 9時0分
-
中国が支援するサイバー攻撃、FortiGateの脆弱性を悪用して2万台超を侵害
マイナビニュース / 2024年6月13日 7時28分
-
ゼロデイ攻撃、餌食は「アップデート」甘く見る人 ソフトウェアの脆弱性突くサイバー攻撃の1つ
東洋経済オンライン / 2024年6月5日 8時0分
ランキング
-
1Windows 11、更新プログラム(KB5039302)により繰り返し再起動する問題発生
マイナビニュース / 2024年6月30日 17時16分
-
2Windowsはなぜ再起動が必要になるのか?
ASCII.jp / 2024年6月30日 10時0分
-
3【今日から】JR東日本、Suicaで30回以上買い物すると1万円相当のポイント当たる
ASCII.jp / 2024年7月1日 7時0分
-
4もはや“着る網戸”!? ワークマンのガチすぎる「虫対策スーツ」に思わず仰天 「めっちゃ欲しい」
ねとらぼ / 2024年6月30日 20時0分
-
5『ゼンゼロ』が迫る中、中国ではダークホース到来。『パルワールド』みたいなゲームも―次なるヒット作を探せ!日本未上陸の注目ゲームアプリ3選【2024年6月30日】
インサイド / 2024年6月30日 15時0分
複数ページをまたぐ記事です
記事の最終ページでミッション達成してください