CoinPostで今最も読まれています

ビットポイントのハッキング事件、攻撃手法と考えられる3つの可能性

画像はShutterstockのライセンス許諾により使用

ビットポイントのハッキング事件から得られる教訓
仮想通貨取引所ビットポイントのハッキング事件、攻撃手法と考えられる3つの可能性を分析。

ビットポイントのハッキング事件を振り返る

BitPointは7月12日、35億円相当の被害を受けたことを公表した。内訳は、ビットコイン、ビットコインキャッシュ、イーサリアム、ライトコイン、リップルの5種類であることが公式発表からわかっている。

14日時点で、Bitcoin:2230BTC、Ethereum:13027ETHが盗まれた記録がブロックチェーンエクスプローラで確認。各アドレスはビットポイントからは開示されていないが、twitter で有志による調査が行われている他、タグ付けなども行われている。

ビットコイン:2230BTC

イーサリアム:13027ETH

ビットポイントの発表では、攻撃を受けたのはホットウォレットからの流出であることが確認されているが、自社開発のウォレット、マルチシグ対応といった対策についてやハッキングの攻撃手法についてなどは、未だ公開されていない。

同社は情報セキュリティ会社アイ・エス・レーティング社のセキュリティレーティングで「A」ランクを取得(最高ランクAAAの7段階評価)と、上位レーティングとされているため、一般的な対策は行なっていたと見られる。

攻撃手法とその可能性

まだまだ情報が少ないことから、ビットポイントがどのような攻撃を受けたのかは推測の域を出ないが、概ね3つの可能性が考えられる。

  • 外部から侵入可能な穴が空いていて、そこから侵入されたケース
  • スピアフィッシングなど、従業員をターゲットとして攻撃を仕掛け、そこからマルウェアを仕込んだり鍵を盗んだというケース
  • 内部犯による犯行

穴が空いていたという可能性はあまり高くないと見られる。先述のように情報セキュリティ会社のセキュリティレーティングなどでも評価されており、ファイヤウォールの設置など、一般的な対策は実施済みだったと考えるのか妥当であるためだ。

内部犯については、会社に不満を持っている人間が協力者になったり、あるいは最初から狙いを持って入社する可能性もある。攻撃が成功すれば、換金は簡単ではないとはいえ、数十億、数百億円が転がり込む。大規模な組織や国家が糸を引いている可能性も否定はできない。

本流出事件の対応について

本流出事件については、7月14日に公開された第二報で、盗まれた顧客分の仮想通貨は調達済みであることを明かした。すでに盗まれた分を補填する準備が行われている点は、迅速な対応を行なっているポイントとなる。

一方、以下の2点に流出時の対応ケースとしての問題点が挙げられている。

  • 攻撃検知からサービス停止までの時間(対応)
  • 社内ネットワークと権限の分権化

攻撃検知からサービス停止までの時間

報告によれば、最初に検知されたのはリップルの不正な転送で、7/11 22:12に送金エラーを検知。27分後には流出が確認され、他の仮想通貨についても調査が行われたとしている。

調査が行われていたこともあったことも理由にある可能性はあるものの、送受金の停止対応を行なったのは、リップルの不正流出を確認してから約8時間後。他の仮想通貨の不正流出に繋がり、被害が拡大した可能性は否めない。

この動きに対して、緊急時の手順やプレイブックが正しく整備されていない可能性が指摘されており、今後業界全体の教訓となり得る部分になる。

業界では、世界的に取引所が協力して流出資産の換金を可能な限り停止させる協力関係が築かれつつある。事態の拡大だけでなく、業界全体で流出被害の解決に取り組むためにも、今後流出検知からの対応のスピードは重要視される可能性は高い。

社内ネットワークと権限の分権化

また、第二報では、海外向けに提供していたビットポイントの別取引所でも流出が確認されている(損害は約2.5億円を見込んでいる)点が触れられており、社内ネットワークと権限の分権化が問われている。

現在、香港向けのサービス(bitpoint.hk)も7月12日からサービスを停止している状況にある。

攻撃が、外部犯であっても、内部犯であっても、複数のサービスをまたいで攻撃を受けた点は、社内のネットワークや権限がうまく分離できていなかった可能性を示すものであり、流出被害の拡大を防ぐケースとしてネットワークの分権化の重要性が問われることとなりそうだ。

詳細については調査結果待ちだが、なぜこのような問題が起こってしまったのか、仮想通貨業界全体が教訓を得られるような、透明性の高いレポートを期待したい。

CoinPost App DL
注目・速報 相場分析 動画解説 新着一覧
09/19 木曜日
17:48
「SECの仮想通貨規制は市場混乱を招く」米下院公聴会で厳しい批判
米国下院金融サービス委員会の公聴会で、証券取引委員会は「仮想通貨市場に更なる混乱と不確実性をもたらした」として、厳しく批判された。元SEC委員の証言では、議会主導の包括的な規制枠組みの必要性が強調された。
17:39
ゼロ知識証明の利点と課題:汎用性の高さと多彩なユースケース|WebX2024
WebX2024で業界トップの専門家が、ゼロ知識証明の可能性について語った。スケーラビリティ、プライバシー、セキュリティの向上から、AIや金融分野での革新的応用までの幅広いトピックで意見を交換した。
14:30
テザー社、これまでに不正ウォレット凍結で160億円を回収 市場シェアは75%に到達
テザー社が不正資金対策の成果を報告。世界180の当局と協力し、1,850以上のウォレットを凍結。USDTの市場シェアは75%に拡大。
14:08
FOMC後に上昇加速したビットコイン相場をプロが解説|寄稿:仮想NISHI
米連邦公開市場委員会(FOMC)後に上昇した暗号資産(仮想通貨)相場の今後の展望は? ビットコイン相場とデリバティブの最新データについて、SBI VCトレードのアナリスト「仮想NISHI」が解説した。
13:20
ソラナスマホ「チャプター2」、「Solana Seeker」へと改名 Helium無料サービスなど搭載
ソラナラボ傘下のスマホ子会社「Solana Mobile」は19日、二代目のスマートフォン「チャプター2」を「Solana Seeker(ソラナシーカー)」へとリブランディングしたことを発表した。
12:55
Bitgetら2社、TONへの42億円の投資を発表
TONエコシステムの発展を支援することを目的に、BitgetとForesight Venturesが42億円の投資を発表。仮想通貨TONを大口保有者から入手することで投資を行うという。
11:20
三菱商事のDREAMが推進する不動産投資、トークン化されたSTファンドの新たな展開
ダイヤモンド・リアルティ・マネジメント株式会社、みずほリース株式会社、およびエムエル・エステート株式会社は18日に、適格機関投資家向け不動産STOファンドを組成した。
09:45
米SEC、仮想通貨DeFiプラットフォームRari Capitalと和解
SECがRari Capitalの利回りサービスの問題点を告発・和解。未登録ブローカー活動や誤解を招く宣伝などで和解に至った経緯を解説。
08:25
米FRB、0.5ポイントの大幅利下げを決定
米FRBはFOMCの会合で0.5ポイントの大幅利下げを決定。金融政策の転換がビットコインなどの仮想通貨相場の追い風となるか注目が集まっている。
08:05
米国初、ルイジアナ州政府 ビットコインライトニングに対応 
ビットコインの支払いの仕組みについては、政府間取引のための仮想通貨変換サービス「Bead Pay」によって米ドルに変換される。政府としては、ビットコインを直接保有したりしない。
06:55
トランプ氏、ニューヨークのバーで初めてのビットコイン決済
米国のドナルド・トランプ前大統領は18日、大統領選に向けたキャンペーンで、ニューヨーク市のバー「PubKey Bar」を訪問し仮想通貨ビットコインを使ってチーズバーガーを購入した。
06:20
仮想通貨ALEOとZETA、コインベースへ新規上場 価格高騰
仮想通貨取引所大手のコインベースは19日、2銘柄の新規上場を発表した。ZETAは価格が高騰している。
09/18 水曜日
16:52
「ビットコインはリスク資産ではない」ブラックロック幹部が指摘
ブラックロックのデジタル資産責任者が、ビットコインの誤った認識を指摘。リスク資産ではなく非相関資産であると主張し、機関投資家教育の重要性を強調した。
14:00
シンガポール最大銀DBS、仮想通貨オプション提供へ
年内に提供か シンガポール最大の銀行であるDBSは17日、2024年第4四半期(10〜12月)から機関投資家と富裕層向けに暗号資産(仮想通貨)のオプション取引と仕組み債を提供す…
12:50
Wintermute、米国選挙の予測市場開始へ トランプとハリストークンを上場
Wintermuteが米国選挙予測市場をまもなく開始する。イーサリアムなど複数ブロックチェーン対応。トランプ氏とハリス氏の勝利予測動向も解説。

通貨データ

グローバル情報
一覧
プロジェクト
アナウンス
上場/ペア