「仮想通貨を取引する方へ とっても大事なお話 狙うハッカーやウイルスに注意喚起!!」続編です。
もくじ
<<緊急追記1/27>>
1月26日お昼過ぎからコインチェックの様子がおかしいと思ったらXEMを大量に持っていかれたのですね!
夜遅くの会見をご覧になった方も多いかと思います。
この会見を見る限り外部からのハッキングによるものと断定していました。
後にも述べていますがハッカーは内部に侵入する前に何らかの方法(コンピュータウイルスなど)で内部にある端末(パソコン)にリモートソフトを組み込みます。一旦リモートで外部から侵入できるようになれば後はハッカーの思いのままです。
実際には何日も、あるいは何ヶ月も前からこの端末を覗いていたのでしょう。ハッキングして直ぐにこのような事は出来ません。内部の人間であれば可能ですが・・・
つまり、ハッキングされてから今回のような事が起こるまでハッキングされたことに気づかなかったのです。ただ、気づけば事前にブロックすることも可能な筈ですが、会見の中ではセキュリティーの甘さが露呈したと認めていました。
外部からのアクセスを見逃していたのです!!
また、コインチェック社長はコールドウォレットを配置していなかった!難易度の高いシステムであるとのことでした。
さらにnemを送金する場合マルチシグを設定していなかったとの事です、これはネム財団側から既に発表されています。
なので、この件に関するハードフォークはしないとの事です。
ということはユーザーにとって大問題なのですがここではまだ触れないことにしておきます。
もう寝られなくなってしまったので、ハッカーのアドレスを辿ってみました。
すると、Mosaicにこんなメッセージが!
「mizunashi.coincheck_stolen_funds_do_not_accept_trades:owner_of_this_account_is_hacker」
これはハッカーのメッセージではなくmizunashiさんという方がハッカーにカラーボールを投げつけた結果です。
カラーボール?!ほら銀行や郵便局のカウンターにおいてあるオレンジ色のボール。強盗に襲われた時にぶつけて蛍光色のマークをつけるやつですよ!
これと同じでmizunashiさんという方がハッカーのウォレット全てにMosaicを送りてけていたんですよ!行動が早い!また、同時にネムを返してくださいのメッセージも添えて送っているのがネムexplorerで誰でも見ることが出来ます。
Mosaicについてはこちらを参考にしてください。(https://bitcoin-fx.jp/?p=2266)
Mosaicをこのように使うとは恐れいりました!(素晴らしい)
このMosaicを持ったウォレットからの取引は応じないようNEM側でコントロールできると良いのですが、どうなるのでしょう?
■狙うハッカーやウイルスに注意喚起(その2)
ハッカーが攻撃するターゲットは最終的に企業など大きな組織に入り込み多額の身代金を要求する目的が多い様です。
中には単に趣味的なハッカーや中にはOSのセキュリティーホールを見つけてアップルやマイクロソフトに人間ごと買われる(就職する)優秀かつ紳士なハッカーもいます。
攻撃の手順は比較的攻撃しやすい(無防備な)個人からアカウントを乗取り企業内のネットワークに入り重要事項などを盗み取ったりネットワーク機器に損傷を与え最悪の場合機能不全にさせたり目的や手法は様々です。
仮想通貨関連では個人でも多額の財産を持っている場合が多いので特に狙われやすくなっているのので注意が必要です。
この場合身代金と言うより単純に個人が保有するコインを横取りする例が多く見受けられます。
実は!ひろぴーも持って行かれたことがあるのです。
まだ仮想通貨走り出しの頃でしたが、3年ほど前に、70万リップルが取引所のウォレットから消えていたのです!
原因はウイルスによるものか取引所のセキュリティの甘さなのか未だにわかりませんが当時はセキュリティーが今より甘かったのは事実です。もちろん2段階認証なんてものはありませんでした。
■アカウント乗取りの手口
最近ではフィッシング詐欺と呼ばれる手口でウイルスに感染させるメールも多く、仮想通貨取引所のbitFlyerを装ったフィッシングメールが確認されています。フィッシング対策協議会(https://www.antiphishing.jp)が注意を呼びかけています。
フィッシング対策協議会の緊急情報をお知らせします。
bitFlyerをかたるフィッシングメールが出回っています。
bitFlyerにアカウントをお持ちの方は特にご注意ください!
「【bitFlyer】本人認証サービス 」などの件名で
bitFlyerをかたるニセメールが出回っています。システムの安全性の更新を理由にアカウントが凍結されないよう
アカウントの認証としてメール内のリンクを開かせようとします。登録を続けるよう促がし、クリックさせることでフィッシングサイトへ誘導します。
実際にはクリックするとフィッシングサイトに飛ばされ、
IDやパスワードなどの入力画面が表示されます。
その後、4桁の暗証番号、Webメールパスワードも入力させようとします。フィッシングサイトですので、これらの情報を入力すると
bitFlyerのアカウントの情報が盗まれることになります。
本物のサイトを丸ごとコピーして作っているケースが多いため、
画面までいってしまうと見ただけでは本物と区別がつきません。
ログインされてしまうとアカウントに登録されている
情報(住所、銀行口座情報、クレジットカード情報など)が見られてしまうほか
勝手にビットコインの取引をされてしまう可能性もありますので
必ず公式サイトから利用してください。
(フィッシング対策協議会:bitFlyerをかたるフィッシング (2017/11/06)より)
注意事項としては
容易にメール内のリンクアドレスはクリックしないこと!
詐欺メールのアドレスは本物と明らかに違うアドレスが記述されていることが多いです。が、しかし偽装アドレスも十分に考えられますので、まずは疑うことです。
今後も仮想通貨取引所をかたる不審なメールが届くかも知れません!くれぐれもご注意ください。
そして、二段階認証が設定されている取引所では必ず二段階認証を設定してください。
■国内10社の取引所は警視庁とサイバー犯罪防止協定を締結
警視庁サイバーセキュリティ対策本部によると仮想通貨取引所10社と共同対処協定を締結。 警視庁と各取引所では、不正アクセス等のサイバー犯罪の事件化・被害防止対策や仮 想通貨を悪用した様々な犯罪に対して、連携して取り組んでいくそうです。
以下はコインチェックのプレスニュースの一部です。
弊社はこれまで、Coincheckサービスにおけるシステム上のセキュリティ向上や弊社内での監視体制の強化により、サイバー犯罪への対策を改善し続けてまいりました。また、警視庁等の公的機関との連携体制を築き、サイバー犯罪への対策や捜査等に積極的な協力を行なってまいりました。
潜在化し、正確な実態把握が行われにくく、社会全体での危機意識の共有が図られづらいサイバー犯罪に対し、警視庁との協力体制をより一層強いものとし、一体となってサイバー犯罪に対処していくため、協定を締結いたします。
締結日: 2017年12月6日締結事項:
(1)相互協力等
(2)サイバー犯罪の認知
(3)サイバー犯罪捜査
(4)被害拡大防止措置等
(5)公表及び情報共有
(http://corporate.coincheck.com/2017/12/06/26.htmlより)
ちなみに提携した十社とは
Coincheck
BTCBOX
マネーパートナーズ
bitbank
bitFlyer
BITPOINT
GMOコイン
QUOINEX
SBI Virtual Currencies
BitTrade
です。
ただ、悲しい事にこの協定を結んでも自社サイト等でニュースとして取り上げていた取引所は「コインチェック」、「BTCBOX」、「BitTrade」、「BITPOINT」の4社だけでした。他社共、もっとセキュリティー関連の内容を大きく取り上げユーザーに注意喚起して欲しいと感じました。
■くどい様ですが、くれぐれもウイルスやハッカーにご注意!
ウイルスにいつも狙われていると言っても過言ではありません。
この「仮想通貨ブログ ビットコインFX」でも毎週のようにハッキングトライされています。
以前は中国から短時間に何千回とパスワードを打ち込んできます。
ハッキング対策後ロボットによる攻撃はなくなりましたが、それでも今なお世界中から歓迎しない手作業ハッカーも訪れているようです。
今日ではパスワードを最低8文字以上英数文字と記号、大文字を組み合わせないと設定できないサイトも一般的になっています。
ちなみに小文字だけの英数文字8桁の組み合わせは26種類ですのでその場合文字の組み合わせを総当りで計算させた場合5万円程度で売られているノートパソコンで約18日で計算出来てしまいます。
これが10桁になれば約32年掛かる計算になります。
さらに、英字大文字、小文字、数字を組み合わせると文字は62種類となり8桁の場合約50年、さらに記号を加えると93種類として8桁の場合約1千年かかります。
最近ではコンピュータの性能が格段に上っているので最低でも16桁以上に設定されることをおすすめします。
セキュリティー対策を万全にし、セキュリティー意識をいつも持って安心・安全に仮想通貨取引を行ってください。
仮想通貨は確かに儲かりますが、各ユーザへ要求されるリスク管理レベルは株やFXなどとは比ではないぐらいです。
システム管理に疎い方でも、保有コインを取引所に分散させたり、ハードウォレットを一部移したりすることはできます。
全資産をうまく分散させて必ず保管する癖をつけていきましょう。
ぜひ、この記事が皆様のリスク管理能力向上に役立てば幸いです。