orangeitems’s diary

クラウドではたらくエンジニアの日々の感想です。

仮想通貨取引所Zaifがハッキング被害 | 仮想通貨取引所とセキュリティーの関係を改めて考える

f:id:orangeitems:20180920102805j:plain

 

Zaifにてハッキング被害発生

仮想通貨取引所Zaifがハッキング被害を受けました。

たくさんのメディアが報道しています。

【速報】仮想通貨取引所Zaifがハッキング被害でBTCなど67億円流出、フィスコが株式を過半数取得・50億円支援へ

Zaif、不正アクセスでビットコインなど約67億円相当流出 - ITmedia NEWS

仮想通貨、また不正流出 「Zaif」から67億円相当:朝日新聞デジタル

仮想通貨取引所Zaifにハッキング、被害約67億円相当 | ロイター

 

Zaifを運営するテックビューロからプレスリリースが出ています。

仮想通貨の入出金停止に関するご報告、及び弊社対応について|テックビューロ株式会社のプレスリリース

 

報道まとめ

・不正アクセスが行われたのは、2018/9/14 17:00ごろから9/17 19:00ごろまでの間(日本時間)

・ホットウォレットで管理していた仮想通貨が盗まれた

・盗難された仮想通貨は、ビットコインが5966BTC、BCH、MONAは調査中。

・被害総額67億円(うち、顧客の預かり資産45億円。テックビューロ(運営)の固定資産が22億円)

・Zaifがサーバーの異常を検知したのは、9/17になってから。9/18にハッキングの被害を確認。

・被害については、金融庁財務局、警察庁に報告済み。

・フィスコ仮想通貨取引所を運営するフィスコが、テックビューロの過半数の株式を取得し子会社化する。ただちに50億円の支援をフィスコがテックビューロに行い、仮想通貨を調達し、顧客資産を保全する。

・フィスコが、テックビューロに過半数以上の取締役および監査役1名を派遣する。また、現在の経営陣は今回の問題を収めた後に退陣する。

・セキュリティー強化のため、カイカと技術提供を受ける基本契約を締結した。

 

考察

まず、5966BTCというビットコインです。今は70万円/BTCで相場が均衡状態でこちらで換算すると約41.7億円です。しかし、コインチェック事件の前後は240万円/BTCまで値上がりしていましたので、その時点で換算すると143億です。今回の被害金額がコインチェックに比べて小さく見えるのは相場による影響が大きいとも言えます。

日本国内で大きく報道されたところは、マウントゴックス、コインチェックと来て今回のZaifとなるわけですが、世界を見回すと大変な回数の盗難事件が起きています。様々に調べて分かることは、そもそも仮想通貨取引所のシステム自体に脆弱性があるということです。たくさんの関係者が仮想通貨取引所ビジネスに参入し、これだけ事件が頻発するということは、以下のことが言えると思います。

・マニュアル通りに仮想通貨取引所を運用したら、高い確率でハッキング被害に遭う。
・高度なセキュリティーを別途構築し、仮想通貨取引所に適用しないと安全に運用できない。
・高度なセキュリティーの実装は、仮想通貨取引所の標準ではなく、民間企業にて研究・開発されている。したがってコストがかかる上に、その効果もまだ未知数である。これを行えば安全という担保はない。したがってできうる限りのセキュリティー実装をするのが現在の善後策であるし、それを実施する取引所を選ばないと怖くて使えない。

もともと、Zaif社は業務改善命令を今年になって2度受けていました。

近畿財務局から6月に発出された業務改善命令について | Zaif Exchange

近畿財務局からの業務改善命令について | Zaif Exchange

(3月の件は403エラーで出ませんが・・)

この時点で、例えば、カイカと技術提供を受ける契約を結んでいたら。今回の件を防げた可能性はあると思われます。セキュリティーは、何も起きてないうちは経営陣から「コスト」「経費」と見られがちです。セキュリティーに支払っても売り上げが直接的にあるわけではありません。しかし、事故が実際に起こってみると、その「ツケ」が甚大であることに気が付かされます。銀行や証券の業界がガチガチにセキュリティーが厳しいのはそのような理由です。セキュリティー対策は生産性を非常に落とすので、利用者だけではなく運用担当者にも実は嫌われがちなのですが、改めてその価値を認識する必要があります。日本円、そしてそれを守る銀行の堅牢さは価値です。

フィンテックの利便性ばかりに目が行き、結局はセキュリティー実装があいまいなまま運用に走ってしまっている仮想通貨関連については、標準としてのセキュリティー技術を早く確立すべきかと思います。例えば、今回のカイカ社の技術で実装できるのならば、全ての仮想通貨取引所はカイカ社の技術を取り入れるべきです。それが標準化です。それがまだ為されていない以上、仮想通貨取引所全体の信用はまだまだ低いと言わざるを得ません。

 

 

マジメだけどおもしろいセキュリティ講義 事故が起きる理由と現実的な対策を考える (Software Design plusシリーズ)