この記事を書いた人

暗号通貨取引所「Zaif」がハッキングされた今、セキュリティ対策として私たちができること。

 

 

イズミ リム
こちらは、ブロックチェーンソーシャルメディアNemlogにて「【Live更新】Zaifがハッキングされた今、私たちができること。」として当日にLiveで更新していたものに加筆修正したものです。現在は、記事としては完成系として掲載しています。

 

はじめに:「Zaifがハッキングされた。」

2018-09-20:22:30

概要

Zaif、不正アクセスでビットコインなど約67億円相当流出:IT media

 

テックビューロが運営する仮想通貨取引所「Zaif」が9月14日、ハッキング被害を受け、BTC,BCH,MONAの3つの暗号通貨が流出したと発表しました(NEMの流出は、現在のところ確認されていません。)
Zaifはこの件で、公式HPで報告を行っています。

被害額は約67億円相当と見られており、該当資産はホットウォレット※で管理されていました。
顧客の預かり資産に相当する仮想通貨は約45億円、Zaif固有の資産は約22億円相当と発表されています。

 

(※:ホットウォレットとは、ネットワークにつながった状態で機能する暗号通貨ウォレットのこと。

  • ホットウォレット:ロー~ミドルレベルのセキュリティ:手軽
  • コールドウォレット:ネットワークから隔離された暗号通貨ウォレット:ハイレベルのセキュリティ:煩雑

 

 

流出被害の対応

 

被害にあった資産に対応するため、株式会社フィスコのグループ企業である株式会社フィスコデジタルアセットグループの子会社を通じて、Zaifに対して、50億円を提供する金融支援、および同Fixco子会社グループに大半の株式を売却することが決定されました。(=Zaifの株式の過半数を取得する資本提携、過半数以上の取締役及び監査役の派遣、を検討する内容とする基本契約を締結がされました。)

4.入出金の再開、お客様の資産に関する今後の方針
①仮想通貨の入出金
弊社は、一刻も早い入出金の再開に向けて、株式会社カイカの技術者によるサポートを受けながら、システムの再構築に努める次第です。
なお、仮想通貨の入出金の再開は、システムの安全性が確認されることが前提となります。現時点におきましては、再開の年月日を具体的に申し上げることはできませんことを、心からお詫び申し上げます。
お客様の大切な資産につきましては、次で述べますとおり、財産の調達により担保される予定ですので、何卒ご理解下さいますようお願い申し上げます。

②お客様の資産(日本円の調達、及び、預かり仮想通貨の準備)
弊社は、株式会社フィスコデジタルアセットグループとの間で、弊社に対して50億円が提供されることを検討する内容とする基本契約を締結しました。同社との間では、今月下旬には提供が実行されることを前提として準備・交渉を進めております。
その上で、弊社は、提供を受けた資金により、消失した仮想通貨を調達し、お客様の資産に被害が及ばないように準備を行う予定です。
今後、基本契約の内容が実行されるなどした場合は、適宜、速やかにご報告をさせていただく次第です。

 

 

なぜ注目する必要があるのか

 

2018-09-20:23:30

コインチェックでは桁が一個ちがって500億以上でしたが、かといって今回が事件として軽いものであるということではありません。
流出金額も、界隈への影響力を判定する上で大事ではありますが、私は「過去に学べずに再度、取引所がハッキングされた」という事実のほうが重要だと感じています。

コインチェックでのXEM流出事件では、みなりん*(水無 凛さん)さんが犯人のアドレスにタグ付けを行い、追跡が行われました。
今回も通貨がBTCになりますが、海外のハッカー(だれかは分からない)が犯人のアドレスにタグ付けを行い、監視と追跡がされているようです。
またblockseerというチェーンの流れを可視化するWEBサービスでは、該当のアドレスのチェーン上のアクティビティが可視化済み。
(登録ユーザーである必要がある感じですが、今回記事にするために展開していったマップをシェアできるようなので貼っておきます。→Zaifハッキングマップ

2018-09-20:23:55

しかし、ブロックチェーンでは追跡は可能なものの、その資金を動かしているのは「どこの誰なのか」について特定するのは極めて難しいといえます。

社会ができることは、「なぜまた起きてしまったのか」について反省すること。
また、コインチェックに引き続いて被害に合ってしまった方は、なぜそうなってしまったのか。
企業や自身のセキュリティ認識を、あらためて認識し直すチャンスです。
これはコインチェック事件でも、同様のことをこちらでも書いてはいましたが、時間が経つと忘れてしまいますし、「暗号通貨にはセキュリティ対策が必須である」というアドバイスも、暗号通貨に接するすべてのユーザーには届いていないことを感じています。

これは、一人が情報を発信していても伝播しないことと思います。
被害に合ってしまった方は、これを機に暗号通貨セキュリティについて調べてみてほしいし適切な対処を行っていたために被害を免れた方も、その知見を積極的に発信していってほしいと思っています。

 

私たちができること。

 

(あなたが秘密鍵持っていないなら そのビットコインは あなたのものではありません)

2018-09-21:00:21

暗号通貨のセキュリティ対策は、簡潔に言って以下のようになります。

 

秘密鍵は、どんなことがあろうとも”自分だけが”保持するようにしてください。

そして大きな資産を所有している場合秘密鍵”は、ネットワークから隔離してください。

 

 

「NO MORE GOX!」|仮想通貨初心者のためのセキュリティ対策ガイド超入門編

 

ここでは1から詳しくセキュリティ対策については記述しませんが、以前に暗号通貨に対するセキュリティ対策として、よくまとまっていた海外記事を和訳したことがあります。↑

① パスワードマネージャー
1:Dashlane
2:KeePass
② 二段階認証(2FA認証)
③ Cryptonite|Google Chrome拡張機能
④ AdBlocker|広告ブロック
⑤ VPNまたはTorブラウザ|IPアドレスの保護
⑥ ハードウェアウォレット
⑦ アンチウイルスソフト
結論

 

という感じでまとまっているので、暗号通貨のセキュリティについてまだ調べてみていないという人は、目を通してみてください。

 

USDT(Tether)はOmniWalletで保管することができます!

また、USD価値連動する通貨「Tether(テザー)」等にしておけば大丈夫というのもセキュリティとしては十分ではありません。
Tetherにしても暗号通貨の一種なので、上記の暗号通貨における原則は適用できます。
秘密鍵を保持しておくこと。これはすごく重要です。

参考にしてみてください。

 

独自追跡log:流出したビットコインの行方

ここからは、独自にZaifハッキングで流出したビットコインのルートを追跡していった記録になります。


2018-09-20:23:54

Zaifハッキング

調べた。
ZAIF HACKERというタグが付いている。
犯人のアドレスと

 

犯人と思われるアドレスの一つは、

1FmwHh6pgkf4meCMoqo8fHH3GNRF571f9w

だということが、Coinpostさんの記事で報じられています。

 

  • 受信:5,966.1 BTC
  • 送信:5,966.1 BTC

となっており、現在このアドレスのバランスは0になっています。

Zaifハッキング

 

ここからはBlockseerを活用して、資金の流れを見ていきたいと思います。
タグがすでに付いていますが、どこの誰がつけたものなのかは、現状把握できていません。
(ビットコインアドレスへのタグ付けの原理も少々よく分かっていないので、調査中です。)

 

このうち、 保管されていた大部分のビットコインである4954BTCが別のアドレス(1G8bJA7yB8327FUGz325QoGox3ckudG4zf)に転送されており、「FROMZAIFTO001」(※from Zaif to 01)のタグが付けられています。
ちなみにこのBlockseer上のタグは、Blockseer上で登録されているもので、ユーザーなら誰でも付与できるものなので、チェーンに書き込まれているなどの構造ではないと思われます。

(ちなみに「FROMZAIFTO001」 と付けられていますが、一つ前に図中では一番上の1FmwHh6pgkf4meCMoqo8fHH3GNRF571f9wがあります。)

Zaifハッキング

 

このうち

1FmwHh6pgkf4meCMoqo8fHH3GNRF571f9w」から1002BTC、

および(1G8bJA7yB8327FUGz325QoGox3ckudG4zf)から「13zdGJGBcvGuo5c7geKEdf8f5Bfba7jDDT」を経て送られた4954BTC

その合計5956BTCが、「3MyE8PRRitpLxy54chtf9pdpjf5NZgTfbZ」に送られています。

Zaifハッキング

 

その「3My~~fbZ」から1つのアドレスを経て、「3HfQmx4QBBVB6699mhSpdbVnYq19pxPWsu」に2454BTCが送られ、2018-09-20:22:53:47時点でそのまま残留しています。

Zaifハッキング

 

また、前述の通り3Hf~~Wsuのアドレスには多くBTCが残留してますが、 1DGsZgFTPbQ8PmuMucRa8shasWBkFXpDu9に送られた1500BTCは、ミキサーを使ったようです。

 

「ZAIF_HACK_MIXER」のタグ

Zaifハッキング

ミキサーにかけられたあと、資金は急速に分散している。

 

 

 

 

このうち、現在多くのBTCが残留している、「3HfQmx4QBBVB6699mhSpdbVnYq19pxPWsu」のアドレスは、中国のブロックチェーン関連サイト「ibitlin.com」にて富豪ランキングとして掲載されています。→該当ページ(⚠安全なページではありません。)

 

海外の反応:Reddit

「日本の取引所Zaifのホットウォレットから、5966 BTC(37百万米ドル)が盗まれた。」

 

GoodRedd
14 hours ago

「ハックされた」そう言うけど、私は実際にコンピューターがハッキングされたというのは疑問だ。

これはおざなりなセキュリティとヒューマンエラー、または内部の仕業である可能性の否定できません。

 

paperraincoat
14 hours ago

統計的には、それはハッカーよりも従業員である可能性が高いです。
Bitcoinは疑似名義のお金で、数分で世界中のどこにでも簡単に移動できます。
ソフトウェアエンジニアリングの新しい分野であり、平均的なエグゼクティブは電子メールの添付ファイルの危険性すら把握できません。
従業員の盗難に関するいくつかの楽しい統計情報には、

 

・従業員盗難の統計情報

米国企業から毎年盗まれた金額:500億ドル
盗難や詐欺行為から失われる年間収入の割合:7%
雇用主から少なくとも1回盗んだ従業員の割合:75%
従業員の盗難に起因するビジネス倒産:33%
検出前の平均詐欺発生率(検出所要時間):2年間

 

・構成員の割合

従業員窃盗:42.7%
万引き:35.6%
管理:15.4%
ベンダー詐欺:3.7%

リピート: あなたの暗号通貨が取引所に置いてあるのなら、それはあなたの暗号通貨ではありません。
あなたが数百ドル以上の価値を守っているなら、ハードウェアウォレットのために150ドルを使うか、将来的にダメージをくらうか、の二択です。

 

CP70
14 hours ago

Not your keys not  your Bitcoin

(あなたが 秘密鍵持っていないなら あなたのビットコインは あなたのものではありません)

 

CaptainPugwash75
4時間前
ホット・ウォレットで6000万ドル?LOL noobs

 

さいごに

セキュリティ対策が不十分だったのではないか、という指摘が取引所になされることは、予想できます。
「ホット・ウォレットで6000万ドル?」笑 と言いたい。
なぜならコインチェックのときでも、セキュリティレベルの低いホットウォレットにいれていたXEMが盗難に合っているからです。

しかし従来の中央集権型取引所において完璧なセキュリティを実現しようと思うと、莫大なコストがかかりますし、現実的問題としてすべての事業者がクリアするのは難しいかもしれません。
やはりDEX(非中央集権取引所)の登場が待たれるのではないか、と個人的には思っています。

2018年には、日本の取引所で数十億~数百億という巨額の盗難事件が2件も発生してしまいました。
これは、こうした事件が起こってしまった構造を持つ取引所においては、今後も発生する可能性が非常に高くなっている状況と言わざる終えません。
「利用を避けること」、というのは難しいと思いますが、「常に取引所には信頼を置かないこと」、これが重要になってくると思います。