Ethereum Foundationは7月2日(現地時間)、「blog.ethereum.org mailing list incident|Ethereum Foundation Blog」において、自社のメーリングリストからフィッシングメールが送信されたと発表した。これまでのところ、フィッシングメールによる被害は確認されていないとしている。

  • blog.ethereum.org mailing list incident|Ethereum Foundation Blog

    blog.ethereum.org mailing list incident|Ethereum Foundation Blog

フィッシングメールの内容

Ethereum Foundationの発表によると、フィッシングメールは2024年6月23日午前0時19分(協定世界時)、「updates@blog.ethereum.org」から35,794件のメールアドレス宛てに送信されたという。内容は「Lido DAO」とのコラボレーションを発表するもので、年利6.8%の暗号資産への投資を呼びかけたとされる。

  • 本事案のフィッシングメール - 引用:Ethereum Foundation

    本事案のフィッシングメール 引用:Ethereum Foundation

フィッシングメールの最後に表示されるリンクをクリックすると、悪意のあるWebサイトに誘導される。このWebサイトには暗号資産ドレイナーが仕掛けられており、だまされたユーザーがウォレットのトランザクションを開始するとすべての資産を窃取される。

  • 本事案の悪意のあるWebサイト - 引用:Ethereum Foundation

    本事案の悪意のあるWebサイト  引用:Ethereum Foundation

緊急の対策および攻撃の詳細

Ethereum Foundationは攻撃の検出後、速やかに次の対策を実施したとしている。

  • 攻撃者による追加のメール送信を阻止
  • フィッシングメールのリンクをクリックしないように警告メールを送信
  • 攻撃者が使用した侵害経路を遮断
  • 悪意のあるWebサイトを複数のブラックリストに登録

また、攻撃について調査を実施し、以下の事実を確認したと報告している。

  • 攻撃者は攻撃対象のメールアドレス一覧を事前に用意しており、これをメーリングリストにインポートした
  • 攻撃者はメーリングリストからユーザーのメールアドレス3,759件を窃取した
  • 攻撃者が用意したメールアドレスと、メーリングリストに存在していたメールアドレスを比較すると、81件を除き重複していた
  • フィッシングメール送信後のトランザクションを調査したが、被害者は存在しないとみられる

今後の対応

Ethereum Foundationは同様の攻撃を回避するため、一部のメールサービスを他のプロバイダーに移行すると発表した。また、社外のセキュリティチームと協力して調査を継続するとしている。

今回、Ethereum Foundationはは適切な緊急対策により被害をゼロに抑え込んでいる。これにはユーザーの適切な対応も影響したと考えられるが、初期対応の成功例と評価することができる。オンラインサービスを展開している企業は、今回の件から参考にできる対策がないかを確認し、同様の事案発生時に速やかな対応がとれるよう訓練しておくことが望まれる。