【墨汁速報】フィッシングメールに気をつけて!BitMEXがメアド流出の経緯とその後の対策を公開

編集部おすすめ

【墨汁速報】フィッシングメールに気をつけて!BitMEXがメアド流出の経緯とその後の対策を公開

仮想通貨デリバティブ取引所のビットメックス(BitMEX)は、11月1日に発表した新たなインデックス計算方と取引所追加告知でユーザーのメールアドレスが大量に流出した問題を謝罪。BitMEXのサポートなどを語るフィッシングメールの注意喚起を行った。

関連記事:【墨汁速報】11月22日より開始!BitMEX インデックス価格に3つの取引所を加え出来高荷重を導入

メールアドレス流出の原因

2019年11月1日 日本時間15時にかけて、BitMEXが行った新しいインデックス計算とGeminiやItbitなどの新しい取引所追加をアナウンスするメールにおいて、下記の画像1のように他のメールを送信されたユーザーのメールアドレスが流出した。本来ならば「To」にアドレスを入力するのではなく、他の同一ユーザーがアドレスを知ることがないように「BCC」を利用しなければならない。

今回はBitMEXがユーザーへのメール送信をAPIで行った際、Toへ入力したリテラルの連結を作成したことに気づかなかったことが原因であるという。BitMEXによるとメールアドレス以外の個人嬢流出はしていないという。

画像1. 実際にBitMEXから送付されたメール

流出の被害ユーザー

対象ユーザーはBitMEXのほとんどのユーザーであり、上記画像1のメールを受け取ったユーザーは全てアドレスが第三者に知られてしまったことになる。BitMEX曰くもし受け取ったメールでToの中に自身のアドレスのみが見える場合、アドレス流出被害にはあっていないという。

またメールを受け取っていないユーザーは被害にあった可能性があるとしており注意が必要だ。BitMEXはメールアドレス流出事件後1日日本時間22時、ユーザーのリスクをへらすため不審なログインケースを監視し、下記に該当するリクエストをキャンセルしたという。

  • 二段階認証を行っていないユーザーの引出しリクエスト
  • 1度も使用していないビットコインアドレスへの引出し
  • 新しいIPアドレス
  • アドレス流出後に作成されたアカウント

もし2FA(二段階認証)を設定していない場合、仮想通貨において必ず設定しなければならない重要なせセキュリティであるため、全ての取引所やサービスで2FAを行う必要があるだろう。

BitMEXを語ったフィッシングメールに注意

今回被害にあったBitMEXユーザーがもっとも注意しなければならないのは、BitMEXサポートを語ったフィッシングメールだろう。BitMEX公式によると

をコントラクトリストに追加しておくことを推奨している。例えば、support@b“l”tmex.comやsupport@bit“n”ex.comのように似たようなアルファベットによる偽装アドレスなどから
、「パスワードが流出した。下記URLからログインしてパスワードを変更」のようなフィッシングメールにより、ハッカーがBitMEXの見た目だけをコピーして作ったパスワード回収サイトへ飛ばされ、資産が盗まれてしまうなどがあり得る。このようなフィッシングを避けるには「メールから仮想通貨取引所にアクセスしない」などの注意が必要だ。

またもしメールアドレスを使いまわししている場合、他のサイトで個人情報が流出しているとそれを利用して取引所にアクセスされる可能性もある。このような不正ログインに合わないためには、取引所ごとに専用メールアドレスを用意し、パスワードは個別に設定することで回避できるだろう。

参照:Email Privacy Issue: What Is Happening And How Can We Help

【こんな記事も読まれています】
次のBinanceやBitMEXを目指す有力な新しい3つの仮想通貨取引所
知らないとヤバイ?仮想通貨取引所BitMEX(ビットメックス)5つの価格表示とは?
知らないとヤバイ?レバレッジ最大100倍の仮想通貨取引所BitMEX(ビットメックス)の特徴