衝撃のチムニータウンDAO事件
おはようございます。🐤
今朝のチムニータウンDAOで起きた事件、みなさん被害はありませんでしたでしょうか。被害にあってしまった方はご愁傷様です。m(_ _)m
なんとAdmin権限のあるアカウント、見慣れたリーダーのアカウントから発されたメッセージということで、安心してクリックしてしまった人も多いのではないでしょうか。
おそらく(推測ですいません)発端はAdmin権限のあるアカウントが乗っ取られたことが原因で、そのアカウントで偽のAdminアカウントを作り、被害が広まったのだと思います。
まず基本、クリックする側が注意すること
とりあえずURLは踏まないということです。
今回はよく知っているリーダーが発したメッセージだったので、安心してクリックしてしまった人が多いと思います。
でもよく見てください。めちゃめちゃ怪しい日本語、なぜこのタイミングという時間、あげく見たことのURL、そしてみなさんの反応(スクショとれていないですが、✕とか☠のマークがたくさんついていました)これはダメなやつです。
そして、リンクの先でなぜか「SetApprovalForAll」命令にサインをさせられます。Mintにそんな命令必要ないはずです。怪しさ満点に気づいてください、無理なのかな~💦
システムで解決…できればいいんですけど、システムができるほどたくさんの被害者がでてからではなくて、「先駆者でも」自分で気づけないといけないですよね。特に今のタイミングはまだまだブロックチェーン黎明期です。
とりあえず僕が思いつく限りのシステム的な再発防止策をあげておきます。
誰でもできる再発防止策
Discordの管理者になっている人は特に、一般の人も、パスワードの管理と2要素認証は徹底することです。
やりがちだけど危険なパスワード
他のサービスと同じID、パスワードの使いまわし
⇒セキュリティが甘いサービスのパスワードが総あたり攻撃を受けて破られたら、他のサービスにも使われる短いパスワード
⇒総あたり攻撃で破られやすいあるあるパスワード
⇒誕生日、123456、qwerty、IDと同じ、メールアドレス
今は誰もがDiscordの管理者になってもおかしくないです。影響力のある管理者のアカウントが乗っ取られたらどうなるかが今回の事件でわかりました。ほんとうに気をつけましょう。
また、一般の人でもフォロワーさんがたくさんいたり、お友達がたくさんいたりする場合があります。あなたからのメッセージだと信頼して、裏切られた友人のことを少し想像してみてください。
特に「他のサービスと同じID、パスワード」の使いまわしは、思っているよりも3倍危険です。あなたのことですよ!
パスワード管理
安全なのは少なくとも8文字以上、できれば12文字以上のランダムな英数字混じりのパスワードです。
自分で管理(紙)
めんどうだけど確実なのは、パスワード帳を用意してしっかりメモし、金庫などに保管することです。また、記憶に頼るなら「決まったパスワード+サービス名の一部」にするのもいいでしょう。例えば「Hiyo123twittr」などです。たとえ簡単でも自分なりのルールを決めてパスワードにすることで、だんぜん被害が少なくなります。
パスワード管理アプリで管理
パスワード管理アプリを信頼できる方は「1password」や「Bitwarden」などを使用するといいでしょう。
ちなみにパスワードの総当たり攻撃にかかる時間は次のようなものだそうです。
2要素認証の設定
パスワードの他に、SMS(携帯電話のショートメッセージ)やGoogle認証などの認証アプリを設定することがとても有効です。
2要素認証とは何かざっくり説明すると、スマホをワンタイムパスワードの生成機として使うものです。(スマホじゃない専用機もあります)
つまり、パスワードの入力+「2要素認証」の二重で身を守ることができるので、物理的にスマホを見られない限り安心です。
方法としては、SMSやGoogle認証アプリなどいくつかあります、サービスによって利用できる2要素認証が違うので、サービスが提供する方法を選んでください。⇒2要素認証の設定のしかた(Discord/Twitter)
最終的には人の対策
耐性の高いパスワードと、2要素認証を使うことで、セキュリティとしてはほぼ完ぺきです。
それでも被害はゼロにはなりません。システムでほぼつぶせるのは確かで、それはやるべきなのですが、上のように「パスワード」と「2要素認証」の対策をしたうえで、それでも結局は人が自分でミスってしまうのです。
寝ぼけている時、酔っている時、あわてている時、「なぜかログインできなかった」から「もう一度ログインしないといけない」という状況になった時、あなたは「あれっ?」と踏みとどまることができますでしょうか。
それがブラウザだったとしたら要注意です。偽サイトの可能性があります。そのままパスワードと2要素認証を入力してしまうと、即時にあなたのアカウントにログインされてそのまま乗っ取られてしまいます。
SNSのログインを促される時点で「あれっ?」と思い、そこで踏みとどまるために、自分で何かできることはありますか?
例えば「紙のパスワードを見るために金庫に行かないといけない」とか「別のスマホの2要素認証アプリを見ないといけない」とか。その間に冷静になれる何かが。
目覚まし一つで起きることができる人や、目覚ましを遠くに置いてセットしないと起きることができない人、いろんな人がいますよね。こんな物理的なしかけが必要な方は、個性にあわせてぜひ自分にあったしくみを考えてほしいです。
「うまい話」が落ちていたとき、それに飛びつきたいと思ったときは、とにかく考えてください、想像力を働かしてください。
アカウントを乗っ取られるとどうなるかは、今日あった事件のとおりです。自分の友人、知人、家族、コミュニティのメンバー、フォロワー、みんなから信頼を失います。
「他人事ではなく」自分に起こった出来事だと想像力を働かせてみてください。冷や汗をぞんぶんにかいてみてください。絶望を感じてみてください。「もっとちゃんと対策をしていればよかった」と後悔してみてください。
まとめ
【参加者側】
まずURLは踏まない
踏むときはたとえ公式でも、信頼できる人でも、その先を確認して
【乗っ取られないために】
パスワードの耐攻撃性を高める(8文字以上英数混じり)
2要素認証を使う
最終的には人が一番のセキュリティホールです。どんな丈夫な金庫でも気づかないうちに鍵を盗まれてたらダメです。どうしたら安全か、常に考え、調べてください。詐欺にあった未来に想像力を働かせて疑似体験をしてみてください。セキュリティについて友人と日常の話題にできたら最高です。
今回のニュースでセキュリティの意識が高まることを望みます。
こんな危険な世界、それでも人は自由を求めます。
というわけで今日の内容は以上です。説教くさくてごめんなさい、何かの役にたてたらうれしいです。
それではまた、DeFi~(@^^)/~~~