CoinbaseとFirefoxの0-day Presented by フィリップ・マーチン

2019年6月17日、コインベースは、同社の従業員を狙い2つのFirefox 0dayを利用する攻撃者の試みを検知し、ブロックした。暗号通貨業界は、このような複雑巧妙化した攻撃が続くことを予測しなければならない。そこで、優れた防御姿勢を持ったインフラを構築し、私たちが確認している攻撃の情報をお互いに共有して連携することで自らを守り、暗号通貨経済を支持することができる。そこで本発表では、0 day 攻撃、コインベースが検知し対応した方法、将来このような種類の攻撃に対し周到に準備する方法について、コインベース社の情報セキュリティ最高責任者(CISO)フィリップ・マーティン氏が深く解説する。

• 00 Intro
  • 攻撃の概要
    • 十数社の暗号通貨の会社の役員クラスの200人を標的とした
  • 個人情報は、ソーシャルエンジニアリングによって収集された
• 01 Attack Timeline and Overview
  • Phase 1 Recon（偵察）
    • 約200人をリストアップし、個人的なメールアドレスを集めた
    • 企業メールではなかったため、対策ができなかった。
  • Phase 2 Weaponization（情報の武器化）
    • 情報を武器化する
    • フィッシングメールを送り込む手段を確保する
      • フィッシングの送り込みは、ケンブリッジ大学から行われた
        • 正式はドメインだった。
  • Phase 3 Delivery
    • 二つの0-day
      • CVE-2019-11707
      • CVE-2019-11708
    • よく準備されていた
      • 攻撃者は自分で攻撃方法を事前に発見していた可能性がある
        • 2つめは、新しいものだった。
  • Phase 4/5/6 Exploitation Installation & C2
    • ケンブリッジ大学に実際にあるイベントについてのメール
    • 最初のリンクはエクスプロイトがない普通のリンク
    • ケンブリッジ大学のサブドメインの個人のサイト
    • 興味のあると言う趣旨の返信をすると、個人から送られてきたようなメールの返信が来る
      • 最終的に、5人に絞り込まれ、最終メールが飛んだ。
        • そのURLもケンブリッジのアドレスだった。
          • firefoxとmac出ないと、ブラウザがサポートされていないと言う趣旨のメッセージを出すjavascriptが組み込まれていた
          • 実際の被害者は、Chromeを使用していて、Firefoxに誘導された
  • Phase 7 Actions on Target
    • 実際に攻撃者がどのような攻撃をしたのかはっきりと分かっていない。
      • エクスプロイトされた後、20分後に感知し、対応をした
        • 検知されていなかったら、どうなっていたかはわからない。
  • Attacker Info
    • 2016に活動を始め、0-day攻撃をいくつかこなしている。
    • ポーランド、日本では、報告があったが、英語ではなかった。
    • 経験と資金が豊富だったと考えられる
• 03 Response and Lessons Learned
  • Visibility
    • 可視化が重要
    • 攻撃に対しては、注力していたので、対応ができた
  • Alert
    • 高速なレスポンス
    • アラートが増えると、信頼性がなくなるため、アラートは精度がよく、行動に移せるものである必要がある。

感想

とても巧みな、攻撃だったことに驚かされた。 また、0-dayの攻撃に対して、20分で対応した点にも、非常に驚いた。

攻撃が起こる前から、精度の高いアラートや、練習をしていることで、実際に起こった場合にも、迅速に対応できたのだと思った。