ハッキングによりデータ流出
暗号資産(仮想通貨)取引ソフトウェアを提供する3Commasは29日、ネット上で公開されていたユーザーデータが本物であることを確認したと発表した。ハッキングにより、APIキーが大量に流出していた形だ。
3Commas Statement:
— 3Commas (@3commas_io) December 28, 2022
1) We have seen the hacker's message and can confirm that the data in the files is true. As an immediate action, we have requested that Binance, Kucoin and other supported exchanges revoke all keys that were connected to 3Commas. pic.twitter.com/ZMuzCqeF1j
3Commasは、バイナンス、Kucoinやその他の、同ソフトウェアを使用できた仮想通貨取引所に対して、3CommasのAPIにおけるユーザーの接続キー(APIキー)を、すべて取り消すよう要請した。
さらに、追加のセキュリティ対策を実施し、法執行機関と共に、徹底的な調査を実施する予定だとしている。
APIキーとは
APIサービスの提供事業者が独自に発行している認証情報。プロジェクト単位で発行することが可能で、権限を持たない者からの接続を防ぐなど、セキュリティを高める。APIは、「Application Programming Interface」の略で、アプリやソフトウェア同士をつなぐ役割を果たす。
▶️仮想通貨用語集
3Commasは、内部犯行の可能性も含めて、できる限りの調査を行ったが、内部犯行を示す証拠は見つからなかったとしている。インフラにアクセスできる少数の技術系社員についても、11月19日以降、アクセスできないような措置を講じていると説明した。
3Commasは、ユーザーが、仮想通貨取引所で自動的に取引するボットを作ることができるソフトウェアだ。それぞれの取引所に対してAPIのキーを生成し、ユーザーは、そのAPIキーを3Commasに接続させて利用する。
3Commasは、すべてのユーザーに対して、取引所でAPIキーを再発行することを推奨した。キーを更新しなければ、セキュリティを守るため、取引所の方から無効とされる可能性があるとしている。
また、11月16日以降に生成されたAPIキーは危険にさらされていないとも説明した。
ハッカーが盗んだAPIキーを公開
背景として28日、あるツイッターユーザーが、3Commasユーザーのものとされる1万個以上のAPIキーを公開。約10万個のAPIキーを盗み出したと主張していた。今回、3Commasはそれが事実であったことを確認した形だ。
3Commasのユーザーは10月より3CommasのAPIを介した被害を報告していた。APIを介して、何者かによりバイナンス、KuCoin、コインベースなどの取引所で、勝手にユーザーアカウントで取引を行われた形だ。
3Commasも、様々なユーザーが合計約8億円(600万ドル)の損害を受けていることを認めていたが、当初3Commasは、ハッキングによる情報漏洩ではなく、フィッシングが原因だろうと述べていた。
I am reasonably sure there are wide spread API key leaks from 3Commas. If you have ever put an API key in 3Commas (from any exchange), please disable it immediately.
— CZ 🔶 Binance (@cz_binance) December 28, 2022
Stay #SAFU.
バイナンスのCZ CEOも、「3CommasからAPIキーが広範に漏洩したことを確信している」と述べ、取引所のAPIキーを3Commasに接続している場合は、すぐに無効にしてほしいと呼びかけている。
12月初めには、ツイッターで「CoinMamba」を名乗るユーザーが、3Commasで作成された自身のAPIを介して、バイナンスのアカウントがハッキングされたと主張していた。
CZ氏は、CoinMamba氏とやり取りして、「調査の結果、この事例は補償の対象ではなく、自身のAPIの管理が重要だ」と述べている。
関連:バイナンス、一部取引ペアの「異常な値動き」検知で臨時対応
