CoinPostで今最も読まれています

ビットポイントのハッキング事件、攻撃手法と考えられる3つの可能性

画像はShutterstockのライセンス許諾により使用

ビットポイントのハッキング事件から得られる教訓
仮想通貨取引所ビットポイントのハッキング事件、攻撃手法と考えられる3つの可能性を分析。

ビットポイントのハッキング事件を振り返る

BitPointは7月12日、35億円相当の被害を受けたことを公表した。内訳は、ビットコイン、ビットコインキャッシュ、イーサリアム、ライトコイン、リップルの5種類であることが公式発表からわかっている。

14日時点で、Bitcoin:2230BTC、Ethereum:13027ETHが盗まれた記録がブロックチェーンエクスプローラで確認。各アドレスはビットポイントからは開示されていないが、twitter で有志による調査が行われている他、タグ付けなども行われている。

ビットコイン:2230BTC

イーサリアム:13027ETH

ビットポイントの発表では、攻撃を受けたのはホットウォレットからの流出であることが確認されているが、自社開発のウォレット、マルチシグ対応といった対策についてやハッキングの攻撃手法についてなどは、未だ公開されていない。

同社は情報セキュリティ会社アイ・エス・レーティング社のセキュリティレーティングで「A」ランクを取得(最高ランクAAAの7段階評価)と、上位レーティングとされているため、一般的な対策は行なっていたと見られる。

攻撃手法とその可能性

まだまだ情報が少ないことから、ビットポイントがどのような攻撃を受けたのかは推測の域を出ないが、概ね3つの可能性が考えられる。

  • 外部から侵入可能な穴が空いていて、そこから侵入されたケース
  • スピアフィッシングなど、従業員をターゲットとして攻撃を仕掛け、そこからマルウェアを仕込んだり鍵を盗んだというケース
  • 内部犯による犯行

穴が空いていたという可能性はあまり高くないと見られる。先述のように情報セキュリティ会社のセキュリティレーティングなどでも評価されており、ファイヤウォールの設置など、一般的な対策は実施済みだったと考えるのか妥当であるためだ。

内部犯については、会社に不満を持っている人間が協力者になったり、あるいは最初から狙いを持って入社する可能性もある。攻撃が成功すれば、換金は簡単ではないとはいえ、数十億、数百億円が転がり込む。大規模な組織や国家が糸を引いている可能性も否定はできない。

本流出事件の対応について

本流出事件については、7月14日に公開された第二報で、盗まれた顧客分の仮想通貨は調達済みであることを明かした。すでに盗まれた分を補填する準備が行われている点は、迅速な対応を行なっているポイントとなる。

一方、以下の2点に流出時の対応ケースとしての問題点が挙げられている。

  • 攻撃検知からサービス停止までの時間(対応)
  • 社内ネットワークと権限の分権化

攻撃検知からサービス停止までの時間

報告によれば、最初に検知されたのはリップルの不正な転送で、7/11 22:12に送金エラーを検知。27分後には流出が確認され、他の仮想通貨についても調査が行われたとしている。

調査が行われていたこともあったことも理由にある可能性はあるものの、送受金の停止対応を行なったのは、リップルの不正流出を確認してから約8時間後。他の仮想通貨の不正流出に繋がり、被害が拡大した可能性は否めない。

この動きに対して、緊急時の手順やプレイブックが正しく整備されていない可能性が指摘されており、今後業界全体の教訓となり得る部分になる。

業界では、世界的に取引所が協力して流出資産の換金を可能な限り停止させる協力関係が築かれつつある。事態の拡大だけでなく、業界全体で流出被害の解決に取り組むためにも、今後流出検知からの対応のスピードは重要視される可能性は高い。

社内ネットワークと権限の分権化

また、第二報では、海外向けに提供していたビットポイントの別取引所でも流出が確認されている(損害は約2.5億円を見込んでいる)点が触れられており、社内ネットワークと権限の分権化が問われている。

現在、香港向けのサービス(bitpoint.hk)も7月12日からサービスを停止している状況にある。

攻撃が、外部犯であっても、内部犯であっても、複数のサービスをまたいで攻撃を受けた点は、社内のネットワークや権限がうまく分離できていなかった可能性を示すものであり、流出被害の拡大を防ぐケースとしてネットワークの分権化の重要性が問われることとなりそうだ。

詳細については調査結果待ちだが、なぜこのような問題が起こってしまったのか、仮想通貨業界全体が教訓を得られるような、透明性の高いレポートを期待したい。

コメントしてBTCを貰おう
注目・速報 相場分析 動画解説 新着一覧
12/07 水曜日
17:48
Ledger、次世代ウォレット「Ledger Stax」公開
大手仮想通貨ウォレット企業Ledgerは、iPodやiPhoneの開発に携わったTony Fadell氏がデザインした最新モデルのハードウォレット「Ledger Stax」のリリースを発表。2023年3月に販売開始する。
16:09
ソラナウォレットPhantom「顧客データ取得していない」
仮想通貨)ソラナの主要なウォレットPhantomは、ユーザーデータに関連するプライバシーポリシーについて説明。ウォレットアドレスとIPアドレスなどを取得していないと表明した。
14:09
仮想通貨決済の「Slash」、ピッチイベントで最優勝賞
仮想通貨の決済サービスSlash Web3 Paymentsは、Arriba StudioとNewsPicksが共催した「ArribaX」のピッチイベントで、最優勝賞と特別賞を受賞したことを発表した。
13:30
RTFKT、実物のスニーカーと引き換え可能なNFTドロップを実施
メタバース上のスニーカーNFTなどを制作する「RTFKT」は、デジタルと現実を融合する初のスマートスニーカー「Cryptokicks iRL」のリリースを発表。現物スニーカーと引き換え可能なNFTとして販売される。
12:43
ブロック社、アフリカのビットコイン採掘企業に出資
ジャック・ドーシーCEO率いるブロック社はアフリカのビットコイン・マイニング企業Gridlessのシードラウンドに出資した。マイニングやP2P取引、国際送金などの場面でアフリカでの仮想通貨利用は急速に普及しつつある。
12:26
FTXグループ、7400億円規模の投資先リスト公開
フィナンシャルタイムズが破綻した大手仮想通貨取引所FTXとアラメダリサーチの投資先リストを公開した。流動性の不十分な投資への出資額は合計は7400億円に上る。
12:05
パラグアイ議会、仮想通貨マイニング関連の法案を否決
パラグアイ共和国の下院議会は、ビットコインなど仮想通貨マイニングの税制と規制の枠組みを作るための法案を否決した。電力消費などが懸念されていた形だ。
11:55
ビットコイン採掘難度は大幅下落、ChatGPT流行でAI銘柄に思惑買い
FTX破綻で軟調な相場環境を受けビットコイン採掘難度調整は大幅下落。TwitterでChatGPTが高い関心を集めたことでAI(人工知能)銘柄が物色された。
10:50
フォビジャパン、Japan Open ChainのIEO実施へ
暗号資産取引所フォビジャパンは7日、IEOの実施計画を発表した。
10:30
英財務省、仮想通貨に対する追加規制を策定か
英国財務省は、仮想通貨の販売や広告などを管理する包括的な規制パッケージを策定しているところだ。金融サービス・市場法案の一部として構想しているとみられる。
09:48
経産省、NFTの実証事業イベント開催へ
経産省は、NFTとメタバースの実証事業イベント第一弾を12日に実施する。NFTを通じたイベント空間への入場やプラットフォーム間の連携を実証して、技術的課題の整理を行う。
08:20
メタマスク、顧客データの保存期間を制限へ
仮想通貨ウォレット「Metamask」を開発する米ConsenSysは、RPCノードが顧客のデータを保存する期間を7日に制限する意向を示した。
07:50
米コインベース、3銘柄の新規取扱いを実施
米国の大手暗号資産取引所コインベースは7日、NFT関連銘柄を含む3銘柄の新規上場を実施した。
07:28
ワーナー・ミュージック、ポリゴンと提携
米音楽エンターテインメント企業のワーナー・ミュージックは、ポリゴン、LGND.ioとパートナーシップを締結。仮想通貨に馴染みのないファン層も対象にしてNFT音楽プラットフォームをローンチする。
07:00
7日朝|NYダウ・仮想通貨関連株全面安
今日のニューヨークダウは米連邦準備制度理事会の利上げが長期化し景気が悪化するとの懸念が根強く大幅に続落し一時500ドルを超えた。仮想通貨・ブロックチェーン関連株も全面安になった。

通貨データ

グローバル情報
一覧
プロジェクト
アナウンス
上場/ペア
イベント情報
一覧
2022/10/14 ~ 2022/12/31
東京 東京都渋谷区宇田川町
2022/12/09 19:00 ~ 21:00
その他 東京都中央区日本橋茅場町/オンライン
重要指標
一覧
新着指標
一覧