Gift history
Please access after login.


Wait a moment...

Symbolを悪用した架空請求詐欺の注意喚起および対処法

3371
0
2021-09-30 17:40:47
4100 mXYM
(3)


ライトユーザー、新規の方を狙った悪質なスパムが送られています。
知ることで多くのリスクを防げます。
継続的に注意喚起を促すため、今回の一件をまとめさせていただきました。
”アグリゲートトランザクション”を人に説明できる自信の無い方は「狙われる側」に居ます。
是非ご一読ください。

目次

事件の内容&アグリゲートトランザクションについて
対処方法
詐欺にあわないために

 

事件の内容

まずこれは紛れもない事件です。
悪意を持って他人の隙につけこみ資産を引き出す犯罪行為です。
ただ、中央集権ではないブロックチェーンの特性上、犯行内容は追えても現実世界の個人を特定することは難しいです。
Symbolの機能を理解することと事例を把握することは自衛する上で非常に大切です。
Symbolの機能の説明を交えながら今回の内容をまとめておきます。

まず前提に、ハーベストは設定にかかる手数料(1XYM程度)以外でXYM残高の送金は不要です。
ステーキング等とは異なりロック期間がありません。
そこを認識したうえで、Symbolの機能の一つである、アグリゲートトランザクションについて理解する必要があります。

アグリゲート(Aggregate)=「いろいろなものを集めた」「集合」という意味です。

トランザクション(Transaction)=「処理」「取引」という意味です。

通常のトランザクションは署名により A→B のひとつの取引が実行されます。
アグリゲートトランザクションでは A→B,C,D といった複数名への送金(複数の取引)を内包し同時に実行することができます。

他にも
A→B,B→C
A→B,B→A,C→A 等、さまざまな形の取引を同時に行うことができます。
ポイントは、「→」の左側=送金者の署名(同意)が揃うことが条件となります。
公式ドキュメントに詳細、および図解も載っていますので、よくわからない方はまずこちらを確認しましょう。
アグリゲートトランザクションー公式ドキュメント

複数の取引を内包したものをアグリゲートコンプリートトランザクション
内包する複数の取引のなかでも複数名の署名が必要な取引だった場合はアグリゲートボンデッドトランザクションと表記されます。
ボンデッド(Bonded)=複数のものを「接着する」「繋ぐ」「張り合わせる」という意味です。
公式ドキュメントにもあるように、他者の手数料を肩代りしたり、お互いの同意を持って同時にトークンの交換ができる、第三者を介さないトラストレスな取引を実行できるなどさまざまな活用ができる汎用性の高いすばらしい機能です。
ほかに現実的な例としては
ある飲食店でXYM決済をする際に、XYMを支払う場合、お客側が店舗のXYMアドレスに提示された枚数を入力して送金をする必要がありますが、このとき、送金手数料もお客側の負担になるのを避ける場合にもアグリゲートが活用できます。
店側がお客側に飲食したぶんのXYMを送金するよう同意(署名)を求めるトランザクションを作ることができます。
お客側は店側からアナウンスされたアグリゲートボンデットトランザクションに署名(同意)をするだけで、手数料を払うことなく指定されたXYMを支払うことができます。

今回の事件はこの、アナウンス元が指定したXYM枚数を請求する機能を悪用したものになります。

①被害者はハーベストの設定のため委任ノードへキーリンクを実行
②委任を有効化するタイミングで犯人からアグリゲートボンデットトランザクションが届き署名を求められる
③委任ハーベストの設定の一環と思った被害者が署名
④署名が揃ったことによりアグリゲートボンデットトランザクションが実行され、被害者から犯人へXYMが送金されてしまった

アグリゲートボンデットトランザクションの中身は
A(犯人)→B(被害者),B(被害者)→C(犯人の別アドレス)
といったものでした。

②の委任設定直後に届いたトランザクションに「委任(Delegate)」とメッセージが添えられていたため勘違いを起こしやすかった。
新規ユーザーの可能性の高いこれからハーベストを開始するタイミングに送られてきた。
といったところから、非常に悪質な攻撃です。

目指せ北海道さんがわかりやすく図解にされていました。

 

対処方法

シンプルに言えば”放置”するだけでOKです。

まず、「署名=内容への同意」という認識を強く持つことが大切です。
ブロックチェーンにおける署名=絶対に破棄できない契約書へのサインです。
内容に同意するためにはまず内容を理解する必要があります。
スパムなのか、必要な署名なのか、見分けるスキルを身につけるだけで多くの被害が防げます。
見ず知らずの人に道端で契約書にサインを求められてもサインしないですよね。
契約書へのサインは必要な場で内容を十分に確認した上で同意する場合のみ行うべきですよね。

デスクトップウォレットでは署名画面に必ずトランザクション詳細が表示されます。

 

ステータスは署名待ちの状態の場合、パーシャルと表記され待機状態となります。
赤枠部分が 架空請求の内容 の部分です。
送信者:送金元アドレス
宛先:受取先アドレス
モザイク(1/1):数量(モザイク名) ※赤字は自身のアドレスからの送金、緑字は他者のアドレスからの送金
メッセージ:デリゲート(委任)とありますがただのメッセージです。
 サービスによってはメッセージに識別記号文字列等を入れることでサービスと紐付けるものなどもありますが、重要なのは送信者、宛先、モザイクです。
見たままではありますが、送信者から宛先へ記載されている枚数のモザイクを送金する、という取引内容です。
身に覚えのない取引において送信者が自分のアドレスとなっている場合要注意です。
署名=同意してしまえば宛先への送金が実行されてしまいます。同意したのですからシステム上当たり前に。

発生当時、Symbolモバイルウォレットでは『署名』ボタンをタップするだけで署名が完了=送金されてしまいましたが、現在は『アグリゲートボンデッドトランザクションに署名できない』形に応急対応されました。

まちりさんがツイートでスクショ画像含め拡散してくださっていますので
実際の署名画面等確認したい方は一連のツイートをご覧ください。
(現在は署名画面は現れません。)


2022年現在では、モバイルウォレットの『Arcana』が対策として最も有効です。
コミュニティ発のウォレットですが、コア開発者の方々も絶賛の優れもの…!
(公式ディスコードのトップに紹介されています。)
Arcanaにはアドレスに名前をつけて登録できる連絡帳機能がありますが、自身で連絡帳に登録したアドレス以外からの署名要求は『署名画面が表示されない』ように物理的にミスをするリスクを排除してくれています。
今回のアグボン詐欺は『見ず知らずのアドレスから送られてくる』ため、わざわざ登録しない限り絶対に署名できません。


いずれにしても
●見覚えのない取引の署名を求められてもすぐに署名しない

●取引内容を必ず確認する(特に送金者とモザイク)

この2点を徹底するだけで防ぐことができます。
また、メッセージ上のURLに誘導して秘密鍵を入力させようとするスパムも存在します。
基本のキではありますが
●秘密鍵は誰にも教えない、絶対なくさない
こちらもしっかり意識していきましょう。

また、アグリゲートボンデットトランザクションはアナウンス(作成)したアドレスから10XYMがネットワーク上にロックされます。
取引が完了すれば返還されますが、期限内に署名が揃わず取引が破棄された場合10XYMは誰かのハーベストの糧として没収されます。
アナウンスできるアグリゲートボンデッドトランザクションの期限は最長でも約48時間です。
だからこそ、放置していれば被害にあうこともないのです。
なんなら犯人から他のSymbolユーザーへ10XYM巻き上げられます←

また、ブロックチェーンは『誰かが管理しているわけではない』という認識を持つことも大切です。
Symbolは非常に堅牢に作られており、さまざまなバグを開発者、コミュニティで漁り
つぶしてつぶしてVer1.0.0として『完成品』としてリリースされました。
しかし、一般に販売されるゲームソフトのように、”まだ見つかっていないバグがある”可能性も否定できません。
自分の資産は自分で守らなければならない以上、”完全な信頼”を持つことは非常に危険です。
この操作で本当にいいんだろうか?と常に思っておくことは、対システムでも対人においても自身を守ることにつながります。
今回は ハーベストの設定に偽装した架空請求詐欺 ですが、現実世界の架空請求詐欺も手を品を変えてくるように
ハーベスト設定時以外にもスパムを紛れ込ませてくる悪者が出てくるかもしれません。
●取引所からの出金直後
●NEMberArtへ入札直後、落札者決定直後
などなど、ウォレットを操作する際はスパムが紛れ込んでくる可能性を持ち慎重に対応しましょう。
こういうことがあり得る、ということを今回の事例に学び、知っておくだけでもリスクは低くすることができると思います。

他者がアナウンスしてきた、自身の送金を伴うアグリゲートボンデットに対し注意文が表示されるなどの
ウォレットの機能も検討されています。
2021年9月28日に発覚して本日9月30日にもうウォレットがアップデートされました!!
Ver.1.0.7~、他者から署名を要求された際に注意文が出るようになりました
この早さには驚きました…。開発のかたがたがコミュニティを大事にしてくれている様子が伺えます。
⇒2022年8月19日アップデート(v1.0.11~)によって連絡帳に登録されているアドレス以外からのアグリゲートボンデッドトランザクションはデフォルトでは署名できないように改良されました!(設定から変更可能)
最新ウォレットはこちら【https://github.com/nemgrouplimited/symbol-desktop-wallet/releases


テストネットでだいさんが最新ウォレットで試された画像拝借しました!
!!この署名を求めるトランザクションはあなたが作成したものではありません
心当たりがなければ署名しないでください。
□確認しましたので署名に同意します
チェックを入れたうえでPW入力をしなければ確認ボタンが押せないようになっているようです。
ワンクッションあるだけでも随分 不用意な署名を減らせるのではと思います。

親切な設計になっていくのは非常にありがたい…。
ただ、現実世界の詐欺被害がなくならないのと同じように、巧妙に仕掛けてくるのが詐欺です。
ユーザー自身が 機能を理解し可能性に対して自衛する ことがもっとも確実性の高い対策かと思います。

わからない状態はリスクであり、わかるようになれば安全になります。
調べることや人に聞くこともスキルのひとつです。
ただ、何を信じる行動するかを決めるのも自分自身です。
いくら親切な人であっても100%は信用しちゃダメですよ。
騙すつもりがなくてもその人の認識が間違っている可能性も否定できません。
聞いた意見、調べたことなどを基にしても、最終的に行動した結果起こる不都合も好都合も、被るのは自分自身ですから。

詐欺にあわないために

今回の事件以外にも人対人のやりとりがある場では、悪意を持った人間が紛れ込んできます。
詐欺にかかりたくてかかる人はいないと思います。
みんなおのおのに注意していて、それでも騙されてしまい、犯罪がなくなることはありません。
前項でも挙げていたように、

●機能について理解する
●わからないものは調べる、聞く
●資産を保持するにあたっての心構えを考える

絶対的に悪いのは悪意を持って機能を使う犯人ですが、取り締まることは非常に難しいです。
なので、ユーザーひとりひとりが理解を深め、自衛していくほかありません。
理解を深めるには以下のサイトがお勧め

トレストさんのクリプトストリームSymbol関連
特に、『NEMはSymbolでここが新しくなる!』シリーズはSymbolの特徴をわかりやすく書かれているのておすすめです。

Daokaさんのノート~次世代NEMブロックチェーン、Symbolに迫る~シリーズ
今回話題になったアグリゲートトランザクションについては(4)のコチラを必読です。

時間のあるときに一通り目を通すだけでも多くのリスクを防ぐことができるようになります。
なくなったら困る資産であるのならば、是非読んでみてください!!


また、もしも被害にあってしまってもダメージを小さくする運用も検討されるといいかと思います。
ウォレットの運用方法としておすすめの方法をご紹介します。


●『金庫』と『財布』に分けた運用
例として、10万XYM保有しているとします。
金庫ウォレットに10万弱のXYMを保管
財布ウォレットに500~1000XYMを保管

…金庫ウォレットの運用
基本的にほとんど操作しない、開示しない、入力しない
財布ウォレットの残高が少なくなってきたら財布ウォレットに補充する形でのみ使用
…財布ウォレットの運用
普段の買い物やサービスの利用による送受信に利用
小額運用とすることで万が一スパム被害に遭っても大部分の金庫保管分に影響しない

署名するということは財布を開けるということでもあるので
その隙にかっさらおうとする輩は現実世界でも0ではないはずです。
コンビニでドリンクを買うときに持ち出す財布に100万円入れている人はそうそういないはずです。
金庫に100万円、財布に5000円~10000円、財布が減ったら金庫から補充
現実世界での運用としても例えて理解しやすい運用かなと思います。
万が一財布ウォレットでスパムに引っかかってしまっても、資産の大半は無事で済みます。

さらに金庫を堅牢にするには、金庫から出金できるアドレスを制限したり、金庫に送金できるアドレスを制限するなどの
『アドレス制限機能』というメチャメチャ便利な機能がSymbolには搭載されています。
登録アドレスのみに出金するように設定すればアドレス入力ミス等によるGOXも防げます。
登録アドレスのみから受信できるように設定すれば、見ず知らずの誰かからTxが飛んでくることも防げます。
実際の制限設定方法はsayoさん先日記事にされていますので参考にしてください。
ホワイトリスト(リスト内のもののみ許可)とブラックリスト(リスト内のものを拒否)の設定ができます。
また、金庫アドレスは容易に出金できないようマルチシグで管理する方法もあります。
それぞれのオプションを設定して管理する場合は、テストネット等で設定を試してから本アドレスで実施してください。
もしくは小額ウォレットで想定どおりの制限、運用ができることを確認してからXYMを入れる等。

私自身はマルチシグのノード運用アドレスに大半を入れておいて放置
普段使い用アドレスでnemlog,クエスト,NemberArtなどのサービスを利用しています。
今のところ制限はかけていませんが、堅牢にすればするほど手間もかかるので、重点を置く位置がどの程度がちょうどいいかというのは個々人異なるかと思います。
秘密鍵の扱いについても、不安のある方は見直しをしていきましょう。(追々まとめます)


 

その他気になること等あれば、LINEのオープンチャットを作成してますのでお気軽に出入りしてください!

 

Writer
暗号通貨に関わって思ったことや出来事の雑記を綴っていく予定です。こんな時期もあったなぁって数年後に読み返すの! NEMのリアルコインについてなんかも。 フツーに日記とかも書くかもw PC関連の知識はタイピングできるレベルの一般人。普段は店舗販売で接客業しています。 そんな、ちょっと好奇心旺盛な一般人が、興味のない一般人を引っ張る方法なんかも考えていけたらなぁって思ってます。 Twitter : https://twitter.com/_nononon__

Comment
Login required to post comment
Loading...
https://symbol-sakura-16.next-web-technology.com:3001,https://symbol.harvest-monitor.com:3001,https://hideyoshi-node.net:3001,https://harvest-01.symbol.farm:3001,https://criptian-xym-node.net:3001,https://35665.xym.stir-hosyu.com:3001,https://yuna.keshet.finance:3001,https://cryptocat-xym-node.com:3001,https://misaki-xym.com:3001,https://ik1-305-12844.vs.sakura.ne.jp:3001,https://17107.xym.stir-hosyu.com:3001,https://23639.xym.stir-hosyu.com:3001,https://sym-main-01.opening-line.jp:3001,https://sym-main-02.opening-line.jp:3001,https://sym-main-03.opening-line.jp:3001,https://sym-main-04.opening-line.jp:3001,https://sym-main-05.opening-line.jp:3001,https://sym-main-06.opening-line.jp:3001,https://sym-main-07.opening-line.jp:3001,https://sym-main-08.opening-line.jp:3001,https://sym-main-09.opening-line.jp:3001,https://sym-main-10.opening-line.jp:3001,https://symbol-node-01.kokichi.tokyo:3001,https://50038.xym.stir-hosyu.com:3001,https://27423.xym.stir-hosyu.com:3001,https://angel.vistiel-arch.jp:3001,https://xym.stakeme.tokyo:3001,https://00-symbol-node.yagiyoshi.com:3001,
6BED913FA20223F8,051FAEC15105C808,73019335A785A3AE,5289A9B0DBB7EB25,6B245EAF1302E444,2C4A4893229DD0A9,63509D495CAD7B80,481D74291A71FD1F,009388A38C91A8B2,4E94920841641B77,027C6AD49DE2C9F9,29FCA5D3092205EC,56085AD9FCE150AC,7D47EE5423795E68,1FCD7C6B47C7AC5C,34F165131675B97B,2277A3D3C939E3BD,1BEE7E51C52B9E4C,7DE0FA227D5C284A,69C715D2F4E80338,5CF9D768B02E51EA,5B96E6496754C18E,35584939456EE19C,430AB6F115D709C5,202FC8C6762F1286,1DA6F5986C56CAB4,77F0C0918BDDCA75,05D935AB3DBBBDA7,3AB05B7B3373067F,383EEBD409479BDD,282E5F730EEF0F3C,108AFF21E54B77EB,0C4AAE8E82E054FD,18964001EF89D687,15BDE2DDF36FE763,01E2769C92FFB187,427C7F0474B2170B,3F2EEE17968715D5,6C0AFBA20EEBF08B,22975F2097F16D15,2A30D04FF35E8641,03ACEC4F51A71804,5235C4249928922B,2BFEB24F70B91041,741320E728843965,7C4E97850A863208,0586FF7E5ED1C680,606432C50BDE4EB5,15A6AD5E5ED6AC0E,59932634EDBF2A21,5E4F05ED77C64434,71C79278A325FF67,616EC15DE7D641A0,25C2DAB4FE687CBE,3D78B91922741293,5DC4B8DCDC4D3098,2693037B1881D5FA,178FE008F5DCE797,174A93DA9B651FBD,128B2CD071838D3E,1F5630200C5A6025,43449FF761B3DD67,4B20F46C289CA548,35DBA0A70A96615F,78CE44A425CD4514,37179FDE046FE7F2,1739E47C99BAF114,0F3B4A0F2E58703B,3C41561BE3DF7461,2AF0FBFEBF29231F,74CD75720BA4F553,1A5229DC90802C6C,0D2888CD0CBB78EE,2558F02FE439C78F,5DDD07C51EC896A7,437B094116B91BF3,6C9E7CFE33220C8F,38E1C92F412FCA96,2FB263845F59AF82,28C3C38B84138804,659821D4511185A7,7C6095DA82D3E981,70ADA95932385F9F,0BE6C51AD316BF2B,78E6ED1B6C05FD98,39534A8DFD9C0F1E,1BAF1FE1AAF90CD0,6782B8D9162D0C12,5EF22919F6EA15F7,04A3F3F5C088626A,7484B044AC8EF734,305B0ECE763A1E81,08738DB598D0BA37,6F4018163AC51F88,46650CE0C72739A8,0208FCB9186781E5,4E685399C9F8C991,77DB7D348B042A18,578ED7B270B43E64,0B34212023AA5139,479CEDAEE6FAC642,4266458B86437B4B,1F7022D092066B94,0CA28E24CB575AA6,4DCC3C025CDC0BB8,1BD05266C7410EE1,45C46BC710C187AF,7CC2C672543CA102,555BA3719D30D3B9,75C4079CCCCF3E82,66C98D947EAC56FB,1C041AB88A8D222B,79C13E9FE7DA49AB,54D872B5DB378F52,5C97B2414157B039,31E7A64CFF778586,1DFD11EEDA4662C4,18506C180280D8AB,02E95DB8811B3F7A,2D289599AF071703,17EA80052AF590B0,5239AE78AA9011CC,6B6511925501765B,2730974F2D11E9FA,08AB4E53E95E417E,1D0DD379C8C4BA49,26EE7E07E1255FAB,015FABE3F602FA91,366D7D6540335156,2D1E8E73B9F09391,043694AD272BCEBA,064335A213099492,3C40AE05D9758591,71C4BCA24A2FA6C1,20170ABD32244B78,74EBE4C9FD9C3BC8,713583F712D574FA,7C05BBBD486CF544,634D5A328A659C41,2DA0EC8CA32B7CE6,4D0ECC9F6F70D67D,7426EE72B3DFD620,3C3E58B64A8CD43C,5007CF79DF192FB2,1531F39F1B0AA8C3,5D1E928E7902404F,74599424DE012A19,52F96AC0043B02D8,0C694031CFC22C84,03D6EE58174D16DD,054B071E97323D54,2B58942A0A9D3908,7FE10DF86F32776F,1A08F9B88AE4CCF9,03CB7A99E6F6F65A,2F0BAAAD886013B2,7D8FF6C570E909C3,237ACBD2073D7C22,29498519D19B27CF,03E85F9F15A92D27,62B4F899B6DADDFF,6649A6F82740775E,1FA7CAD8017C3045,5FFB7126DD87CC5B,07039874D46F8B44,3391DD8105AD0C82,56C97E544EA9C149,6103DBFFA022249B,41E9771D99FF96A5,65CF7BE26FC7BF56,789063B9FDA7D02B,3EE026A17E4D1895,44B13D3F4EEB8AC9,248AAD9D9E2C1984,0CEDE2DEDDB4832F,5DFE51E2C6617CA4,4FAE3B092339A328,03B7E30D264E586B,3B5B8D2389EEB8C9,0058930348E8DA39,43C44AE173D50661,16E0B9B56763A2A6,43B05E6CCD87A765,33276E3A53106C11,24F35BCEA31E9AFB,49320DB27BA10BF5,01B69528B052EFA3,21C3025E1B2B9D3C,613FFCD9027A73D9,79A5BC34AE8B6314,35BFF98EA19690D4,156CDDD2D6791814,6E4E5A6C8F1ECA31,21BCF4CD26C307FF,15F6E07EAC6D5186,71A24162BA611651,0EDC8542160D8DAA,771BAE5451E881A8,1E47CA21337876B5,7688DC299D77C545,1166391DB32354A4,6A0AF7328EBBE113,38E48122C0FC8BCF,484874B2C669D6E1,4EF142A5D00BDA63,0508049897379E24,50B28C0858AE222C,75F2674CEE45E919,2F0DC3D306469BF9,5A86884742F89C7F,78F0F31776134860,1576EB985E541EA9,17D9C6FCB4FAB2A0,6B2E9EAF2632AEC8,007050CE9F59E77C,5D88028B3A9E633A,554191B46C16E4C4,5A0E1268E65E99F2,41A67647778AEA4D,7EADDBC2119EADA0,3D4235EB6FC9247D,5D25658948613563,5629D816678CF8FC,48A147A7F34C0131,46DF1D828736AFE1,748D83A906C897E4,0708BF363BA9595A,58384D5F0D793C09,531A0934DE43FBAC,1C4EEB7AD6B44AF4,383B57EBD5272C12,41F8077951D07ADF,0F52B4D356FDA824,1FE0805A112A03DF,38E8FFDFCD6510FF,0F65746CB1D7AD53,1E9E3010A1412DDB,7401A59C5DBD66A4,5FDC6383C702EC40,3B97B8CA49739205,5A799437D541B2DA,187E2C0B8F401ED9,0ACA1FDDEB9F6A07,4F2DC8BA863044C6,7D2383791D91CD04,54ACEAF1E8632DF1,7B9DC57CC154B2E0,0B7766A119D5E4B5,49D82E72E99EB836,509A58B6FDFFC197,0C1058BB20787615,581B528745FE0F3B,28D1C21EDE70206A,23A72A2876482029,22EB02FCBC661527,5A8F12439B09B33E,5FF7741F1AE008DE,220DE9C58B8E0E71,5D9D5C6BFE968E2C,3F0B0C29CFD04713,11B52399E03C7E5C,14ABF8C934D15151,7290BAEF5C9CF307,6A44EB5C0F8ED639,255AC0628631B47B,7ADA0B238BB2E29D,05E545728E183EFA,73908A9FF9A309BE,7542C49F2737C4DE,6BE5318AED3E68DB,581F8B63FDF26797,6936D8BB20F4668A,410ECE9587841E7F,149C29AC78DA6465,2181451A49AB930A,7930B6BDAED90925,311AD92AC357CFD7,14340B796150DF92,4D4C35DA96550436,1B5CF0365D451EED,7691E0E6C687B9C0,76D453D709EEE2ED,22AE5C6526EBDE2B,21EF55EAB088DE3E,3FAD71C1671AF556,7EBEF5D03311CF41,367C8B5BD73BC538,182E30BC4D588B3B,66DE982975F20E6D,66224C8828E08DD9,5477E77F11971CE0,2F8D4B55DAB027A2,5CF59ED990B042A0,520C69A467DE143D,53AF2CD5F4182C4B,24DA833B682CFF33,