モネロマイナーのメーカーであるCoinhiveがハッキングされ、そのコードを使用しているウェブサイトが、生成された暗号通貨を意図せず悪意のある人物にリダイレクトしてしまった。これは同社が古いパスワードの変更を忘れたためである。
アルトコインマイニング用のJavaScriptエンジンを開発するこのチームは火曜日、ハッカーが古いCloudflareアカウントのパスワードを利用してcoinhive.comのDNS設定を再構成したと発表した。これにより、ハッカーは仮想通貨マイニングコードのダウンロードを、特定のユーザーにマイニングされたサイバーマネーを誘導するようにハードコードされた悪意のあるバージョンに一時的にリダイレクトすることができた。つまり、CoinhiveのJavaScriptを埋め込んだウェブサイトは、実際には訪問者のブラウザで生成されたMoneroを盗む不正なコピーを埋め込んでいたことになる。
「coinhive.comのDNSレコードが改ざんされ、coinhive.min.jsへのリクエストがサードパーティのサーバーにリダイレクトされていました」と、同社はブログ投稿で述べています。「このサードパーティのサーバーには、ハードコードされたサイトキーを持つ改変版のJavaScriptファイルがホストされていました。これにより、攻撃者はユーザーからハッシュを『盗む』ことができました。」
コインハイブは、主要アカウントではパスワードを定期的に変更し、二要素認証を使用しているものの、Cloudflareアカウントは見落とされていたと述べている。コインハイブは、このパスワードは、2014年2月にハッキング被害に遭ったKickstarterでチームが使用していたものと同じだったと考えている。Cloudflareのパスフレーズはそれ以来変更されていなかった。
ますます多くのウェブサイトが、請求書の支払いやラインポケットのためにブラウザで暗号通貨を採掘しています
続きを読む
同団体は「深くお詫び申し上げます」と述べ、ソフトウェアのユーザーに補償を行うと表明した。計画では、サイト所有者全員に対し、1日平均ハッシュレートに基づいて、モネロマイニングに12時間分の追加クレジットを付与する。現在、モネロ1コイン(1XMR)の価値は約89ドルである。
この失態は、パスフレーズの使い回しや、あらゆるものに二要素認証を設定しないことの危険性を浮き彫りにしています。ハッキングされた様々なウェブサイトやサービスから収集された、検索可能なパスワード、メールアドレス、ユーザー名を含むデータベースは数多く存在します。そのため、複数のシステムで認証情報を使い回している場合、いずれかのシステムが侵害され、実質的にすべてのアカウントのログイン情報が漏洩した際に、最終的に発覚することになります。
数ヶ月前、このささやかなRegハッカーも似たような経験をしました。極右のツイッターユーザーのツイートにTwitterで返信した数分後、誰かが使い回し、漏洩したパスワードを使って彼のFacebookアカウントにログインしそうになったのです。幸いにも、2段階認証が有効になっていたため、この試みはブロックされました。これは、一部の攻撃者がいかに迅速に行動するか、そしてウェブ上で複数のアカウントでパスワードを使い回すことがいかに危険であるかを示す好例です。®
