Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

セキュリティに万全は無い

仮想通貨取引所が狙われるのは、そこに金銭的価値があるからである事は間違いなく、コインチェックに続きZaifが大きな被害を受けた事から、仮想通貨の投機過熱にも一石を投じそうです。

japanese.engadget.com

■公式発表

 仮想通貨の入出金停止に関するご報告、及び弊社対応について

 

2.ハッキング被害について現在判明している事実関係
①ハッキング被害の経緯
弊社は、お客様の入出金に対応するために、お客様からの預かり仮想通貨のホットウォレット(一部コールドウォレット)に保管しております。その入出金用のホットウォレットを管理するサーバに対し、平成30年9月14日17時頃から19時頃までの間外部からの不正アクセスが行われ当該ホットウォレットで管理している仮想通貨(BTC、MONA、BCH)が不正に送金されました。なお、具体的な不正アクセスの手法等につきましては、本件が犯罪事件であり、既に捜査当局に被害申告をして捜査を依頼していることや、今後の同種犯行を予防するためにも、公表を差し控えさせていただきたいと存じます。できる限り詳細な説明が責務であることは承知しておりますが、何とぞご了承下されば幸いです。
(公式発表より引用)

 

◆キタきつねの所感

コインチェックの事件を受けて、各仮想通貨取引所は相当セキュリティを見直したはずです。金融庁の立入り検査も2018年2月にあり、Zaif運営のテックビューロ社は(GMOコイン、バイクリメンツ、ミスターエクスチェンジ、コインチェックを含め)業界改善命令を受けています。テックビューロはこれ以前にも業務改善命令を受けており、今回の事件を受けての臨時の金融庁立入り検査を受けて、3度目の業務改善命令を受ける事になりそうです。

f:id:foxcafelate:20180922065729j:plain

今回のテックビューロ社のセキュリティ体制はどうだったのかが気になるのですが、コインチェック事件の際にもざっと調べたことがあります。その際も若干気になったのですが、、、ホームページ上の宣伝文句でもあった、『安心・安全!万全のセキュリティ』。一部メディアの記事でも取り上げられていますが、この表現は事件を起こしてしまった以上、皮肉でしかありません

 

万全であれば事故は起こらないはずです。

 

ばん ぜん【万全】

まったく完全なこと。手落ちのないこと。また、そのさま。 「 -の策を講ずる」 「準備に-を期す」 「 -な対策」 「体調を-に整える」

三省堂 大辞林(weblio辞書)より引用

 

多くの会社がホームページや商品/サービス紹介で『万全』を謳っており、セキュリティの記載でも同様な『万全』という表現を使っている会社を数多く見かけます。とは言え、セキュリティインシデントが当たり前になりつつある昨今では、リスクを負うべき表現ではないかなと思います。

 

改めてZaifセキュリティ体制(ホームページで公開されている分)を見てみます。

f:id:foxcafelate:20180922070439j:plain

 

今回の事件はコインチェックと同じくホットウォレットを狙われたようです。ここでの表現は間違ってないものと思いますが、

①預かり暗号通貨管理の強化

お客様からお預かりした暗号通貨残高のうち、流動しないものについてはシステム内からは完全に隔離された状態で複数箇所に分けてオフライン保管(Cold Storage)され、その再移動には権限を持った複数管理者の電子署名(Multi-Signature)が複数段階に渡り必要となる内部統制制度を導入しております。

こう書かれていたら、多くの預かり資産はオフライン(Coldウォレット)保管されていると思うのですが、実態としては、

 

お客様からの預かり仮想通貨のホットウォレット(一部コールドウォレット)に保管しております

(公式発表より引用)

と事件を受けての発表にあるように、ほとんどがオンライン(ホットウォレット)保管だったことがわかります。金融庁の業務改善命令の詳細は分かりませんが、コインチェック事件を受けてもホットウォレット保管が(実態として)ほとんどであった事は、顧客の利便性(可用性)重視、顧客の指示であったとしても、テックビューロ社は認識が甘かったとしか思えません。

 

f:id:foxcafelate:20180922070441j:plain

 

公式発表との比較で気になる所は他にもあります。

③システムインフラの堅牢性強化

取引所システムを複数層に渡って外部から遮断し、内部への侵入が実質的に不可能なシステムセキュリティ環境を構築しております。よって、データベースなどには、外部から一切アクセスが不可能となっております。

 

内部への侵入が実質的に不可能なシステムへ、どうやって侵入されたのでしょうか・・・

その入出金用のホットウォレットを管理するサーバに対し、平成30年9月14日17時頃から19時頃までの間、外部からの不正アクセスが行われ、当該ホットウォレットで管理している仮想通貨(BTC、MONA、BCH)が不正に送金されました。

(公式発表より引用)

それとも、ホットウォレットを管理するサーバに対しては③の対策は適用されてなかったのでしょうか・・・

 

リスク管理やセキュリティ対策の強化

開発チームには、シリコンバレーで金融サービス開発に携わっていた人材が採用され、欧米型の数理モデルによる不正検知が導入されているほか、日本の金融事情に特化した不正対策も施し、国際的なAML(AntiMoney Lanundering=マネーロンダリング対策)や、KYC(顧客確認)基準にも積極的に対応しております。

ここも気になります。セキュリティ担当にプロの開発出身の方をあてているという意味で、一見それらしく見えますがシリコンバレーの金融サービス開発なるものが、FinTech系を指しているのであれば、仮想通貨には詳しくても、必ずしもネットワークセキュリティに強いとは言えないのではないでしょうか?

また、実質的にハッカー2時間程でテックビューロ社の経営を揺るがす程の、70億円の資産を不正に持ち出されているのですが、不正検知システムはそれを検知(防止)出来なかったのだとすれば、意味があるシステムであったとは思えません。

 

具体的な不正アクセスの手法は、捜査中及び模倣犯罪防止の観点から開示されないようですので推測になりますが、仮想通貨資産が激しく移動している事を検知/防御できないのだとすれば、一定のセキュリティ防御を破られないことを前提としたシステムであったのかも知れません。

あるいは・・・ハッカーに先に不正検知システムを停止させられた可能性も考えられます。セキュリティの設計思想では、不正検知システムに対する死活監視なども対策される事がありますが、それが出来てなかったとすれば、大きな被害までつながった要因につながった可能性はありそうです。

 

コインチェック事件以降で、テックビューロが取ったセキュリティ対策として、セキュリティ対策室の設置が掲載されていました。

f:id:foxcafelate:20180922070443j:plain

社長をセキュリティ対策室長とした、、いわゆるCSIRT的な機能もここに集約された組織に見受けられます。ここでも、(コインチェック事件を受けての)強化対策が謳われています。

 

f:id:foxcafelate:20180922070445j:plain

 

事件に関連していると思われるのは、ホット>コールド(誘導)の部分です。

ホット・コールドウォレット環境の強化

既存の厳格なルールから、更なるセキュリティ強化のためコールドウォレット優先化を実施します。

  • ホットの比率の見直しと、コールドの比率の引き上げ
    • 通常、ユーザーの入出金に合わせた残高をホットウォレットで管理するが、更に高度な残高予測アルゴリズムを導入することにより、その数値を最小限にとどめる
    • ただしコールドウォレット優先化に伴い、引き出し制限により「すぐに引き出せないことがある」など、一部ユーザー体験を損なう可能性があるが、セキュリティ優先の旨をユーザーに徹底周知する

 

コールドウォレット優先化(セキュリティ優先)を顧客に周知徹底し、ホットウォレット管理が最小限になるようにしていたはずのテックビューロ社、その結果が70億円相当の仮想通貨の流出です。

厳しい言い方になりますが、これらの対策は真剣に実施されてなかったとしか思えません。

 

そう考えると3月に受けた行政処分時に指摘された事、、、

 

テックビューロ株式会社に対する行政処分について 近畿財務局(2018/3/8)

 

2. 資金決済に関する法律第63条の15第1項に基づく報告及び現時点までの立入検査により当社の業務運営状況を確認したところ、当社では、システム障害や、不正出金事案・不正取引事案など多くの問題が発生していしかしながら、経営陣は、その根本原因分析が不十分であり、適切な再発防止策を講じておらず、顧客への情報開示についても不適切な状況となっていることから、本日、以下の内容の業務改善命令を発出した。

  適正かつ確実な業務運営を確保するための以下の対応
  (1)実効性あるシステムリスク管理態勢の構築
  (2)適切に顧客対応するための態勢の構築

テックビューロ株式会社に対する行政処分についてから引用)

 

形ばかりで対策・改善案を出して、実際の運用では実現されてなかった事が厳しく問われるべきではないでしょうか。

FinTech企業はビジネスを早期に拡大する事にばかり意識が向かっているところが多い気がしますが、セキュリティ対策への認識(FinTech技術とは別)がしっかりしたものでなければ、コインチェック、あるいはテックビューロの様に痛い目を見る気業は今後も出てきてしまう気がします。

 

落とし穴に落ちる人のイラスト

 

更新履歴

  • 2018年9月22日AM(予約投稿)