1. 情報セキュリティブログ ホーム
  2. セキュリティニュース
  3. セキュリティ研究者が「Second Life」上で仮想通貨を奪う手口を実演

セキュリティ研究者が「Second Life」上で仮想通貨を奪う手口を実演

米国で行われたコンピューター技術者向けのカンファレンスにおいて、セキュリティ研究者が音声や動画メディアプレーヤーである「QuickTime」に存在する脆弱性を利用し、インターネット上の仮想空間「Second Life」上で流通する通貨「リンデンドル」をユーザーから盗み取る手口を実演したと報じられました。

セキュリティ研究者ら、「Second Life」でリンデンドルを盗む方法を披露(CNET Japan)

記事によると、セキュリティ研究者のMiller氏とZovi氏の両氏は、Second Life内で動画や音声などのメディアファイルを再生する際、ユーザーにQuickTimeのインストールを推奨する点を利用し、QuickTimeに存在する脆弱性を悪用、他のユーザーが所持している仮想通貨を盗み取る手口を実演したとのこと。

・QuickTimeに存在する脆弱性を悪用して、動画や音声などのメディアファイルに悪意のコードを挿入
・悪意のコードが仕込まれたデモ用の“わな”を作成
・Second Life内の実演用のデモサイトにて、両氏のアバターがわなに接触
・両氏のアバターが悪意のコードに感染し、所持する所持する仮想通貨が盗み取られる

記事を要約すると、デモの内容は上記のような流れであったようです。記事では、攻撃者がユーザーから盗んだ仮想通貨は、現実の通貨と交換可能なため、今後は金銭的動機を伴った悪質な攻撃が発生する可能性があると警告しています。

また、Second Lifeを利用するユーザーに向けて、動画や音声などのマルチメディアの利用を一切しないこと、あるいはファイルの再生を自動再生に設定するのではなく、最初にユーザーに尋ねるよう設定することなどを挙げています。

こうした仮想空間をターゲットに、ネットワーク経由で個人情報を盗み出そうとする手口はどんどん多様化、巧妙化していくので、日頃からセキュリティ関連のニュースに注意しましょう。

関連キーワード:

QuickTime

Second Life

リンデンドル

  • フィッシング詐欺の注意喚起メールに見せかけた新手のフィッシングが出現
  • カテゴリートップへ
  • EV SSLとは