2024年01月12日付のWEB3.0 SECURITYレポートです。本シリーズは、直近の攻撃トレンド、セキュリティ動向を掴むことを目的にWeb3、暗号資産、ブロックチェーン界隈で発生した直近のインシデントを振り返ります。

今回の#15では、2024年01月04日から2024年1月10日にかけて発生したインシデントに注目します。

ここ最近はチェックマーク付きの認証済み法人X(Twitter)アカウントを標的にした攻撃が相次いでおり、先週であればGoogle子会社のサイバーセキュリティ企業であるMandiantの公式XアカウントやWeb3セキュリティ企業であるCertiKの公式アカウントなど、サイバーセキュリティを専門する企業のアカウントが侵害されたほか、自動車メーカーHyundai MEAやWifi機器を扱うNetgearがXアカウント乗っ取り被害に遭遇しています。（※当該期間の対象外ではありますが、直近ではCoingeckoとCoingecko TarminalもX侵害の被害に遭遇しています。またDaaSとは無関係かと思いますが、SECの公式Xアカウントが侵害されたことも報告されています。）

侵害されたアカウントの多くはDaaS（Drainer as a Service）に関連する暗号資産を狙ったフィッシングキャンペーンを展開するために利用されており、その性質上（入手しやすい、安い、コードではなく人の認知能力の脆弱性をつくので釣りやすい.etc）、スケールしやすいということも影響して、日に日にDaaSの脅威は深刻化してきています。

また以前まではEVM経済圏を対象とした攻撃が多かったものの、昨年12月あたりからはSolanaやTronなど、EVM経済圏外の暗号資産エコシステムを標的とするようにもなってきています。

【直近のWEB3.0 SECURITY一覧】