BTC
$0.00
0.00%
普通の夜が、後に世界中で知られるようになるスパイ物語に変わるなんて、まったく想像もしていませんでした。とても奇妙でありながら、同時にとても単純なこの物語を、私はまず会社のセキュリティ担当者に、そして今、皆さんにお話しすることになりました。
さらに、私のソフトウェアが認証を通過し、突然、世界中の暗号通貨ウォレットの鍵にアクセスできるようになったらどうなるか、想像するのは難しくないでしょう。ロボット掃除機と同じように。私はデータを閲覧できるだけでなく、世界中の見知らぬ人たちに属する他人のお金を操作できるようになったでしょう。しかし、順を追って説明しましょう。
私は自分の部屋に座って、ドローン技術(LiDAR、双眼視)とビデオ監視機能を組み合わせた新しい掃除機「DJI Romo」の操作を習得しようとしていました。簡単に言えば、掃除をするよりも、少し遊んでみたかったのです。そして掃除機を起動すると、別のデバイスのデータが表示されました。そして次々と。数分後には、世界中の6700台のロボットが、それぞれのシリアル番号、IPアドレス、バッテリー残量、さらには間取り図まで表示されていました。つまり、同時に、私は何千もの他人の家とそのカメラにアクセスできたのです。
ある瞬間、私はアジア、ヨーロッパ、北米など、何百ものアパートの、見えない観察者になりました。
私はこれらのロボットを意図的にハッキングしたわけではありません。単に、私の認証キーが DJI のサーバーによってユニバーサルキーとして認識されただけでした。さて、このシステムにロボット掃除機の代わりに、それぞれ数百ドルから数十万ドルものさまざまなデジタル通貨が保管された口座や暗号通貨ウォレットがあったと想像してみてください。
何億という金額を未知の方向に送金するのにどれほど短い時間で済むか想像して、私は恐怖を感じました。なぜなら、悪意のある人物は、エーテル、ビットコイン、その他のトークンを第三者のアドレスに素早く送金できるからです。しかし幸いなことに、これはあくまで仮説上のシナリオでした。実際には、私は何百万もの家のインテリアの写真や掃除機の移動経路に直面しただけで、仮想通貨口座の鍵には遭遇しませんでした。
私はすぐにアプリをオフにし、DJIへのアクセス権を元に戻し、この脆弱性について会社に連絡しました。私は犯罪者扱いされそうになりましたが、実際には、このデバイスを使って部屋を掃除しようとしただけでした。
しかし、この教訓は会社に浸透したようです。なぜなら、個人データやデジタル資産に関しては、1つのミスが想像以上に大きな代償を伴うことがあるからです。
Romo の件の後、私はこの奇妙な物語に終止符を打ったと思っていました。そう、それは私が、ドローン技術とビデオ監視機能を組み合わせた新しいロボット DJI Romo の操作を習得しようとしたところ、世界中のロボット機器をハッキングしてしまったという、あの騒がしい事件のことです。しかし、本当の興味深い展開はその後、Chainalysis のアナリストである知人から電話があり、「この件は偶然の一致だと確信しているのか?以前、サンフランシスコとラスベガスで開催されたデジタルセキュリティ会議で彼と出会い、フィッシング、ハッキングの手法、そしてすでにハッキングされた暗号通貨ウォレットについて話し合ったことを付け加えておきます。
彼は、彼らのシステムが奇妙な活動を記録したと語りました。それは、数千もの暗号通貨ウォレットへの同時アクセス試行で、それらに共通していたのは、集中認証のサードパーティサービスを使用していたことでした。しかも、直接的なハッキングの痕跡はまったく見られませんでした。ユーザーとサーバーの間の弱いリンクだけだった。私はこの件について知っていることすべて、そして私が偶然6700台のデバイスをハッキングした、もうよく知られた話を話すことに同意した。
私たちはオフラインで会いました。テーブルの上には、取引リスト、タイムスタンプ、IPクラスターが記載されたノートパソコンが置かれていました。ルートの一部は、以前はLazarus Group(暗号通貨取引所やDeFiプロジェクトへの攻撃で知られるグループ)に関連付けられていたインフラストラクチャにつながっていました。直接的な証拠はありませんでした。しかし、偶然の一致はあまりにも興味深いものでした。
Romoの脆弱性がロボット掃除機ではなく、暗号通貨ウォレットに関係していた場合、そのシナリオは壊滅的なものになっただろうと私は理解しました。システムは資金の動きを記録し、秘密鍵は永久に失われてしまうでしょう。注目すべきは、ユーザーが取引所、メーカー、ソフトウェア開発者を非難しただろうということです。しかし、真の原因はアクセスアーキテクチャの誤りでした。
我々は、その後の対応について公表しませんでした。その代わりに、私は技術的な結論をセキュリティチームに伝え、数日後にはパッチがリリースされました。専門家たちが、「ユニバーサルキー」と呼ばれる現象の発生を防ぐための次のセキュリティシステムをすでにテストしていると、手紙で通知がありました。
デジタル世界では、犯罪はハッキングから始まることはめったにありません。ほとんどの場合、それは「すべてのロックに完璧に機能する」1つの便利なソリューションから始まります。そして時には、普通の掃除機のコントローラーの電源を入れることからすべてが始まることもあります。まさにそれが、最近私の身に起こったことです。
