ブロックチェーン・セキュリティ・プラットフォームのGoPlusは4月10日に緊急アラートを発表し、Androidのプッシュ通知に広く利用されているEngageLab SDKに重大なセキュリティ脆弱性があると指摘した。この脆弱性は5,000万以上のAndroidユーザーに影響し、そのうち約3,000万が暗号資産ウォレットのユーザーだ。攻撃者は被害端末に、正規のアプリに偽装したマルウェアを導入し、暗号資産ウォレットの秘密鍵とログイン認証情報を窃取できる。

脆弱性の技術的な原理：サイレント実行のクロスアプリ攻撃チェーン

（出典：GoPlus）

今回の脆弱性の中核となる欠陥は、EngageLab SDKがAndroidシステムのIntent通信メカニズムを処理する際に、十分な発信元検証を行っていない点にある。IntentはAndroidアプリ間で指示を受け渡す正当な仕組みだが、EngageLab SDKの実装では、未認可の発信元からの指示が通常の検証プロセスを回避してしまい、標的アプリが機微な操作を実行してしまう。

完全な攻撃チェーンの3ステップ

悪意のあるアプリの埋め込み：攻撃者はマルウェアを正規のAppとして偽装し、被害者に同一のAndroid端末へインストールさせる

悪意のあるIntentの注入：悪意のあるアプリが、同一端末上でEngageLab SDKが統合された暗号資産ウォレットまたは金融アプリに対して、入念に細工された悪意のあるIntentを送信する

権限のない操作の実行：標的アプリがIntentを受信すると、ユーザーに知られることなく、ウォレット秘密鍵の窃取、ログイン認証情報、その他の機微なデータを含む未認可操作を実行する

この攻撃チェーンの最大の危険性は、そのサイレント性にある。被害者は能動的な操作を行う必要がなく、端末上に悪意のあるアプリと、脆弱性のあるバージョンのEngageLab SDKを含むアプリが同時に存在するだけで、攻撃がバックグラウンドで完了する。

影響規模：暗号ユーザーが不可逆の資産損失リスクに直面

EngageLab SDKは、広く展開されたプッシュ通知の基盤コンポーネントとして、数千のAndroidアプリに統合されており、今回の脆弱性の影響範囲は5,000万台規模に達している。そのうち暗号資産ウォレットのユーザーは約3,000万だ。

暗号資産ウォレットの秘密鍵が漏えいすれば、攻撃者は被害者のオンチェーン資産を完全に掌握できる。そして、ブロックチェーン取引の不可逆性により、この種の損失はほぼ取り戻せず、一般的なアプリのデータ漏えい事件を大きく上回るリスクとなる。

緊急対応策：開発者とユーザーの即時アクション・リスト

セグメント別セキュリティ推奨

アプリ開発者とベンダー

・製品にEngageLab SDKが統合されているかを直ちに確認し、現在のバージョンが4.5.5未満かどうかを確認する

・ EngageLab SDK 4.5.5以上の公式の修正バージョンへアップグレードする（EngageLab公式ドキュメントを参照）

・更新版を再リリースし、ユーザーにできるだけ早くアップデートを完了するよう通知する

一般的なAndroidユーザー

・直ちにGoogle Playにアクセスしてすべてのアプリを更新し、暗号資産ウォレットおよび金融系のアプリを優先して対応する

・出所不明または非公式チャネルからダウンロードしたアプリに警戒し、必要に応じて直ちに削除する

・秘密鍵が漏えいした疑いがある場合は、セキュア端末上で新しいウォレットを作成し、資産を移し替えて、旧アドレスを永久に無効化する

よくある質問

EngageLab SDKとは何で、なぜ暗号資産ウォレットに広く統合されているのか？

EngageLab SDKは、Androidのプッシュ通知機能を提供するサードパーティのソフトウェアスイートで、導入の手軽さから大量のアプリで採用されている。プッシュ通知はほとんどすべてのモバイルアプリの標準機能であり、そのためEngageLab SDKは暗号資産ウォレットや金融アプリに広く存在し、今回の脆弱性の影響規模が5,000万ユーザーにまで達することにつながった。

自分の端末がこの脆弱性の影響を受けているかどうかをどう確認すればよいか？

Android端末に暗号資産ウォレットまたは金融アプリがインストールされていて、まだ最新バージョンに更新されていない場合、影響を受けるリスクがある。直ちにGoogle Playストアで、すべてのアプリを更新することを推奨する。開発者はアプリ内のSDKのバージョン番号を確認することで、4.5.5未満のバージョンのEngageLab SDKを使用しているかどうかを確認できる。

秘密鍵が漏えいしてしまった場合、緊急時はどう対処すべきか？

感染していないセキュア端末上で新しいウォレットアドレスを直ちに作成し、元のウォレットのすべての資産を新しいアドレスへ移し替え、元のアドレスを永久に無効化する。関連するすべてのプラットフォームでログインパスワードを同期して変更し、口座に二要素認証を有効化して、今後さらに侵害されるリスクを下げるべきだ。

免責事項：このページの情報は第三者から提供される場合があり、Gateの見解または意見を代表するものではありません。このページに表示される内容は参考情報のみであり、いかなる金融、投資、または法律上の助言を構成するものではありません。Gateは情報の正確性または完全性を保証せず、当該情報の利用に起因するいかなる損失についても責任を負いません。仮想資産への投資は高いリスクを伴い、大きな価格変動の影響を受けます。投資元本の全額を失う可能性があります。関連するリスクを十分に理解したうえで、ご自身の財務状況およびリスク許容度に基づき慎重に判断してください。詳細は免責事項をご参照ください。

検知率ほぼゼロで800超のバンキング／暗号資産アプリを狙うAndroidマルウェアファミリー：Zimperium

セキュリティインシデント

Gate Newsのメッセージ、4月25日 — サイバーセキュリティ企業Zimperiumは、4つの稼働中のマルウェアファミリー（RecruitRat、SaferRat、Astrinox、Massiv）を特定した。銀行、暗号資産、ソーシャルメディアの各セクターにまたがり、800以上のアプリを標的としている。これらのキャンペーンは、高度なアンチ解析手法と

GateNews2時間前

TRADOOR トークン、疑われる価格操作とウォッシュトレーディングの中で30分で90%暴落

価格ボラティリティセキュリティインシデント取引所リスク

Gate News メッセージ、4月25日 — オンチェーン分析者 Specter によると、TRADOOR トークンは本日 2:00 AM に 30分間で急激に 90% 価格が暴落しました。トークンは 2026年3月以降、突然の崩壊の前に最大 900% 値上がりしており、価格操作や連携した

GateNews3時間前

貸付プロトコルPurrlendが攻撃を受け、MegaETHとHyperEVMをまたいで$1.52百万を喪失

セキュリティインシデント

ゲートニュース、4月25日――貸付プロトコルのPurrlendは本日、MegaETHおよびHyperEVMの両ネットワークへの攻撃の被害に遭い、約$1.52百万の損失が発生しました。攻撃者はHyperEVMネットワークから約$1.2百万相当の資産を引き出し、その内訳は449,683 USDC、214,125

GateNews4時間前

ベン・パステルナク、$54M クリプト詐欺の訴訟をめぐるNYCのホテルでの暴行で逮捕――Believeトークンに関して

執行措置セキュリティインシデント

ゲートニュースメッセージ、4月25日――ソラナベースのSocialFiプラットフォームBelieveの背後にいる26歳のオーストラリア人起業家ベン・パステルナクは、4月22日に逮捕され、第2級の絞殺および第3級の暴行を2件科された。自身の元恋人で、YouTubeパーソナリティのエブリン・ハーとの間で起きたとされる身体的なもめごとを受けたもの。

GateNews5時間前

独立研究者が15ビットのECCキーを解読、Project Elevenからビットコイン報酬獲得

bitcoin news セキュリティインシデント

ゲートニュース記事、4月25日――独立研究者のジャンカルロ・レッリ（Giancarlo Lelli）が、ビットコインを保護する15ビットのECC暗号化キーを正常に解読し、量子セキュリティスタートアップのProject ElevenからQ-Day Awardに加えて1 BTCを受け取りました。レッリは公開されている量子ハードウェアと、Shorの

GateNews6時間前

22歳のカリフォルニア暗号資産マネーロンダラー、$263M 詐欺スキームで70か月の有罪判決

執行措置セキュリティインシデント

ゲートニュース、4月25日—カリフォルニア州ニューポートビーチ出身の22歳、エヴァン・タンジェマンは、$263 百万ドルにのぼる巨額の暗号資産詐欺スキームで得た資金のマネーロンダリングへの関与により、4月24日に懲役70か月の判決を受けた。ワシントンD.C.の米連邦地方裁判所は、判決を言い渡した

GateNews7時間前

0/400

コメントなし