CoinPostで今最も読まれています

ビットポイントのハッキング事件、攻撃手法と考えられる3つの可能性

画像はShutterstockのライセンス許諾により使用

ビットポイントのハッキング事件から得られる教訓
仮想通貨取引所ビットポイントのハッキング事件、攻撃手法と考えられる3つの可能性を分析。

ビットポイントのハッキング事件を振り返る

BitPointは7月12日、35億円相当の被害を受けたことを公表した。内訳は、ビットコイン、ビットコインキャッシュ、イーサリアム、ライトコイン、リップルの5種類であることが公式発表からわかっている。

14日時点で、Bitcoin:2230BTC、Ethereum:13027ETHが盗まれた記録がブロックチェーンエクスプローラで確認。各アドレスはビットポイントからは開示されていないが、twitter で有志による調査が行われている他、タグ付けなども行われている。

ビットコイン:2230BTC

イーサリアム:13027ETH

ビットポイントの発表では、攻撃を受けたのはホットウォレットからの流出であることが確認されているが、自社開発のウォレット、マルチシグ対応といった対策についてやハッキングの攻撃手法についてなどは、未だ公開されていない。

同社は情報セキュリティ会社アイ・エス・レーティング社のセキュリティレーティングで「A」ランクを取得(最高ランクAAAの7段階評価)と、上位レーティングとされているため、一般的な対策は行なっていたと見られる。

攻撃手法とその可能性

まだまだ情報が少ないことから、ビットポイントがどのような攻撃を受けたのかは推測の域を出ないが、概ね3つの可能性が考えられる。

  • 外部から侵入可能な穴が空いていて、そこから侵入されたケース
  • スピアフィッシングなど、従業員をターゲットとして攻撃を仕掛け、そこからマルウェアを仕込んだり鍵を盗んだというケース
  • 内部犯による犯行

穴が空いていたという可能性はあまり高くないと見られる。先述のように情報セキュリティ会社のセキュリティレーティングなどでも評価されており、ファイヤウォールの設置など、一般的な対策は実施済みだったと考えるのか妥当であるためだ。

内部犯については、会社に不満を持っている人間が協力者になったり、あるいは最初から狙いを持って入社する可能性もある。攻撃が成功すれば、換金は簡単ではないとはいえ、数十億、数百億円が転がり込む。大規模な組織や国家が糸を引いている可能性も否定はできない。

本流出事件の対応について

本流出事件については、7月14日に公開された第二報で、盗まれた顧客分の仮想通貨は調達済みであることを明かした。すでに盗まれた分を補填する準備が行われている点は、迅速な対応を行なっているポイントとなる。

一方、以下の2点に流出時の対応ケースとしての問題点が挙げられている。

  • 攻撃検知からサービス停止までの時間(対応)
  • 社内ネットワークと権限の分権化

攻撃検知からサービス停止までの時間

報告によれば、最初に検知されたのはリップルの不正な転送で、7/11 22:12に送金エラーを検知。27分後には流出が確認され、他の仮想通貨についても調査が行われたとしている。

調査が行われていたこともあったことも理由にある可能性はあるものの、送受金の停止対応を行なったのは、リップルの不正流出を確認してから約8時間後。他の仮想通貨の不正流出に繋がり、被害が拡大した可能性は否めない。

この動きに対して、緊急時の手順やプレイブックが正しく整備されていない可能性が指摘されており、今後業界全体の教訓となり得る部分になる。

業界では、世界的に取引所が協力して流出資産の換金を可能な限り停止させる協力関係が築かれつつある。事態の拡大だけでなく、業界全体で流出被害の解決に取り組むためにも、今後流出検知からの対応のスピードは重要視される可能性は高い。

社内ネットワークと権限の分権化

また、第二報では、海外向けに提供していたビットポイントの別取引所でも流出が確認されている(損害は約2.5億円を見込んでいる)点が触れられており、社内ネットワークと権限の分権化が問われている。

現在、香港向けのサービス(bitpoint.hk)も7月12日からサービスを停止している状況にある。

攻撃が、外部犯であっても、内部犯であっても、複数のサービスをまたいで攻撃を受けた点は、社内のネットワークや権限がうまく分離できていなかった可能性を示すものであり、流出被害の拡大を防ぐケースとしてネットワークの分権化の重要性が問われることとなりそうだ。

詳細については調査結果待ちだが、なぜこのような問題が起こってしまったのか、仮想通貨業界全体が教訓を得られるような、透明性の高いレポートを期待したい。

コメントしてBTCを貰おう
注目・速報 相場分析 動画解説 新着一覧
02/01 水曜日
17:10
LBRY有価証券判決、「流通市場取引は適用外」
米ニューハンプシャー州の連邦地方裁判所は、流通市場における仮想通貨LBCの販売は証券の提供に該当しないとの判断を示し、米証券取引委員会が求めていた差止命令を却下した。
15:30
イーサリアム、1月に供給量が純減
1月にかけて仮想通貨イーサリアムの供給量が10,466 ETH(20億円)の純減となった。ネットワーク利用の増加に基づいてETHのバーン数が増加し、ステーキング報酬による新規発行量を上回っている状況だ。
14:50
Immutable、Web3ゲーム用ウォレットツールを発表
イーサリアムでweb3ゲームを構築・拡張するためのプラットフォームImmutableXは、一般ゲーマーにとっての参入障壁を取り除くための総合ソリューション「Immutable Passport」を発表した。
14:00
独DekaBank、機関投資家向けに仮想通貨関連サービス提供へ
仮想通貨カストディ企業METACOは、ドイツの大手証券サービスプロバイダーDekaBankと提携し、機関投資家向けにデジタル資産のカストディ・管理業務を提供していくと発表した。
12:30
Uniswap、トークンブリッジ「Wormhole」をサポートへ
分散型取引所UniswapをBNBチェーンで展開する計画で、Wormholeのトークンブリッジを採用する方針が明らかになった。他DEXによるコピーを防ぐライセンスが期限を迎える前に多チェーン展開を目指す。
12:00
香港当局、仮想通貨とステーブルコインの規制方針決定
香港金融管理局は、仮想通貨とステーブルコイン規制に関する方針を発表した。昨年の関連協議書には、バイナンスやリップル社、アニモカブランズなども意見を寄せていた。
11:00
米ウォール街の金融大手、仮想通貨事業を拡大へ
米ウォール街の大手金融企業は、テラ騒動やFTX破綻などの影響で仮想通貨市場が低迷する中、デジタル資産事業を推進。各企業の事業を紹介する。
10:17
博報堂キースリー、トヨタ協賛のweb3ハッカソンを開催へ
博報堂キースリーは、web3グローバルハッカソン第一弾の開催計画を発表した。トヨタ自動車株式会社とのタイアップ企画であり、「企業内プロジェクト向けDAO支援ツールの開発」をテーマとする。
09:00
第4回「GM Radio」、ゲストはDeFi Kingdoms創設者ら
グローバル版CoinPostが主催するGM Radioの4回目の放送は、2月3日(金)の12:30からツイッタースペースで配信予定。今回のゲストにはLayerZeroとDeFi Kingdomsの幹部を招待する。
08:10
イーサリアム、公開テストネットをローンチへ
仮想通貨イーサリアムは日本時間2日の0時、ステーキング出金機能を備えた公開テストネットZhejiangをローンチする。今回は、テストネットの他のアップグレードも公表された。
08:00
NYダウや仮想通貨関連株反発 雇用指標の伸び鈍化などで
本日のニューヨークダウやナスダックは反発。AI関連株やOASやDYDXトークンは大幅上昇した。
01/31 火曜日
15:59
英プレミアリーグ、Sorareと複数年パートナーシップ締結
大手ブロックチェーンゲーム会社Sorareは、英サッカー団体「プレミアリーグ」と複数年のライセンス契約を締結したことを発表した。Sorareはプレミアリーグとの正式な契約金を非公開としている。」
14:32
TOEICやトヨタ、DX化で加速するブロックチェーン導入事例
日本でTOEICテストを実施・運営する国際ビジネスコミュニケーション協会は、TOEIC® Program公開テストのスコアに、ブロックチェーン技術を活用したデジタル公式認定証を導入することを発表した。
13:09
米サークル社、USDC準備金の監査済「担保資産」の保有を強調
米ドル連動型ステーブルコインUSDCを発行する米サークル社は、2022年12月の準備金レポートを公開。流通しているUSDCを約1.4億ドル上回る準備金を保有していることがわかった。
12:00
Sudoswap、ガバナンストークンを配布
NFTの自動マーケットメーカープロトコル「Sudoswap」は、ガバナンストークンSUDOのエアドロップを実施。プロジェクトの分散化のために、トークンベースのガバナンス機構をスタートした。

通貨データ

グローバル情報
一覧
プロジェクト
アナウンス
上場/ペア