Microsoftは5月17日、Microsoft Security Blogの記事「In hot pursuit of ‘cryware’: Defending hot wallets from attacks」において、暗号資産ウォレットを狙うマルウェアの脅威について警告した。Microsoftはこの新しい脅威を「Cryware」と呼んでいる。

「Cryware」は、フィッシングやランサムウェアのように、詐欺や脅迫によって間接的に金銭を奪い取る従来のサイバー攻撃と異なり、もっと直接的に金銭被害をもたらすタイプの脅威に分類される。これは、攻撃者にとって暗号資産の使用が、目的達成のための手段でなく、目的そのものに変化したことを意味するとMicrosoftの研究者は指摘している。

暗号資産を保管するためのウォレットアプリには、大きく分けて「ホットウォレット」と「コールドウォレット」という2つのタイプがある。コールドウォレットがインターネットに接続されない状態で暗号資産を保管するのに対して、ホットウォレットはインターネットに接続されたままの状態で暗号資産の保管を行う。ホットウォレットは特別なデバイスを使用せずに暗号資産の取引に使用できるという利点がある一方で、暗号化キーなどの情報への外部からのアクセスが容易になるというリスクを抱えている。

Crywareは、このホットウォレットを標的として、秘密鍵やシードフレーズ、ウォレットアドレスなどといった機密情報を収集する。これらの情報が一度盗まれると、攻撃者は盗み出した情報を悪用して標的の暗号資産を自分のウォレットに転送することができる。

一般的に、Crywareには次のような脅威が含まれるという。

  • クリプトジャッカー:標的のデバイスのリソースを不正に利用して暗号資産をマイニングする
  • ランサムウェア :身代金の支払い手段としてに暗号資産を指定する
  • 情報スティーラー:システムのログイン情報やキーストロークなどに加えて、暗号資産ウォレットの情報を盗み出す
  • クリップバンカー(別名クリッパー):ユーザーのクリップボードを監視し、ウォレットアドレスなどの情報を攻撃者のアドレスに置き換えることで、トランザクション中に暗号資産情報を盗み出す
  • クリップボードを監視して情報を置き換える攻撃手法(引用:Microsoft Security Blog)

    クリップボードを監視して情報を置き換える攻撃手法 引用:Microsoft Security Blog

Microsoft Security Blogでは、Crywareで使用される具体的な攻撃手法や標的になるデータなどの情報がまとめられている。同社は、Crywareの脅威を軽減するために、取引していないときにホットウォレットをロックする、ウォレットに接続されているサイトを切断する、秘密鍵をプレーンテキストで保存しない、情報をコピー&ペーストしたときはウォレットアドレスの値などを確認するといった対策を取るように呼びかけている。