コインチェック(coincheck)NEM流出事件から学ぶ、必須のセキュリティ方法

6787

コインチェックNEM流出事件から学ぶ、ネットセキュリティーを習得
ひろぴー(Twitter:@hiropi_fx

1月26日(金)お昼頃、コインチェックから「【重要】NEMの入金について」というメールが・・・
その時は、「また何かトラブルでもあったのかな」ぐらいに思っていました。

なんとなく、コインを今売るとどの位かな~とコインチェックのアプリを開いて見てみたら、赤い文字でビックリマークと「取引制限通貨ペア」と出ているではありませんか!

遂に一部システムがダウンしたのかな?と、まだこの事態に気づいていませんでした!

最近、仮想通貨の取引所に登録する方が多くなってきて、セキュリティーに関して少々気になっていたところです。

ひろぴーのブログでは既に注意喚起の記事を載せていましたが、Zaifの件もあり取引所側のセキュリティーも気になっていました。

暫くして、何か重大な事が起こったのではと推測されるTwitterがいくつも舞い込んできました。

もう皆さんご存知のNEM(XEM)の大量流出です。

もちろんこれはハッカーの仕業だろうと思いましたが、5億を超えるNEM(XEM)ってなんだよ!と心の中で叫んでしまいました。

皆さんも、「まさか」と思ったことでしょう。

さっそくnem explorerで事実を確認してみました。

すごい数だわ! これです↓

nem explorer

(ここから誰でも見られます!→explorer.ournem.com

同時期に他のウォレット8箇所に転送しています。
まだ、時間に余裕が有ったようで、残りも根こそぎ持っていきましたね!

コインチェック緊急記者会見で明らかになった事

そんなこんなで寝ようと思っていたら緊急記者会見の情報。
記者会見を見ていて気になった所を4点だけ、以下に示します。

  1. コールドウォレットは導入していなかった、記者の質問に対して難易度が高く準備できていなかったと。
  2. NEM送金時にマルチシグを設定していなかった
  3. NEM側はハードフォークに応じないとの事
  4. 外部からの侵入ではない?!

1、2に関しては「セキュリティー意識が全くない」と言っても過言ではありません。

この時、仮想通貨を預けていたユーザーとしてかなりショックでした。

やられるべくしてやられた(ハッカーに)という感じです。

3に関しては、NEM側が用意しているマルチシグを利用していなかったという事でNEMの落ち度はない。ごもっともです。

4は、外部からではない?じゃ内部犯行?ってツッコミたくなりました。

何れにせよ、コインチェックのネットワーク外(外部)からのハッキングであれば、何らかのセキュリティーホールがなければ侵入することはできません。

穴を開けられたとするなら、やはりウイルスによる侵入でしょう!会見上では否定していましたが、今後の原因調査が気になります。

NEMの特性について今回の事件で有効な手法!とは

その後ハッカーの行動が気になって、再びnem explorerでハッカーが送りつけた先のウォレットを覗いてみました。

すると何やら怪しげなコメントが見えます!

mizunashi.coincheck_stolen_funds_do_not_accept_trades:owner_of_this_account_is_hacker

nem explorer

ハッカーの犯行声明?!mizunashiとは?日本人?

よく見るとNEMの特徴であるMosaicの名前ですね!この時偶然にもmizunashiというTwitterが舞い込んできました。

なるほど!

水無 凛@#みなりん*さん(@mizunashi)と言われる方で、NEM財団のメンバーだったのです。

この方がMosaicを作成してハッカーの財布(分散させた9つ)全てに送りつけたのです。

これでハッカーのウォレットにマークが付けられました。その後NEM財団でこのタグ(マーク)から自動追尾するシステムを急遽作成し現在稼働に至っているそうです。

正直Mosaicは何に使えるのだろうと思っていましたがこんな使い方があるのだと関心させられました。

(ちなみにひろぴーはhiropiモザイクを99個作りましたが何もしていません:笑)

また、水無 凛@#みなりん*さんとNEM財団の行動が早い!ハッカーは現時点(1/29)では、盗んだNEMはまだ移動できていません。

ハッキングは企業にも個人にも起こり得る事です。

特に仮想通貨取引者はハッカーの新しいターゲットとなっているので、今後も要注意です!

ハッカーの手口に気をつけるべきポイントとは

セキュリティ上気をつけるべきポイント

ハッカーの手口は端末コンピュータに何らかの方法でウイルスを送りつけ(侵入させ)ます。
そのウイルスの動きは多々ありますが今回の例で推測するとリモートアプリを組み込まれます。

一旦リモートアプリが起動するとハッカーからはその端末操作は丸見えです。
使用者は全く違和感を感じません。

仕事を終え電源を切ってもネットワーク起動で端末の電源をONにすることは容易なのです。
操作の全てを見られていますからパスワードや秘密鍵はしっかり見られているわけですね。

ここまで来たらもうどうしようもありません。ハッカーの思いのままです。
こういった場合、スマホアプリによる二段階認証は本当に有効なわけなんですね!

ウィルスを送り込む手口

ウィルスを送り込む手口

ではウイルスをどうやって送り込むのか?

一般的な手法としてはフィッシングメールが有名です。
最近bitFlyerやBinanceを装ったフィッシングメールが確認されています。

以下、フィッシング対策協議会が注意を呼びかけています。

フィッシング対策協議会の緊急情報をお知らせします。
bitFlyerをかたるフィッシングメールが出回っています。
bitFlyerにアカウントをお持ちの方は特にご注意ください!
「【bitFlyer】本人認証サービス 」などの件名でbitFlyerをかたるニセメールが出回っています。

システムの安全性の更新を理由にアカウントが凍結されないようアカウントの認証としてメール内のリンクを開かせようとします。

登録を続けるよう促がし、クリックさせることでフィッシングサイトへ誘導します。

実際にはクリックするとフィッシングサイトに飛ばされ、IDやパスワードなどの入力画面が表示されます。
その後、4桁の暗証番号、Webメールパスワードも入力させようとします。

フィッシングサイトですので、これらの情報を入力するとbitFlyerのアカウントの情報が盗まれることになります。

本物のサイトを丸ごとコピーして作っているケースが多いため、画面までいってしまうと見ただけでは本物と区別がつきません。
ログインされてしまうとアカウントに登録されている情報(住所、銀行口座情報、クレジットカード情報など)が見られてしまうほか、勝手にビットコインの取引をされてしまう可能性もありますので必ず公式サイトから利用してください。

他にはアクセス数の多いサイトを乗取りそこのバナーにフィッシングサイトのアドレスを張り込んで誘導する。このようにユーザーに怪しいと思わせない手口もあります。クリックした後に「怪しい」と思った時は「時すでに遅し」です。

そのサイトに入り込んだ瞬間ウイルスが侵入することもあります。

企業の場合はもっと手が込んでいます。

中枢をコントロールする端末にいきなり入れるような甘いセキュリティーは論外として、最初に外部から簡単にやり取りできるようなインフォメーションなどの部署の端末を攻撃のターゲットとしてメールを送り付けてきます。

その後インフォメーション担当のPCを乗取り内部メールで重要なポジションのPCへウイルスを送りつけます。外部と接触していないPCであっても、担当者は内部メールなので添付ファイルを安易に開けてしまいます。

こうした巧妙な手口でハッキングされると防御しようが無いですよね!

そこで、万が一そうなっても通貨を持ち去られないようにコールドウォレットの様にネットワークから切り離した状態で秘密鍵などを保管する場所を作るのです。

一般ユーザーでも心配な方はPCを使わない時はネットワークケーブルを切断しておくのが最も望ましいのですが・・・

もちろんその前に

  • ウイルスチェッカーのインストール
  • フィッシングメールに十分注意する、また添付ファイルは容易に開かない!
  • 取引所では必ず2段階認証を設定する!
  • セキュリティー関連のアップデートはこまめに実行する

普段から「怪しい」と思う意識付けが大切だと思います。

実は!ひろぴーもXRPを持って行かれたことがあるのです(笑)←

まだ仮想通貨走り出しの頃でしたが、3年ほど前に、70万リップルが取引所のウォレットから消えていたのです!原因はウイルスによるものか、取引所のセキュリティの甘さなのか、未だにわかりませんが当時はセキュリティーが今より甘かったのは事実です。

ですから、自分でできることは被害を最小限に食い止める普段の行動です。

最近ではパスワードを最低8文字以上英数文字と記号、大文字を組み合わせなければ設定できないサイトが多くなっています。

なぜなら、小文字だけの英文字種類は26種類ですので、その場合文字の組み合わせを総当りで計算させた場合、一般的なノートパソコンで約18日で計算出来てしまいます。

これが10桁になれば約32年かかる計算になります。

さらに、英字大文字、小文字、数字を組み合わせると文字は62種類となり8桁の場合約50年、さらに記号を加えると93種類として8桁の場合約1千年かかります。

最近ではコンピュータの性能が格段に上っているので「最低でも16桁以上に設定」されることをおすすめします。

セキュリティー対策を万全にし、セキュリティー意識をいつも持って安心・安全に仮想通貨取引を行ってください。

仮想通貨は確かに儲かりますが、各ユーザへ要求されるリスク管理レベルは株やFXなどとは比ではないぐらいです。

システム管理に疎い方でも、保有コインを取引所に分散させたり、ハードウォレットを一部移したりすることはできます。

また仮想通貨の資産をうまく分散させて必ず保管する癖をつけていきましょう。

一つの口座で全て置いておくということだけは絶対にやめてくださいね!

関連記事:
coincheck(コインチェック) 400億円相当のNEMトラブルで出金・売買停止
業界大手coincheck(コインチェック)NEM流出騒動・・・NEMバーにいた投資家の反応は?