【盗難】bitFlyerからビットコインを盗まれたスーパービットブラザーズ廃業へ

Please vote me ❤

6000万相当のビットコインがbitFlyerから盗まれたというSPAの記事で、取引所に置いておくリスク・セキュリティに関して再度考えさせられた。件の「B氏」というのが実はスーパービットブラザーズというビットコイン取引所であったことが分かり、さらにスーパービットブラザーズは廃業になり、今後の法廷闘争の行方が見守られる。

取引増加で分裂騒動まで起きてしまうほど、今や新たな投資先として注目を集めるビットコイン。だが、黎明期だけにトラブルも絶えない。そんななか「知らぬ間に外部に送金され、口座のビットコインが消失した」と訴…

まず記事から事件をおさらいしよう。

フィンテック株式会社という会社がスーパービットブラザーズの運営を行っていて、この会社の所在地は恵比寿ガーデンプレイスタワー18階となっている。会社概要等を探してみたものの公式には事件の起こった「香港のオフィス」というものが見当たらず、少々不安を覚える。

そして、盗難時のIPは既に何度もログインする際に使われていたIPと同一でbitFlyer側では顧客自身による操作なのか、第三者による操作なのか判別可能な情報がなく、bitFlyer側は万一第三者による不正な出金であっても顧客側に責任があると考えているようだ。

2FAはメールで受け取っていたようで、これもGoogleAuthに比べセキュリティの信頼性は劣るものだ。メールではアドレスがIDで任意のパスを使いどこでも受信出来る物も多く、パスを破られてしまうといくらでもメールを盗み見る事が可能になり、2FAはもはや意味のないものになってしまう。他方、出金時の2FAの導入は事件発生時はまだ導入されておらず、ログインされてしまうと万事休すといった状況でもあった。

記事ではCookieの設定についても言及されている。

疑惑どころか 99.99% くらい黒な話。(後記:セッション盗まれたと思ってたけど、よくよく考え直してみると生パスワードごと盗まれてる可能性もあるしやばい)
HTTP Headers という 5万人が使っている Chrome 拡張のマルウェア疑惑。セッション盗まれて BTC も盗まれそうになった話。 の続き。今回は Chrome 拡張とは関係ない、サイト設計側の話です。※本記事では Zaif のセキュリティ上の問題について指摘していますが、非難の意図はありません。

この記事をご覧頂きたい。この様にCookieの設定が適切ではなく、マルウェアに感染していた場合にはセッションを奪われてしまう事件も報告されている。IDやPASSをいくら厳重に保管していても、いとも簡単に乗っ取られてしまうのだ。

で、件のスーパービットブラザーズはビットフライヤー被害者の会を作ったらしいw

http://www.s-bitcoin.com/bitcoin_0825.pdf

法人同士なんだから1:1でやり合うもんだと思いきや何故か被害者の会と言って被害者を集め始めた。ということは、現状だと分が悪いから被害者集めて弱者救済の名目で取り返そうという意図なんだろうかと見えてしまう。

どうあれ具体的にどういう形で盗まれてしまったのか明らかにならなければ分からない部分が多いのでどちらが云々ということは言えないが、まだまだ発展途上の業界とはいえ顧客資産を守るという意味ではどの取引所であってもより万全を期す対策を今後も続けて欲しい。

自分たちはどう対策するべきか。

盗難にあって始めて気付く方がとても多く、被害者を責めるな!なんて言う声もあるけれど、先に対策していなければあとで泣こうが喚こうがどうにもならないんだ。どうにもならないから、先にどうか出来る限りの対策をしておいて欲しい。被害者を責めるような言葉が出てくるのも、先人たちが辛酸を舐めた経験を元にこれ以上辛い思いをする人を出さないために散々言って来ているのに何でやらないんだ!という無念な気持ちからだと思う。補償なんて期待出来ない世界なんだ。ならば自分で自分の身を守るしか無いと肝に銘じて欲しい。

1.「2FA」は必ず設定する

もはや当然ではあるが、GoogleAuth等で取引端末とは別の端末を使う事をオススメする。

2.「ID/PASS」は必ずわける

慣れてきて複数の取引所を使うことがあると思う。しかし、ID/PASSの使い回しは絶対に避けよう。特に、海外の取引所では全部抜かれてるんじゃ?なんて話が聞こえてくる事もある。1つ1つ手間ではあるが全て別の物を用意しよう。

3.「ハードウェアウォレット」を活用する

【日本語ガイドセット】TREZOR(トレザー)ビットコイン ハードウェアウォレット (白)

TREZOR等のハードウェアウォレットを使用して、不要不急なものは物理的に隔離して置いておくのが現状ではベターな対策だ。

4.「通知はオン」で確認を

ログイン通知や送金等々、取引所によって差はあるが特定の行動をした時にメール等で通知をしてくれる。メールが大量に届いて面倒に感じるかもしれないが、何らかの事情で不正にログインや出金をされそうな時にはこの通知が最後の砦になる。

最後に

昨日のZaifトークンの一連の流れを見ていても分かるように、投資として資金を入れるべき物ではないと前に記したが右肩上がりの急伸に耳をかそうとする者など居ないばかりか、意味を解せず否定派だと煽られる始末だった。だが、取引所からの発表で暴落すると一転して補償だの何だのと手のひらクルーである。「分かっていて踊るのと、分からず踊らされる」のでは大違いなのだ。

どうかTrustlessで、何事も注意深くあれ

スポンサーリンク

シェアする

  • このエントリーをはてなブックマークに追加

フォローする