OpenSea がユーザーIDが流出する恐れのある脆弱性を修正

NFTニュース

公開日 : 2023年03月14日 | [更新日] 2024年12月01日

サイバーセキュリティ企業Impervaが、メールアドレスや電話番号などのユーザー情報を流出させる可能性のある脆弱性を発見し、現在この問題を修正しました。

NFTマーケットプレイスOpenSeaは、悪用された場合、匿名ユーザーの識別情報が流出する可能性のある脆弱性を修正したと報告されています。

サイバーセキュリティ企業Impervaは、3月9日のブログ記事ブログで、脆弱性を発見した経緯を詳述し、「IPアドレス、ブラウザセッション、または特定の条件での電子メールをNFTにリンクすることにより」OpenSeaユーザーの匿名化を解消できるとしています。

NFTは暗号通貨ウォレットのアドレスに対応するため、ウォレットとそのアクティビティに関連する情報が収集され、そこからユーザーの本当の身元が分かるとImpervaは説明しています。

Imperva Red Team discovered a cross-site search vulnerability affecting the #NFT marketplace #OpenSea.

This vulnerability allows for the deanonymization of users, potentially revealing a user's identity. https://t.co/nGQWceeGEc

— Imperva (@Imperva) March 9, 2023

 

今回の脆弱性は、クロスサイトサーチの脆弱性を利用したものと理解されています。Impervaは、OpenSeaが、広告、インタラクティブコンテンツ、または埋め込み動画を配置するために通常使用される、他の場所からHTMLコンテンツを読み込むウェブページ要素のサイズを変更するライブラリを誤って構成していたと発表しました。

OpenSeaはこのライブラリの通信を制限していないため、攻撃者はこのライブラリが放送する情報を「オラクル」として利用し、検索してもウェブページが小さくなるため結果が出ない場合に絞り込むことができます。

Impervaは、攻撃者が電子メールやSMSを通じてターゲットにリンクを送り、クリックすると 「ターゲットのIPアドレス、ユーザーエージェント、デバイスの詳細、ソフトウェアのバージョンなどの貴重な情報が表示される」と説明しています。

攻撃者は、OpenSeaの脆弱性を利用してターゲットのNFT名を抽出し、対応するウォレットアドレスと、元のリンクを送信した電子メールや電話番号などの識別情報を関連付けます。

Impervaは、OpenSeaが「迅速に問題に対処し」、ライブラリの通信を適切に制限し、プラットフォームが “このような攻撃を受ける危険性はなくなった “と報告しています。

以前から、OpenSeaを真似たフィッシングサイトや、OpenSeaから発信されたと思われる署名依頼など、OpenSeaの機能を模倣して悪用する攻撃は、同プラットフォームの利用者の間で被害が出ています。

OpenSea自体は、2022年2月に大規模なフィッシング攻撃を受け、170万ドル相当以上のNFTがユーザーから盗まれるなど、プラットフォームのセキュリティに対する批判にさらされてきました。

最近の修正パッチについては、いつからあったか、また、エクスプロイトの影響を受けたユーザーがいたかどうかは不明です。

参照：OpenSea patches vulnerability that potentially exposed users’ identities