Bitcoin.org DNSハイジャック:Bitcoinの公式ホームページが「コインを倍増」詐欺に変えられた経緯
2021年9月、Bitcoin.org――匿名運営者Cobraが長年運営してきたBitcoinの情報サイト――がDNS層でハイジャックされ、偽の「Bitcoinを倍増させる」プレゼント詐欺に変えられた。サイトがオフラインになるまでの間、詐欺師たちは約1万7,000ドルを騙し取った。Domain Maydayが、何が起きたのか、どのような手法だったのか、そしてクリプトネイティブなサイトであってもDNSに依存するという事実が何を教えてくれるのかを深く掘り下げる。
- domains
- security
- dns
- domain-security
十数年にわたり、「Bitcoinとは何か、安全に使うにはどうすればよいか」という問いに対して、ベンダーに中立な答えを求める人々はひとつのアドレスに辿り着いてきた――Bitcoin.orgだ。
このサイトは取引所ではなく、何かを売ることもなかった。世界で最も対立的で、信頼を必要としないお金が持ちうる、公式な入口として最も近い存在だった。2008年8月18日に登録されたこのサイトは、ジェネシスブロックそのものよりも古く、Bitcoinホワイトペーパーが公開され、新規参入者たちがクリプトの第一のルールを学んだ場所だ――自分自身が銀行となり、秘密鍵を誰にも預けるな。
だからこそ、**2021年9月23日(木曜日)**に起きたことには、残酷な皮肉がある。クリプト全体で最も繰り返し語られてきた安全上の教訓――コインを倍増させると約束する者は詐欺師だ――が、Bitcoinの正面玄関からまったく逆の形で発信されたのだ。数時間の間、「Bitcoin倍増詐欺に引っかかるな」と人々を教育してきたウェブサイト自体が、「Bitcoin倍増詐欺」と化した。そしてこれは、誰かがサーバーに不正侵入したからではなく、ドメインが奪われたことで起きたのだ。
象徴的な信頼の拠り所
このハイジャックがこれほど痛烈だった理由を理解するには、Bitcoin.orgが何を意味していたかを理解する必要がある。
Bitcoinにはどこにも CEOも、本社も、公式スポークスパーソンもいない。長年にわたって存在したのは、コミュニティが運営する参照サイトの小さな集合体であり、Bitcoin.orgはその中で最も著名なものだった。CryptoPotaはBTCに関連する最古のウェブサイトで、13年以上前に登録されたと評した。このサイトはウォレットの推薦情報、入門ガイド、そしてサトシ・ナカモトのホワイトペーパーのコピーをホストしていた。
また、Bitcoinらしいことに、このサイトは幽霊によって運営されていた。サイトはCobraとだけ名乗る匿名の運営者によって維持されていた――原則として匿名を貫く人物だ。その原則はつい最近、法廷で試練を受けていた。数ヶ月前、自称「サトシ」のクレイグ・ライトが英国の著作権訴訟に勝訴し、Bitcoin.orgにホワイトペーパーの削除を強制し、裁判官はCobraがUKでライトの著作権を侵害することを禁じる差止命令を発令していた。Cobraの匿名性を守るための弁護はほとんど詩的だった――裁判規則では私が匿名で訴えられることは認められていたが、匿名で自分を弁護することはできなかった。
要するに、Bitcoin.orgは信頼を纏っていた――リーダーなき運動が本来持つはずのない、制度的な種類の信頼を、13年間かけて静かに積み上げたのだ。その信頼こそが、標的にされた理由だ。詐欺は、ホストの信頼性が高いほど機能する。そしてクリプトにおいて、Bitcoinの名を冠したサイトほど信頼性の高いホストは、ほとんど存在しない。
ここにはさらに鋭い皮肉が潜んでいる。Bitcoin.orgの精神全体はセルフカストディだった――自分で秘密鍵を持ち、カストディアンを信頼せず、すべてを自分で検証せよ。その教えを完全に身につけた訪問者なら、見知らぬ人のウォレットにコインを送るという約束には絶対に乗らないはずだった。しかしプレゼント詐欺は、見知らぬ人を信頼するよう求めたのではない――Bitcoin.org自身を信頼するよう求めたのだ。そのアドレスこそ、何年もの間、安全に入門できる場所として教えられてきた場所だった。この攻撃は教訓を打ち破ったのではなく、教訓を伝える使者そのものをハイジャックしたのだ。
2021年9月:ハイジャックと偽のプレゼント企画

2021年9月23日の朝、Bitcoin.orgを訪れた人々が目にしたのはウォレットガイドではなかった。ポップアップのモーダルがあった――Bitcoinの最も信頼された参照サイトのホームページに貼り付けられた、公式らしき見た目のオーバーレイだ。
そのメッセージは、クリプト界で最も古い手口を、借り物の権威で着飾ったものだった。Bitcoin財団がコミュニティに還元すると主張し、オファーは先着1万名限定だと謳い、シンプルな約束を提示した――このアドレスにBitcoinを送れば、倍の額を返金します! QRコードにより操作は極めて簡単だった。CoinDeskがこのジャンルについて淡々と説明したように、そのメカニズムは常に同じだ――QRコード経由でウォレットアドレスに初回送金後、資金が倍になるという偽の約束をする手口。結末も常に同じだ――被害者は実際には何も受け取れず、送った暗号資産を失う。
Cobraはこの侵害を公に、そして率直に認め、サイトが侵害されたとポストし、ハッカーがどのようにして詐欺のモーダルをサイトに設置したか調査中だと述べた。
被害者が失ったもの
「お金を倍増させる」詐欺は、一部の人が信じた場合にのみ機能する。ランダムなウェブサイトでは、ほぼ誰も信じないだろう。しかしBitcoin.orgでは、信じた人がいた。
詐欺ウォレットは空のままではなかった。BleepingComputerは、そのアドレスの最後に更新されたウォレット残高は0.40571238 BTC、約1万7,000米ドルだったと報じた。リアルタイムで捕捉したCoinDeskは、プレゼント詐欺のアドレスが、記事執筆時点で小額送金により1万7,700ドル超を受け取っていたと記した。
1万7,000ドルが、ひと晩で、ホストサイト自身がかつて警告していたはずの詐欺によって消えた。そして、Bitcoinの設計において最も残酷な部分を思い出してほしい――その取引は取消不能だ。チャージバックも、不正部門も、「銀行に電話する」という選択肢も存在しない。Bitcoinを強力にしているその不可逆性こそが、被害者一人一人の損失をQRコードをスキャンした瞬間に永続させたのだ。
金額的な被害はほとんど枝葉の問題だ。本当のダメージは、Bitcoin.orgが13年かけて築き上げたもの――このアドレスこそが、すべてのアドレスの中で最も信頼できるという前提――に与えられた。
何が起きたか:サーバー侵害ではなく、DNSの侵害

これが単なるフィッシングの話ではなく、Domain Maydayの事例である理由はここにある――攻撃者はBitcoin.orgのサーバーに侵入する必要が一切なかった。
Cobraはこの点について断言した。オリジンサーバーは手つかずだったと言い――ハック中、私の実際のサーバーには一切トラフィックが来ていなかった。攻撃はひとつ上のレイヤー、つまりインターネットがドメイン名が指す先を決める部分で起きた。このインシデントを観測していた人々は、ハックの時点でWHOIS情報が更新され、ネームサーバーとDNSが変更されたと記録した。ネームサーバーを制御できれば、「bitcoin.orgとはどのサーバーか?」という問いへの回答を制御でき、信頼された名前を自分が所有するサーバーに密かに向け直すことができる。
Cobra自身の診断は、DNS層と、最近のインフラ変更に責任があるとした。彼の言葉を借りれば――Bitcoin.orgはこれまで一度もハックされたことがなかった。そしてCloudflareに移行し、2ヶ月後にハックされた。 彼の作業仮説は限定的で痛烈なものだった――攻撃者はDNSの何らかの欠陥を突いたようだ。Decryptも主流の見解を同様に要約した――攻撃者はサイトが2ヶ月前にCloudflareへ移行した後のDNS設定の欠陥を突いた。
根本原因が設定ミスだったのか、レジストラレベルの侵害だったのか、DNSプロバイダー側の問題だったのかは、公には最終的に特定されなかった――CoinDeskはウェブサイトハイジャックの根本原因は未確認だが、DNSハイジャックと疑う声もあると記した。しかしその形は紛れもない。アプリケーションは無事だった。コードは無事だった。秘密鍵は無事だった。しかし名前がハイジャックされ、ウェブ上では名前を制御することがほぼすべてを意味するのだ。
対応とその後
修復もまた、ドメイン層で行われた。
生きている悪意あるBitcoin.orgはBitcoin.orgの本物のインフラから提供されていたわけではないため、サイトは単純に「パッチを当てる」ことができなかった。被害を止める最速の方法は、ドメインそのものをサービスから外すことだった。レジストラであるNamecheapはまさにそれを行った――BleepingComputerによれば、当社はドメインを一時的に無効化した。しばらくの間、訪問者は詐欺ページにもホームページにも辿り着けなかった――CoinDeskは、訪問者が「このサイトにアクセスできません。」という表示を目にしたと報じた。Bitcoin界で最も信頼されていた参照ページが暗転したのだ。
数時間の調査の後、ドメインは正しい向き先に戻され、サイトはハック前の状態に復元された。窓口は短期間――1日以下――であり、盗まれた金額もクリプト犯罪の基準からすれば控えめだった。しかしこのインシデントが大きな衝撃を与えたのは、まさにどのサイトだったかという理由からだ。「信頼するな、検証せよ」を誇りとする運動が、自らの正典たる「信頼してください」ページを検証可能な形でユーザーに対して武器化される場面を目の当たりにしたのだ。
クリプトネイティブなサイトでもDNSに依存するという事実が教えること

Bitcoin.orgハイジャックの最も不快な教訓は、クリプトネイティブであることは、ほとんど何の防御にもならないということだ。
Bitcoinは分散化されている。その台帳は改ざんが極めて困難であることで知られている。秘密鍵は、適切に管理されていれば、あなただけのものだ。しかしそのどれもここでは無意味だった――なぜなら、そのすべての正面玄関は、どんなECショップや地元のパン屋と何ら変わらない、まったく普通のドメイン名であり、同じDNS、レジストラ、ネームサーバーの配管の上に乗っていたからだ。ブロックチェーンは無事だった。ウェブサイト自体は重要な意味で手つかずだった――しかし、それを指す名前はそうではなかった。
この事件からいくつかの持続的な教訓が引き出せる。
-
ドメインはあなたの攻撃対象領域の一部であり、しばしば最大の部分だ。 完璧なコードを書き、秘密鍵をコールドストレージに保管し、すべてのサーバーを堅牢化したとしても、あなたのネームサーバーやレジストラアカウントを制御した攻撃者は、完全にあなたを詐称することができる。名前は正面玄関であり、ハイジャックされた名前は見知らぬ者にその扉を開かせる。
-
DNSとレジストラの変更は無音かつ影響力が大きい。 ネームサーバーとDNSが変更されたとき、ほとんどの監視ツールが即座に検知できるような「障害」は何も発生しなかった――サイトは依然として読み込まれ、ただ間違った場所から提供されただけだ。レジストラロック、レジストリロック、DNSSEC、そしてレジストラ/DNSプロバイダーアカウントへの厳格なアクセス制御は、オプションの衛生対策ではない――それらは、誰もが忘れがちな玄関の錠前なのだ。
-
盗まれているのは信頼性そのものだ。 攻撃者が本当に欲しかったのは、Bitcoin.orgの1万7,000ドル相当のサーバーではなく、その信頼性だ――数時間借り受けて、古典的な詐欺を信じさせるために。あなたのドメインが信頼されればされるほど、ハイジャックの価値が高まる――そして、誰がそれの向き先を変えられるかについて、それだけ慎重でなければならない。
-
「トラストレス」なインフラも、信頼された名前の上に成り立っている。 仲介者を排除した正典的な例であるBitcoinでさえ、DNS――階層的で、仲介が介在し、変更可能なシステム――を通じてユーザーに届く。お金を分散化することは、正面玄関を分散化しない。
-
検知の速さは防御の洗練さに勝る。 Bitcoin.orgが比較的小さな損失でこの危機を乗り越えられたのは、主にコミュニティが詐欺を素早く発見し、レジストラが数時間以内にドメインを引き下げられたからだ。ハイジャックされた名前が攻撃者の元で解決し続ける時間が長くなるほど、損失も――そしてレピュテーションへのダメージも――複利で膨らむ。自分の名前の制御やルーティングが変化した瞬間に知ることは、あらゆる単一の静的なロックよりも価値がある。
Namefiの観点から
Bitcoin.orgのハイジャックは、その根本において制御と検証可能性の問題だ。アプリケーションは健全だった。ブロックチェーンは健全だった。失敗したのは、表面上は単純な問いに答えるレイヤーだった――誰がこの名前を正当に制御しており、どこを指してよいか? その問いへの回答が無音のうちに書き換えられうる場合――ネームサーバーが交換され、ハック時にWHOIS情報が更新される――残りのスタックがどれほど強固でも信頼は蒸発する。
Namefiは、ドメイン所有権と制御が、変更可能なデータベースのエントリ――攻撃者が密かに書き換えられる――ではなく、一級の、検証可能な、インターネットネイティブアセットとして機能すべきだという考えから出発している。トークン化され監査可能な所有権は、「誰がこのドメインを制御しており、その制御は変化したか?」という問いをオンチェーンで回答可能にする――無音のネームサーバー交換を、可視化され説明責任が伴うイベントへと変えながら、残りのウェブが依存するDNSとの互換性を維持する。DNSそのものを消し去るわけではないが、名前に対する制御をより見えない形でハイジャックしにくく、継続的に検証しやすくする。
Bitcoin.orgは13年間かけて、危険な瞬間とは「検証をやめて信頼を始める瞬間」だと世界に教えてきた。2021年9月の数時間、その自身のドメインが教訓を身をもって証明した。すべての人にとっての教訓はシンプルだ――あなたのドメインは、インターネット上のあなたのアイデンティティだ。その背後にある鍵を守るのと同じくらい慎重に、その名前を守れ。
参考資料
- BleepingComputer — Bitcoin.org hackers steal $17,000 in 'double your cash' scam
- CoinDesk — Bitcoin.org Website Inaccessible After Being Hacked by Apparent Giveaway Scam
- Bitcoin.com News — Hackers Compromise Web Portal Bitcoin.org — DNS Hijack Replaces Site With BTC Doubler Scam
- Decrypt — Bitcoin.org Compromised, Fraudulent Crypto Giveaway Advertised
- Cointelegraph — Bitcoin.org goes offline after suffering scam attack
- CryptoPotato — BitcoinOrg Hacked: Giveaway Scam Promising Users to Double Their BTC
- NewsBTC — Bitcoin.org Hacked By Scammers For A Few Minutes. Someone Sent Them 0.4 BTC
- CoinDesk — UK Court Orders Bitcoin.org to Remove White Paper Following Craig Wright Lawsuit
- Wikipedia — Bitcoin (history of the bitcoin.org domain)
著者について
関連ガイド
- 12ドルの1分間:誰かがひっそりとGoogle.comを購入した日2015年9月、元Google社員がGoogle Domainsを通じてgoogle.comを12ドルで購入し、世界で最も価値あるドメインの管理権を約1分間保持した。Sanmay Vedと6,006.13ドルのバウンティ、そして「1分間の所有」が明かすドメイン支配の実態。
- ドメイン危機録 EP03:2020年Twitterビットコインアカウント乗っ取り事件2020年7月15日、攻撃者は電話一本でTwitterに侵入し、オバマ、バイデン、マスク、ゲイツ、Apple、Uberの認証済みアカウントを乗っ取り、ビットコイン2倍詐欺を実行——約11万8,000ドルを詐取した。オンライン上のアイデンティティがいかにして奪われたか、そして「名前を所有する」ことの意味を深く掘り下げる。
- ドメイン緊急事態 EP05:2024年Squarespace DeFiドメイン大量乗っ取り事件2024年7月、Google DomainsからSquarespaceへのレジストラ移行が、デフォルト認証の脆弱性を大規模な攻撃面に変えた。攻撃者はCompound Finance、Celer Network、Pendle、Unstoppable Domainsなど暗号資産・DeFiプロジェクトのドメインを乗っ取り、ウォレットドレイナー型フィッシングサイトに誘導した。「シームレス」な移行がいかにして数百の無施錠の玄関を生み出したか、そしてレジストラセキュリティとMFAについて何を教えてくれるかを解説する。
- BadgerDAOフロントエンド攻撃:1本の注入スクリプトで1億2000万ドルが流出2021年12月、攻撃者はBadgerDAOのCloudflareアカウントを侵害し、ウェブサイトのフロントエンドに悪意あるスクリプトを1本注入した。監査済みのスマートコントラクトには一切手を触れていないにもかかわらず、ユーザーが知らぬまま署名したウォレット承認を通じて約1億2000万ドルが奪われた。ウェブサイトもセキュリティの攻撃面であることを深掘りする。