コインチェックへの不正ログイン

先月4月28日、暗号資産交換業大手であるコインチェックのＸ（旧Twitter）のアカウントが第三者に不正ログインつまり乗っ取られ、全サービスを一時停止しました。

取引に係る基幹システムへの侵入は確認されなかったようですが、システム的にも強固である暗号資産交換業者の公式SNSアカウントの乗っ取りという衝撃もさる事ながら、システムへの侵入・攻撃ではなく、公式SNSからの投稿でフィッシングサイトへ誘導するという手の込んだやり口に驚きました。

今後、別の業者で同様の事象が起こらないとも限りませんので、今回のコインチェックのX（旧Twitter）アカウント乗っ取りからフィッシング詐欺に至る流れをまとめておきます。

① 公式アカウントの乗っ取り

• 攻撃者がコインチェックのX公式アカウントのログイン情報を何らかの手段（パスワード流出、ソーシャルエンジニアリング、X自体の脆弱性など）で入手。
• アカウントを奪取し、正規のコインチェックになりすます。

② フィッシング投稿の作成

• 乗っ取った公式アカウントから「重要なお知らせ」や「特別キャンペーン」などのもっともらしい内容で投稿を行う。
• 例：「コインチェックユーザー限定！無料でBTCがもらえるチャンス。今すぐこちらのリンクから参加👉[フィッシングサイトURL]」

③ フィッシングサイトに誘導

④ 個人情報や秘密鍵の入力を促す

• フィッシングサイト上でログイン情報（メールアドレス・パスワード）や二段階認証コード、あるいは秘密鍵・シードフレーズの入力を促す。
• 例：「アカウント認証のため、以下に情報を入力してください」

⑤ 情報の窃取と不正アクセス

• 入力された情報は即座に攻撃者側に送信され、ユーザーのコインチェック口座に不正ログイン。
• 仮想通貨が盗まれたり、さらなる詐欺に利用される。

⑥ 追加被害の拡大

• 攻撃者は取得した情報を使い回し、他の取引所や関連サービスへの不正アクセスも試みる。
• 乗っ取ったユーザーのSNSなどからさらに詐欺投稿を拡散することも。

この手口は「信頼できる公式アカウントが発信している」という信頼性を悪用するため、非常に被害が広がりやすいです。

対策として：

詐欺の手口は刻々と巧妙化しています。
「自分は大丈夫！」と過信しないように、便利なツールでも利用する際には上記の注意点を必ず確認しましょう！