ハッカーがMarkets.comに侵入するためにIDを盗み、約40万ドルを盗む

インドネシア当局は、取引プラットフォームMarkets.com内部の重大な欠陥を悪用した罪に問われているバンドン在住のハッカーを逮捕した。この事件は、暗号取引所の主要な防御メカニズムとしてのKnow-Your Customer識別の限界を一気に明るみに出した。

この攻撃により39万8000ドルの損失が発生し、悪質な行為者がいかに簡単に従来のKYCチェックを回避できるかが明らかになった。

警察はこの攻撃者をHSとだけ特定し、Markets.comの親会社であるFinalto Internationalが苦情を申し立てた後に拘束した。捜査当局によると、HSはプラットフォームの入金システムが、適切なバックエンドの検証を行うことなく、名目入力フィールドに入力した数字に基づいてUSDT残高を自動的に生成することを発見したという。

この欠陥を利用して、容疑者は複数の口座を作り、不正な残高を入金し、プラットフォームが矛盾を検出する前に資金を引き出したと報告されている。

当局はノートパソコン、モバイル機器、ATMカード、152平方メートルのショップハウス、そして420万ドル以上に相当する266,801USDTが入ったコールドウォレットを押収した。HSは現在、サイバー犯罪と反マネーロンダリング容疑に直面しており、最高15年の懲役刑が科される可能性がある。

身分証明書だけではもはや不十分 - 「合法的」KYC口座が攻撃の餌食になる理由

金銭的な損失は大きかったが、攻撃の背後にある方法は、暗号業界全体でさらに大きな懸念を呼んでいる。インドネシアのサイバー犯罪捜査当局によると、HSは、一般にアクセス可能なインドネシアのウェブサイトから取得したスクレイピングされた国民IDデータを使用して4つのアカウントを作成することにより、Markets.comのKYCチェックを通過した。このデータは本物であり、公式のIDフィールドと一致したため、プラットフォームのオンボーディング・プロセスは異常なしと判定した。

サイバーセキュリティの専門家によれば、このパターンはますます一般的になってきているという。サイバーセキュリティ・コンサルタントのDavid Sehyeon Baek氏は、今日の攻撃者が、リークされた政府のID、企業の違反、AIが生成した文書などの膨大な地下データベースを利用して、標準的なKYCシステムでは検出がほぼ不可能な「超リアルな合成ID」を組み立てていることを説明した。

さらに、こうしたIDキットの精巧さは、HSが単独で行動しているのではなく、「より大きな地下データのエコシステムに組み込まれている」ことを示していると付け加えた。ペク氏は、犯罪者がAIツールを使って偽造文書を精製し、ID作成を自動化しているにもかかわらず、業界はKYCを意味のあるセキュリティ障壁としてではなく、チェックすべき規制上の箱として扱ってきたと主張する。

このケースは、取引所がいかに時代遅れの前提、つまりID＝信頼に依存し続けているかを示すものであり、その一方で、脅威の主体はユーザーのオンボーディングとはまったく関係のない脆弱性を利用している、と同氏は言う。

真の弱点暗号プラットフォームを支えるWeb2インフラ

Markets.comの事件は、攻撃者の行動におけるより広範な変化の象徴でもある。ハッカーたちは、難易度の高いプロトコルの悪用やスマート・コントラクトの流出を試みるのではなく、依然としてほとんどの暗号プラットフォームを動かしている、よりソフトなWeb2の裏側に目を向けている。

Markets.comの脆弱性は、入金入力システムにおける単純なバックエンドロジックの欠陥であり、フィールドに入力された数字のみに基づいて、任意の額のUSDTが口座に入金されることを可能にしていた。

Baek氏によると、この攻撃は「非常に明確な業界トレンド」に合致しており、犯罪者はビジネスロジックの不具合、アクセス制御の破綻、脆弱なAPI、不十分なバックエンドの検証をますます標的にしているという。このようなギャップが悪用されるまで話題になることはほとんどありませんが、セキュアなエンジニアリングの実践よりもコンプライアンス・チェックリストを優先する取引所では依然として一般的です。

専門家は、このような脆弱性は、日常的なコード監査、厳格なバックエンド検証ルール、継続的な行動監視システムによって軽減できると警告している。取引所は現在、デバイスのフィンガープリンティング、ネットワーク・インテリジェンス、クロスプラットフォーム監視を採用し、疑わしい行動を引き出しが発生するずっと前に特定するよう求められている。

Markets.comの情報流出事件は、暗号業界にとって困難な真実を浮き彫りにした：KYCはセキュリティとイコールではなく、本人確認だけでは実データ、AI支援ツール、バックエンドの欠陥を利用した攻撃者からプラットフォームを守ることはできない。盗まれたIDデータセットが増加し、攻撃者がますますWeb2のエントリー・ポイントを標的とするようになるにつれ、取引所はコンプライアンス主導のセキュリティ・モデルを、よりダイナミックで技術的かつ継続的な防御に置き換える必要がある。

今のところ、Markets.comのハッキングによる影響は地域全体に波及し続け、インドネシアのプラットフォームだけでなく、KYCを主な盾とするグローバルな取引所への警鐘となる可能性が高い。次世代の暗号の脅威は、名前やID番号の確認では阻止できないだろうし、適応に失敗した取引所は近いうちに同様の攻撃にさらされることになるかもしれない。