Ethereum Foundationは7月2日(現地時間)、「blog.ethereum.org mailing list incident|Ethereum Foundation Blog」において、自社のメーリングリストからフィッシングメールが送信されたと発表した。これまでのところ、フィッシングメールによる被害は確認されていないとしている。

blog.ethereum.org mailing list incident|Ethereum Foundation Blog

○フィッシングメールの内容

Ethereum Foundationの発表によると、フィッシングメールは2024年6月23日午前0時19分(協定世界時)、「updates@blog.ethereum.org」から35,794件のメールアドレス宛てに送信されたという。内容は「Lido DAO」とのコラボレーションを発表するもので、年利6.8%の暗号資産への投資を呼びかけたとされる。

本事案のフィッシングメール 引用:Ethereum Foundation

フィッシングメールの最後に表示されるリンクをクリックすると、悪意のあるWebサイトに誘導される。このWebサイトには暗号資産ドレイナーが仕掛けられており、だまされたユーザーがウォレットのトランザクションを開始するとすべての資産を窃取される。

本事案の悪意のあるWebサイト  引用:Ethereum Foundation

○緊急の対策および攻撃の詳細

Ethereum Foundationは攻撃の検出後、速やかに次の対策を実施したとしている。

攻撃者による追加のメール送信を阻止

フィッシングメールのリンクをクリックしないように警告メールを送信

攻撃者が使用した侵害経路を遮断

悪意のあるWebサイトを複数のブラックリストに登録

また、攻撃について調査を実施し、以下の事実を確認したと報告している。

攻撃者は攻撃対象のメールアドレス一覧を事前に用意しており、これをメーリングリストにインポートした

攻撃者はメーリングリストからユーザーのメールアドレス3,759件を窃取した

攻撃者が用意したメールアドレスと、メーリングリストに存在していたメールアドレスを比較すると、81件を除き重複していた

フィッシングメール送信後のトランザクションを調査したが、被害者は存在しないとみられる

○今後の対応

Ethereum Foundationは同様の攻撃を回避するため、一部のメールサービスを他のプロバイダーに移行すると発表した。また、社外のセキュリティチームと協力して調査を継続するとしている。

今回、Ethereum Foundationはは適切な緊急対策により被害をゼロに抑え込んでいる。これにはユーザーの適切な対応も影響したと考えられるが、初期対応の成功例と評価することができる。オンラインサービスを展開している企業は、今回の件から参考にできる対策がないかを確認し、同様の事案発生時に速やかな対応がとれるよう訓練しておくことが望まれる。