Android版HB Walletにて発生している盗難被害の調査状況と再発防止策についてのご報告

はじめに

この度、HB Walletの利用者の皆様に多大なご迷惑とご心配をおかけしましたことを心よりお詫び申し上げます。今回の事件の経緯について、弊社で調査した内容を説明させていただきます。

ブロックチェーンのウォレットについて

ブロックチェーンにおけるウォレットの役割は、パスフレーズ・プライベートキー（秘密鍵）をお客様ご自身の端末に保管し、外部へ絶対に送信せず自分の資産を管理することです。例えば、送金を行う際でも、外部に送信する情報はプライベートキーを持っていることを証明する署名のみにとどまります。パスフレーズとは、通信を必要とせずプライベートキーを生成することのできる12個の英単語のことです。

プライベートキーとは、あなたのアカウントを管理する暗証番号のようなものです。

HB Walletのパスフレーズ・プライベートキーの管理方法

HB Walletでは、前述したブロックチェーンにおけるウォレットの役割どおり、パスフレーズ・プライベートキーを外部に送信しておりませんでした。

プライベートキー流出の経緯

Android版HB WalletのリリースはGoogle Play Store Consoleを通して行われます。

弊社ではGoogle Play Store Consoleを通してリリースできる権限は、代表取締役 奥田とHB Wallet開発チームのチームリーダーのみに限定しておりました。弊社チーフエンジニアやインフラチームの最高責任者でさえ、リリース権限がないほど厳重なアカウント管理をしておりました。しかしながら今回、代表取締役 奥田とHB Walletのチームリーダーしか知らないはずのGoogle Play Store Consoleのapi keyが外部から使用され、ユーザーのメインアカウントのアドレスとパスフレーズを外部データベースに送信する機能を持った不正なアプリケーション（バージョン1.5.1）がリリースされてしまいました。

犯人について

結論から申し上げて、犯人は前任のHB Walletのチームリーダーです。HB Walletのチームリーダーは先日、交代しておりました。犯人が退職する際には、api keyを保存している端末を返却させ、弊社にて初期化しておりました。これにより犯人はGoogle Play Store Consoleのapi keyを所持していない状態になったものと判断しておりました。

しかしながら、犯人はapi keyを不正に所持しておりました。このapi keyと独自に開発したアプリケーションを用いて、犯人はそのアプリケーションを遠隔でリリースしました。

被害状況報告

・5/22 20:39 ver1.5.1 犯人が不正なアプリケーションをリリースした

・5/24 14:59 Twitterにて被害報告を受け調査を開始した

・5/24 15:30 不正なapkをリリースしたログを確認し、犯人を特定した

　　　　　　2次被害を防止するため、リリース可能なユーザーを制限した

・5/24 17:56 ver1.5.2 正常なアプリケーションをリリースした

・5/25 19:14 犯人とコンタクトを開始した

・5/25 20:07 犯人がEthereum及びトークンを弊社アカウントへ送信開始した

・5/25 20:28 犯人がEthereum及びトークンを弊社アカウントへ送信完了した

犯人の証言と弊社の調査結果を照合したところ、現在判明している被害状況は下記のとおりです。

・被害を受けたアドレス数は13

・Ethereum（924.0288582 ETH）

・Tronix（14829 TRX）

現時点では、これらの暗号通貨以外の被害は確認できておりません。

資産の返却について

犯人が盗んだことを認めた暗号通貨に関しましては、当該暗号通貨を弊社が管理するEthereum アドレスに送信させ、コールドウォレットにて厳重に管理しております。

弊社で確認が取れ次第、代表取締役 奥田が直接お伺いし、誠意を持って全ての資産をお返しさせて頂きます。

再発防止策

今回の事件について弊社が特に重大と受け止めている過失は以下の2点です。

本来であれば、前任チームリーダーが交代したタイミングで新しいapi keyを発行し、古いapi keyを無効にするべきでした。今回、その処置を直ちに行わず古いapi keyを使い続けていたことが弊社の1点目の過失です。

現在、暫定対処といたしまして、アプリをリリース可能なGoogle Play Store Consoleのアカウントを制限いたしました。

また、不正なリリースが行われたことを速やかに検知できなかったことが弊社2点目の過失です。

この件の暫定対処といたしまして、リリースできるアカウントを制限した上で、そのアカウントに弊社が所有している端末以外からのアクセスがあった場合、即座に通知が来るように設定しております。

上記2点に対する恒久対処につきましては、現在、検討を進めさせていただいております。

詳細につきましては追って発表させていただきます。

おわりに

この度はHB Walletの利用者の皆様に多大なご迷惑とご心配をおかけしましたことを心よりお詫び申し上げます。

本当に申し訳ございません。

2018年5月26日　代表取締役　奥田雄馬