Report: how cybercriminals abuse API keys to steal millions
2021/05/21 SecurityAffairs — この数年において、暗号通貨市場が爆発的に拡大し、トレーダーによる取引プロセスを効率化するためのアプリやサービスが提供され始めている。こうしたサービスを利用するトレーダーは、暗号通貨取引所のパーソナル・アカウントへのアクセスを、API キーを介してサードパーティ・プログラムに許可する。その結果、取引所にログインしなくても、売買の注文や実行を、自動的に行うことが可能になる。
それぞれの API キーのセットには、公開キーと秘密キーという2つの重要な要素が含まれている。秘密キーは、サードパーティのアプリが操作をリクエストする際の署名に使用され、そのアプリがトレーダーのアカウントにアクセスし、API キーでサポートされている操作を実行する権限があることを暗号通貨取引所に伝える。当然のことながら、API キーがサイバー犯罪者に暴露されたり盗まれたりすると、破滅的な結果を招くことになる。とはいえ、あなたの秘密 API キーを誰かが盗んだとしても、暗号通貨取引所は API を介した引き出し許可をデフォルトで無効にしているため、あなたの暗号通貨残高が誰かのウォレットに移されることはないはずだ。
暗号通貨残高のウォレット間での移動は厳しく管理され、API キーでは操作できないとのことなので、出鱈目な取引はされても、残高を盗まれることは無いわけです。安心して良いのか悪いのか、よく分からない状況ですが、この記事では、最近のハッカーフォーラムでは、盗み出された暗号通貨取引所の API キーの取引が、着実に増加しているようだという調査結果も伝えています。便利なサードパーティ・アプリには、大きなリスクが付きまとうという話です。
IoT OT Security News 