Packet Pilot X (Twitter)
2026-01-21

LinuxユーザーがSnap Storeのハイジャックアプリで暗号通貨泥棒に狙われる

LinuxのSnap Storeにおいて、暗号通貨泥棒が信頼されたソフトウェアパッケージを悪用し、ユーザーの暗号通貨を盗む新たな手法が報告されました。攻撃者は、既存のSnap Storeのパブリッシャーに関連する期限切れのドメインを乗っ取り、そのアカウントを利用して悪意のある更新を配信しています。この手法は、ユーザーが気づく前に暗号通貨やその他の機密データを奪うことが可能です。Canonicalは悪意のあるスナップを削除しましたが、さらなる対策が求められています。

メトリクス

このニュースのスケール度合い

6.5 /10

インパクト

6.5 /10

予想外またはユニーク度

7.5 /10

脅威に備える準備が必要な期間が時間的にどれだけ近いか

7.5 /10

このニュースで行動が起きる/起こすべき度合い

8.0 /10

主なポイント

  • 攻撃者は、期限切れのドメインを乗っ取り、Snap Storeの既存アカウントを利用して悪意のあるアプリを配信しています。
  • ユーザーは、特に暗号通貨ウォレットのアプリに注意し、公式サイトから直接入手することが推奨されています。

社会的影響

  • ! この攻撃は、Linuxユーザーの信頼を損なう可能性があり、オープンソースソフトウェアの利用に対する懸念を引き起こします。
  • ! ユーザーが暗号通貨を扱う際のリスクが高まることで、全体的なデジタル経済にも影響を及ぼす可能性があります。

編集長の意見

今回の攻撃手法は、特にドメインの乗っ取りを利用する点で新しいアプローチを示しています。これにより、ユーザーは長年の信頼を持っていたパブリッシャーからのアプリを安心して使用できなくなる恐れがあります。Canonicalは、ドメインの有効期限を監視し、アカウントの確認を強化する必要があります。また、二要素認証の導入は、アカウントの安全性を高めるために重要です。ユーザーは、特に暗号通貨関連のアプリに対して慎重になるべきであり、公式サイトからのダウンロードを推奨します。SnapScopeのようなツールを活用することで、スナップの安全性を事前に確認することが可能です。今後、攻撃者が新たな手法を開発する可能性があるため、常に最新の情報を追い、適切な対策を講じることが求められます。セキュリティの専門家として、ユーザーと開発者の双方に対して、警戒を怠らないように呼びかけます。

解説

Snap Store発行者のドメイン乗っ取りで正規スナップが暗号資産窃取に悪用される — Linuxサプライチェーンの盲点が露呈です

今日の深掘りポイント

  • 発行者アイデンティティをドメインに依存させる設計が、ドメイン期限切れという小さなオペレーションミスを重大なサプライチェーン侵害へ拡大させる増幅器になっている点が本質です。
  • ストア署名や審査の存在は「安全の必要条件」ではあっても「十分条件」ではなく、特にスナップ更新時の権限・挙動変更を見逃さない仕組みが組織側にも必要です。
  • 企業利用では、Snapを含む外部ストアの自動更新・自動信頼を前提にしないゼロトラスト化(発行者・権限・ネットワークの三点でのゲート)が即効性のある対策です。

はじめに

LinuxのSnap Storeで、暗号資産窃取を目的とする攻撃者が、既存パブリッシャーに紐づく期限切れドメインを乗っ取り、当該パブリッシャーの信頼を梃子に悪意ある更新を配信した事案が報告されています。少なくとも2つのドメインが乗っ取られ、正規アカウント由来に見えるスナップが改ざんされ、ユーザーのウォレット復元フレーズなど機密情報を窃取する手口です。Canonicalは当該スナップを削除済みですが、発行者検証と更新審査の合わせ技を潜り抜けるサプライチェーン攻撃であり、暗号資産犯罪特有の越境性ゆえに、資金洗浄や制裁回避の温床としても看過できないインシデントです。一次対処は速かったものの、再発防止には「アイデンティティ連鎖の脆弱点」を構造的に塞ぐ追加の一手が要ります。参考情報は末尾に示します。

深掘り詳細

事実整理(報道から読めること)

  • 攻撃者は、既存パブリッシャーに関連するドメインの期限切れを待ち(または発見し)再取得し、当該ドメインを足場にパブリッシャーアカウントを実効的に支配して悪意ある更新を出していた可能性が高いです。
  • 改ざんスナップは、暗号資産ウォレットの復元フレーズや機密データの窃取を狙う暗号資産スティーラーとして機能し、ユーザーは正規更新と信じてインストール・更新してしまうリスクがありました。
  • Canonicalは問題のスナップを削除する緊急対応を実施済みです。少なくとも2件のドメイン乗っ取りが関与したとされています。
  • 一部では、無関係なスナップ名で初回承認を得た後に中身をすり替えるような審査回避テクニックの存在も示唆されています。

出典: Help Net Securityの報道 です。

編集部のインサイト(構造的な読み解き)

  • ドメインに依存したパブリッシャー検証は、メールリセットやドメイン所有検証等のチェーンで成り立ちます。このチェーンのうち「ドメイン有効期限管理」という最も人間的な運用要素が単一障害点になり、ストア署名の信頼を一気に迂回可能にしてしまうのが今回の核心です。
  • ストアエコシステムでは「正規アカウントからの更新」と「更新の内容・権限が安全であること」が別問題です。後者に対する守り(更新時の権限増加や挙動変化の厳格な検知・抑止)が弱いと、攻撃者は正規の配送レーンを使って有害な差分を静かに届けられます。
  • Snapはサンドボックス化で被害を抑えうる一方、暗号資産スティーラーの目的達成に十分な権限(ネットワークやユーザホームへのアクセスなど)を一部のカテゴリでは実質的に許容せざるを得ない現実があります。特に企業利用では「どのインターフェースを許すか」「更新で追加されないか」を継続監査する姿勢が要ります。
  • 指標面では、短期的な行動可能性と発生確率が高いタイプの出来事です。ドメインの期限切れはどのプロジェクトにも起こりうるため、Linuxに限らず他エコシステム(ブラウザ拡張、言語パッケージ、モバイルストア)への波及も想定すべきです。迅速な抑止と継続的な監視の両輪が求められます。

脅威シナリオと影響

以下はMITRE ATT&CKに沿った仮説ベースのシナリオです。実際の事案の詳細は今後の公式開示に依拠しますが、企業側の脅威モデリングに役立つ観点として提示します。

  • シナリオA(最短経路の資産窃取)です

    • 資源準備(Resource Development): 攻撃者は期限切れドメインを再取得し、発行者アカウント回復や検証に用います。
    • 初期侵入(Initial Access/Trusted Relationship or Software Supply Chain): 正規パブリッシャーとして見える更新をSnap Store経由で配布し、ユーザーが自動更新または手動インストールします。
    • 実行(Execution): ユーザー実行をトリガにスナップ内の悪性ロジックが起動します。
    • 資格情報アクセス/収集(Credential Access/Collection): 復元フレーズ入力UIの偽装、クリップボード監視、ウォレット関連ディレクトリの探索などで機密を収集します。
    • 防御回避(Defense Evasion): 正規発行者名・署名・ストア配布という「信頼」を盾にし、難読化や正規ライブラリの悪用で静粛性を高めます。
    • 流出(Exfiltration/C2): 外部サーバへ暗号化通信で送出し、即時現金化やミキシングに回します。

  • シナリオB(企業環境での偵察・横展開を狙う二次利用)です

    • 初期侵入は同様にSnap更新です。
    • 発見・偵察(Discovery): OS・ネットワーク・鍵保管の探索を行います。
    • 資格情報アクセス(Credential Access): SSHキーやブラウザ保存済み秘密情報に触れる可能性があります。
    • 横展開(Lateral Movement): 盗んだ資格情報や開発者用トークンを用いてGitやCI/CDへアクセスし、さらなるサプライチェーン汚染へ波及するリスクがあります。

  • シナリオC(審査を跨ぐすり替え)です

    • 初回は無害に見える提出で承認を得たのち、後続の更新で権限増加と悪性化を同時に行います。更新での権限・挙動差分監視が弱いエコシステムは脆弱です。

想定影響です

  • 個人ユーザーでは、ウォレットの即時窃取と資産の不可逆的損失です。
  • 企業では、開発者端末を起点とするトークン流出、レポジトリ・CI/CD汚染、さらに顧客配布物への連鎖汚染の危険が現実化します。
  • 地政学的には、窃取資金が国境を超えた資金洗浄・制裁回避に転用される可能性があり、リーガル・コンプライアンス対応の難易度を引き上げます。

セキュリティ担当者のアクション

組織側とパブリッシャー側で、当面の実装可能な対策を整理します。

  • 組織(CISO/SOC/IT運用)です

    • 信頼の入口を絞るです
      • 企業端末でのSnap利用方針を明確化し、許可発行者・許可スナップのホワイトリスト化を行います。暗号資産関連カテゴリは原則禁止または強い承認プロセスを課すのが現実的です。
      • 自動更新は無条件許可にしない方針を検討し、更新前審査(特に新規インターフェース要求の有無、権限増加の有無)を必須化します。
    • 監視の焦点を定めるです
      • Snap関連のインベントリを定期出力し、導入・更新イベントをSIEMで相関します。特に「発行者の変更」「新規インターフェース追加」「短期間に多端末へ広がる更新」を高優先度アラートにします。
      • エンドポイントでのコレクションTTP(クリップボード監視、ウォレット関連ファイルアクセス、外向きの異常なPOST/PUT)を検知ルール化します。
    • 端末側の被害最小化です
      • サンドボックス権限を必要最小限に制御し、ユーザホーム全体やシークレット保管領域へのアクセスを与えるスナップには追加審査を課します。
      • 万一のインシデントでは、該当スナップの即時隔離・削除、該当端末の資格情報全更新(SSHキー、クラウドAPIキー、パッケージレジストリトークン)を標準手順化します。
    • 暗号資産・コンプライアンスです
      • 暗号資産を業務で扱う場合、被害時のアドレス凍結依頼・ブロックチェーン分析連携のプレイブックを整備します。

  • パブリッシャー/開発組織です

    • ドメインのライフサイクル管理を徹底し、自動更新・多要素認証・連絡先の冗長化を実施します。ドメイン失効時には発行者バッジを自動失効させるようストア側へ要望を上げる価値があります。
    • ストアアカウントにハードウェアキー等の強固な多要素認証を適用し、権限分離(リリース権限とメタデータ編集権限の分離)を行います。
    • 更新時のリリースガバナンスを整備し、四眼原則・差分ビルドレビュー・SBOM添付・ビルド署名/アテステーション(例: 透明性ログの利用)を継続運用します。

  • ストア運営(提言)です

    • ドメイン到達不能・失効兆候の自動監視と、発行者バッジの即時停止、再検証の強制を標準化することが効果的です。
    • 「更新時の権限増加」や「高リスクカテゴリ(暗号資産等)」に対する段階的ロールアウト/強制的な手動審査/追加テレメトリ審査を組み込むことで、被害の広がりを抑止できます。
    • 透明性の高い公開タイムライン(いつ、どのスナップにどの審査措置を講じ、どれを撤去したか)を継続開示し、利用者が自己防衛判断できる材料を提供することが信頼回復に寄与します。

参考情報

本件は、「信頼の連鎖」の最も人間的な部分が狙われた事件です。道具立て(サンドボックスや署名)に過度な安心を寄せず、更新差分・権限・発行者の三位一体で見る運用に切り替えることが、次の一撃に耐える現実的な防御線になります。いま手元でできることを静かに、しかし素早く始めるのが吉です。

背景情報

  • i Snap Storeは、Linux用のソフトウェアパッケージを提供するリポジトリであり、攻撃者はこのプラットフォームを利用して悪意のあるアプリを配信しています。最近の手法では、無関係なスナップ名で承認を得た後、悪意のあるアプリを更新する手法が取られています。
  • i 攻撃者は、過去の開発者のアカウントを乗っ取ることで、ユーザーの信頼を利用し、暗号通貨のリカバリーフレーズを収集するマルウェアを配信しています。これにより、ユーザーは気づかないうちに資産を失う危険があります。
Packet News 一覧へ戻る