仮想通貨(暗号資産)のハードウェアウォレットがマルウェアに感染してハッキングされそ...助けて
『うぅ... ま、まじで怖すぎる...』
こんにちは、しちゃうおじさん(以下「しちゃおじ」)です、といつもの挨拶をしていられないくらい焦りまくっている「しちゃおじ」です。
なぜですって?
前回の記事でもちょこっと書きましたけど、「しちゃおじ」の暗号資産(仮想通貨)がハッキングされそうなのですよ!!!
と、とりあえず、ま、まずは深呼吸をして一旦落ち着いて「いったいぜんたいどんなことになってしまっているのか?」を書いていきますね。
・・・
送金額・送金先アドレスが勝手に書き換わる
まずは、以下の画像をご覧ください。
*
注目していただきたいのは、画像の奥にあるデスクトップウォレットの「Pay to(送金先アドレス)と「Amount(送金額)」です。
PCにインストールしているデスクトップウォレットの「Pay to(送金先アドレス)」及び「Amount(送金額)」と、手前に映っている黒い物体のハードウェアウォレットに表示されているSendの「送金額」及び「アドレス」が異なっているのがわかるかと思います。
「Pay to」は、“16U4BCsWYnkFqVYJWuWfEwF41cxALWXEm1”を入力(コピペ)しているにも関わらず“17Zd1KW2mQ3mvsrx6PmeMkVuvphW4taLv6”に書き換えられており、「Amount」は、“1.0”を入力しているにも関わらず“43.7”に書き換えられています。
このハードウェアウォレットでは実際の送金までに2回の確認プロセスがあるのですが、1回目の確認では「送金額」「送金先アドレス」も入力(コピペ)したもので間違いがないのですが、送金直前である2回目の最終確認になると、上記の画像のように{勝手に「送金額」と「送金先アドレス」が書き換えられてしまう}のです。
これは、とてつもなくヤバい予感しかしません。
・・・
「Amount(送金額)」を変えると挙動も変わる
『は???????? こ、これ、どうなってるんや...』と手汗が滲んでいくのと同時に、バクバクと心臓の鼓動が高まっていくのがわかりました。
実は、「しちゃおじ」は2018年に起きたコインチェック事件(ハッキングによる仮想通貨の盗難事件)の被害者でもありまして、あの時も精神的にかなりやられてしまいました。
その後、暗号資産は仮想通貨取引所に預けていては危険極まりないことを痛感して、秘密鍵をハードウェアウォレットで自己管理する形にしていたのですが、不運にもこのような「送金額・送金先アドレスが勝手に書き換わる事件」に遭遇してしまったわけです。
この現実を目の前にしてしばらくの間は、PCの電源を落とし呆然自失状態だったのですが、ハードウェアウォレットの販売元に正確な状況を伝えるためにも、幾度も「Amount(送金額)」を変更しながらハードウェアウォレットの挙動を確かめることにしました。
すると、以下のように「Amount(送金額)」が変わるとハードウェアウォレットの挙動も変わることがわかってきました。
*
「Amount(送金額)」“0.1”の場合
まず、「Amount(送金額)」“0.1”の場合です。
以下の画像をご覧の通り「Amount(送金額)」は“0.1”から“0.8”に、「Pay to(送金先アドレス)」は入力(コピペ)したものと異なるものが表示されています。
*
「Amount(送金額)」“1.0”の場合
次に、「Amount(送金額)」“1.0”の場合です。
「Amount(送金額)」を“1.0”にした場合、なぜか1回目の確認プロセスの際に、既に「Pay to(送金先アドレス)」のみが見覚えのないアドレスに書き換わってしまいました。
*
ですので、右上のボタンを長押して2回目の確認プロセスへは進んでおりません。
*
「Amount(送金額)」“10.0”の場合
最後に、「Amount(送金額)」“10.0”の場合ですが、これは非常に恐ろしいです。
*
TRANSACTION
Do you want to send 10.000002 BSV from your wallet? This includes a transaction fee of 0.000002 BSV.
『ええっ!?送金額と送金先アドレスの確認はどこにいってしまったのですか!!!』
この時の挙動があまりに怖くて心臓がバクバクしてしまったのですが、このまま右上のボタンをポチッとしてしまうと、おそらく保管している全額(MAX)をマルウェア(コンピューターウイルス)をバラ撒いたハッカーに送金してしまい“THE END”だと思われます。
あらためて上記の画像をよく見てみると、デスクトップウォレット側のポップアップメッセージも“Confirm the transaction output on your KeepKey device”から、“Confirm the total amount spent and the transaction fee on your KeepKey device”に書き換わっていますね。
この書き換わっているポップアップメッセージであれば、ハードウェアウォレットに表示されたメッセージとの齟齬もありませんので、思わずポチッとしてしまいそうです。
あまりに怖くなったので、これ以上の「Amount(送金額)」でハードウェアウォレットの挙動を確認することを止めにしました。
『しっかりと手が混んでいるし、本気で怖すぎます...』
・・・
1台だけじゃないのよ...
この「送金額・送金先アドレスが勝手に書き換わる事件」なのですが、実はもう1台のPCとハードウェアウォレットでも同様の状態に陥ってしまっています。
1台のPCとハードウェアウォレットのみの保管ですと、何かあったときに不安だし対処も難しいので、2台のPCとハードウェアウォレットで暗号資産を分散管理していたわけですが、どうやら同じマルウェアに連続感染させてしまった模様です。
なお、2台目の別PCと別ハードウェアウォレットでは、2回目の確認プロセスである送金直前の最終確認時に、送金額と送金先アドレスが以下のように書き換わってしまいます。
*
「Amount」“0.1”の場合
まず、「Amount(送金額)」“0.1”の場合です。
以下の画像をご覧の通り「Amount(送金額)」は“0.1”から“43.69”に、「Pay to(送金先アドレス)」は入力(コピペ)したものと異なるものが表示されてしまっています。
*
「Amount」“1.0”の場合
次に、「Amount(送金額)」“1.0”の場合です。
「Amount(送金額)」は“1.0”から“43.7”に、「Pay to(送金先アドレス)」は入力(コピペ)したものと異なるものが表示されてしまっています。
*
「Amount」“10.0”の場合
最後に、「Amount(送金額)」“10.0”の場合です。
「Amount(送金額)」は“10.0”から“40.0”に、「Pay to(送金先アドレス)」は入力(コピペ)したものと異なるものが表示されてしまっています。
*
このように2台目のPCとハードウェアウォレットでは、「送金額」は“43.69”・“43.7”・“40.0”と毎回微妙に異なっていて、「送金先アドレス」は「Amount」が“0.1”と“1.0”の場合は“17Zd1KW2mQ3mvsrx6PmeMkVuvphW4taLv6”、「Amount」が“10.0”の場合は“1LM97ntHcbYy1ZSp5DrcQuSFsgPNLmRDtE”と異なっています。
つまり、一定のパターンではなく様々なハッキングパターンが仕組まれているようです。
・・・
デスクトップウォレットの接続アイコンもおかしい
他にもおかしな挙動として、デスクトップウォレットの接続アイコンがあります。
通常、ハードウェアウォレットのPINを入力した後は、デスクトップウォレットの接続アイコンは、必ず以下のように「✓」が入ったものに表示が変わっていました。
*
ところが、(おそらくマルウェアに感染したと思われる)ハードウェアウォレットのPINを入力した後は、以下のように「✕」が入ったままの表示であることが多いです。
*
この接続アイコンが{「✓」表示になるか?「✕」表示のままか?}は、その都度送金を試みてみないと不明なのですが、どちらの表示になっていようともハードウェアウォレットの挙動がおかしいことには変わりありません。
『まじ、助けて... いったいなんなのよこれ...』
・・・
しかも、オフライン管理なのよ!
そもそもね!
こんなことになるのが『ぜっっった~いにイヤ』だったから、わざわざ普段使いのPCと暗号資産保管用のPCを完全に分けて管理していたのよ!
しかも、保管用のPCは銀行の貸金庫に預けていてオフライン管理なのよ!
(なんか言葉使いがおかしくなってきた)
暗号資産保管用の2台のPCとハードウェアウォレットは、年に数回だけ金庫から出してきて送金のために数分間だけインターネットに繋ぐだけですし、ブラウザでどこかのサイトを閲覧するわけでもないので今回のようなマルウェアの感染?なんて予期していませんでしたし、なんならセキュリティソフトだって『いらん』と思ったけど一応入れておいたのですよ!
もうね、やっぱり可能性としたら、知らぬ間にマルウェアに感染した普段使いのPCからSDカード(正確にはmicroSDXC)経由で、暗号資産保管用のPCにうっかりとマルウェアを運んでしまったとしか考えられません。
えっ?なんでそんなアホなことしたのって?
だって、暗号資産を送着金するアドレスって基本的に長ったらしい英数字なのでコピーペーストするしかないのです(手動でメモしたら結構な確率で間違えそう)。
で、何の気なしに普段使いのPCにてSDカードに送金アドレスをコピペして、そのまま暗号資産保管用のPCのSDカードスロットにSDカードを挿入してしまったのです。
このSDカードの使い回しで、2台のPCとハードウェアウォレットにマルウェアを連続感染させてしまったとしか今のところ考えられません。
『でもさ、ホントにこんなことで感染しちゃうものなの...?』
・・・
これまでに判明していること
これまでに判明していることを書いておきます。
まず、デスクトップウォレット単体では、今回のマルウェアの影響を直接的には受けないようです。
試しにハードウェアウォレットを使用せずに、デスクトップウォレットのみで少額を送着金テストしてみたのですが、通常通り何ら問題なく送着金ができました。
で、その問題のなかったデスクトップウォレットにて、ハードウェアウォレットを接続して送金しようとすると、やはり送金額・送金先アドレスの書き換えが起こります。
ですので、(おそらくですが)マルウェアに感染したハードウェアウォレットが、デスクトップウォレットの挙動をコントロールしている可能性が高いのでは?と思うのです。
であれば、ハードウェアウォレットを使用しなければ良い話になりますので、秘密鍵で暗号資産を救出してどこか安全なウォレットへ送金すれば良いのですが、正直なところ安全な保管方法がわかりませんし、原因を突き止めないうちに安易に動きたくもありません。
※マルウェアでハードウェアウォレットやデスクトップウォレットの挙動をコントロールすることはできても、ハードウェアウォレットの秘密鍵を盗難することはできないようです。もし、秘密鍵を知ることができるのであれば、既に「しちゃおじ」の暗号資産はハッキングされているでしょう。なお、ハードウェアウォレットに物理的に折衝できる場合は、ウォレットから秘密鍵を抜き出すことも技術的には可能のようです。
*
現在、ハードウェアウォレットの販売元にしつこく問い合わせ中でして、当初は『ハードウェアウォレット側の可能性は極めて低く、おそらくデスクトップウォレット側が原因だろう』との回答だったのですが、ここにきて『ハードウェアウォレットのファームウェアをアップデートしてみてください』と回答が変わってきています。
で、今回の事件で忘れてはいけないのが、そもそも1台目のPCとハードウェアウォレットでモバイルウォレットに送金した際は、通常通り何ら問題なく送金ができたことです。
そして、2台目のPCとハードウェアウォレットでモバイルウォレットに送金する際に、送金額と送金先アドレスの書き換えに気がついて、再度1台目のPCとハードウェアウォレットでモバイルウォレットへの送金を試みところ、今度はこの1台目のPCとハードウェアウォレットも2台目と同様に送金額と送金先アドレスの書き換えが起こりました。
つまり、1回目の送金では問題がなかったにも関わらず、2回目の送金で問題が発生した形となり、その後は何度送金を試みても問題が発生し続けている状態となっています。
これも推測でしかないのですがソフトウェアのインストール中と同様で、1台目のPCとハードウェアウォレットでの1回目の送金の際には、マルウェアの感染途中だったのではないでしょうか?
その後、再確認のための2回目の送金の際に、マルウェアのインストールが完了してしまった形です。
このあたりにつきましては、まったく知識がないので、もしマルウェア(コンピューターウイルス)について詳しい方がおりましたら、コメントからでも教えてください。
それと、PCを初期化してデスクトップウォレットを公式サイトからダウンロード&インストールし直して同環境を再構築してみたのですが、ハードウェアウォレットの挙動としては、やはり送金額と送金先アドレスの書き換えが起こってしまいます。
もし、マルウェアに感染したPCからデスクトップウォレットやハードウェアウォレットの挙動をコントロールしているとしたら、この問題はOSの初期化で解決しているかと思うので、やはりハードウェアウォレット自体がマルウェアに感染している気がします。
とは言ってみたものの、BIOS(バイオス)に感染するコンピューターウイルスもあるらしいので、この可能性については価格.comで一番安いWindows搭載PCを購入したので、そのまっさらな新品パソコンを使ってハードウェアウォレットの挙動を確認する予定です。
・・・
暗号資産の保管環境について
ここで、このような緊急事態に陥ってしまった「しちゃおじ」の暗号資産の保管環境についての詳細を記しておきたく思います。
仮想通貨に興味のない方には意味不明な内容かと思いますが、ここを読まれている方でこういったトラブルに詳しい方がおりましたら、是非ともアドバイスのほど宜しくお願い致しますm(_ _;)m
保管環境:
✓ 暗号資産(仮想通貨):BSV
✓ デスクトップウォレット:ElectrumSV
✓ ハードウェアウォレット:KeepKey
「KeepKey」は2台とも公式サイトの「ShapeShift」から購入しており、前回までの送金では何ら問題はありませんでした。
前回の送金:
✓ 1台目:2020年10月17日
✓ 2台目:2020年10月31日
前回の送金日を確認していて気がついたのですが、かれこれ1年半ほどハードウェアウォレットを使用して送金をしていませんでした。
この1年半の間は、たまに送金を受けるためのビットコインアドレスをコピペするために、何度か数分間のみインターネットに接続したくらいです(もちろん、デスクトップウォレットを開いただけですのでブラウザの使用もありません)。
さらに思い出したこととしては、そもそも今回2台のPCとハードウェアウォレットを銀行の貸金庫から持ち出したのは、送金の必要に迫られたのではなく、久しぶりに「きちんと送金ができるのか?」を確認するためでした。
ですので、余計なことをしてピンチを招いてしまったとも言えますが、こういったトラブルを乗り越えていけないようでは結局のところ資産を守れないと思いますので、「貴重な勉強の機会」と前向きに捉えて、この問題を解決していきたいと考えています。
・・・
保管環境の補足です
「どうしてデスクトップウォレットとハードウェアウォレットを併用しているの?」と疑問に抱く方もおられるかと思いますので補足です。
ハードウェアウォレットの「KeepKey」は秘密鍵の管理として使用しています。
BSVをサポートしているハードウェアウォレットはないので、BSVは「KeepKey」での保管ではなく、デスクトップウォレットの「ElectrumSV」を使用して保管をしています。
デスクトップウォレットの「ElectrumSV」だけでは、何かしらの方法でウォレットにアクセスされてしまうと暗号資産の所有権でもある秘密鍵を知られてしまうため、ハードウェアウォレットの「KeepKey」で秘密鍵を管理する形をとっています。
その他、仮に「ElectrumSV」をターゲットとしたマルウェアに感染してしまった場合、ハードウェアウォレットのような物理デバイスでの送金確認もできないため、今回のようなケースに陥ってしまったときに、何も知らずにそのまま送金してしまう危険もあります。
また、なんだかんだ言ってもハードウェアウォレットの物理ボタンは重宝します。
何かしらの方法でPCに潜入されて、「インターネット上でリモート送金されてしまうようなハッキングの心配もないのでは?」と思うからです。
・・・
今後の対処について
今後の対処については、以下を検討しています。
闇雲に動かさないで「ShapeShift」からの回答を参考にしながら、ひとつひとつ慎重に対処していきたいと考えています(「KeepKey」と「ElectrumSV」のTwitter公式アカウントにリプやDMしても無反応なんですよね...)。
今後の対処案:
✓ 新品のPCを使用して「KeepKey」の挙動を再確認。
✓「KeepKey」のファームウェアをアップグレード、又はダウングレード。
✓ 以前使用していた「Trezor」と「KeepKey」をペアリングして、「Trezor」で送金確認。
その他、『それは止めておいた方がいい!』『こんな対処法があるよ!』といったアドバイスや、BSVを保有されている方でオススメの保管方法などがありましたら是非とも教えてください。
まだ原因を特定したわけではないですが、暗号資産を守るためのハードウェアウォレットがこうも簡単にマルウェアに感染してしまうとなると、かなり「問題アリ」ですよね。
*
以上 – 仮想通貨(暗号資産)のハードウェアウォレットがマルウェアに感染してハッキングされそ...助けて – でした。
・・・