コピーした瞬間に書き換わる｜クリップボードハイジャッカーとは

ビットコインを送金するとき、アドレスの確認はどうやっていますか。先頭と末尾の数文字だけ見て「たぶん合っている」と判断して、送金ボタンを押していないでしょうか。

その習慣を、あるマルウェアは正確に狙っています。

コピーして貼り付ける、その一瞬に

「クリップボードハイジャッカー」と呼ばれるマルウェアがあります。感染したPC上でビットコインアドレスをコピーすると、クリップボードに保存された文字列がリアルタイムで攻撃者のアドレスへ置換されます。操作音も、エラーメッセージも出ません。画面上は何も変わっていないように見えます。

2018年、セキュリティ研究者の調査によって、1つのサンプルだけで230万件超の暗号資産アドレスを監視リストに登録したマルウェアが発見されました。アドレスのパターンを自動認識して書き換える仕組みが、少なくとも2018年の時点ですでに実用レベルで存在していたということです。現在はさらに高度化していると考えるのが自然です。

先頭と末尾しか見ない、人間の限界

ビットコインアドレスは「1A1zP1eP5QGefi2DMPTfTL5SLmv7Divf」のような34文字前後の英数字列です。この文字列を全桁照合するのは、人間にはほぼ不可能に近い作業です。

攻撃者はこの心理を計算しています。置き換えるのは中間部分だけです。先頭と末尾は本物のアドレスのまま残しておくことで、目視確認をすり抜けます。あなたは「先頭が合っている、末尾も合っている、問題ない」と判断して送金ボタンを押します。その瞬間、ビットコインは攻撃者のウォレットへ向かって飛び立ちます。ブロックチェーン上の送金は不可逆です。気づいたときにはすでに手遅れです。

取引所への出金操作でも同じことが起きます。「ハードウェアウォレットのアドレスをコピーして、取引所の送金画面に貼り付ける」という操作をする以上、必ずPCのクリップボードを経由します。そのPCが感染していれば、ハードウェアウォレットを所持していること自体は何の意味も持ちません。

ハードウェアウォレットの「本当の使い方」

ハードウェアウォレットには、デバイス本体に独立した画面があります。この画面はPCのOSから物理的に切り離された環境で動作しています。つまり、PCがマルウェアに感染していても、デバイス画面の表示は書き換えられません。

送金確認の際に表示されるアドレスを、PCの画面ではなくデバイス画面で直接確認すること。これがクリップボードハイジャッカーに対する唯一の有効な防御です。

逆に言えば、ハードウェアウォレットを持っていても、デバイス画面での確認を省いている限り、この攻撃に対してはほぼ無防備のままです。機器を持つことではなく、正しい手順で使うことが防御の本質です。高額なデバイスを買って安心してしまうのが、最も危険なパターンです。

油断が生まれやすい3つの場面

特に確認を省略しやすいのは次のような場面です。

• 急いでいて、操作を素早く終わらせたいとき
• 送金額が少なく「小額だからまあいいか」と思うとき
• 何度も繰り返して操作に慣れ、確認が形骸化してきたとき

小額の送金で感染テストを行い、成功を確認してから大きな金額を狙う手口も報告されています。「今回は少額だから」という判断が、次の大きな被害への入り口になります。

今日からできる1つのこと

送金前に必ずハードウェアウォレットのデバイス画面を確認する。これだけです。先頭4文字、中間部分、末尾4文字を順番に照合する習慣をつけてください。

面倒に感じるかもしれません。しかしビットコインの送金は取り消せません。その1回の確認を省いたコストが、保有資産のすべてになり得ます。確認に使う10秒が、あなたのビットコインを守る最後の砦です。

※本記事は一般的な情報提供を目的としており、投資助言ではありません。