2018年9月1日、モナコインのウォレットサービス(兼SNS的サイト)であるMonappyは何者かによる不正アクセスにより、サービスで保管していた暗号資産の約4割(約1500万円相当)が外部へ送金されたと不正送金被害を発表しました。さらに2019年3月14日、警視庁サイバー犯罪対策課は事件に関与したとして男子学生1名を書類送検しました。ここでは関連する情報をまとめます。
インシデントタイムライン
| 日時 | 出来事 |
|---|---|
| 2018年8月27日~9月1日 | ギフトコードを悪用する不正アクセス行為が発生。 |
| 2018年8月31日 | 5ちゃんねるに関連するアドレスが投稿される。 |
| 2018年9月1日 11時頃 | Monappyへ別件の攻撃jに関する注意喚起の情報提供が行われる。 |
| 同日 | サービスの状況を調査したところホットウォレットの残高不足が判明。 |
| 同日 | Monappyはサービスメンテナンスに入ったと連絡。 |
| 同日 | Monappyが不正送金の被害を受けたと発表。*2 |
| 2018年9月2日1時頃 | 検証結果からサービスの脆弱性を突いた攻撃と判明。 |
| 2018年9月3日 | Monappyが不正送金の経緯について発表内容を更新。 |
| 2018年11月22日 | Monappyが再開時期について案内。 |
| 2019年1月1日 | 男子学生が掲示板に投稿したとみられる |
| 2019年3月14日 | 警視庁が事件に関与したとして男子学生を書類送検 |
被害詳細
Monappyによる補償対象となった被害は以下の通り。
| 補償するMonacoin総額 | 93078.7316 mona |
|---|---|
| 補償対象者数 | 7,735人 |
- Monappyは全員の残高不足分をMonacoinで補填すると発表。
- Monappyサービスを利用する全員が被害対象。
- 窃取されたMonacoinは当時のレートで日本円換算だと約1500万円相当。
- 被害を受けたMonacoinは全てホットウォレットに保管されていたもの。
- コールドウォレットに保管していた全残高の内54.2%分は被害を受けていなかった。
- サービスに登録されていたユーザー情報の流出は確認されていない。
摘発された男子学生
- 栃木県宇都宮市 18歳男子学生が犯罪に関与した疑いがあるとして摘発。
- 警視庁サイバー犯罪対策課が2019年3月14日に書類送検。*3
- 容疑は電子計算機使用詐欺、組織犯罪処罰法(犯罪収益の隠匿)の2つ。*4
- 2018年8月から9月にかけ、Monappyの送金システムの不具合を悪用して同社保管の暗号資産約9万3000モナを外部送金、詐取した疑い。
- 仮想通貨取引所の流出事件で摘発されるのは国内で初めてとなる。
- 男子学生は不正送金したMonacoinを海外の取引所に持ち込んで他の暗号資産に交換した。
- 男子学生はそれらから10万円を受け取りスマートフォンなどを購入していた。*5
男子学生の供述
取り調べ等に対して男子学生が供述している内容は以下。
- 悪いことだとわかっていたが、ゲームを攻略する気持ちでやってしまった。
- 指が疲れた。
- 自分の残高が増えるが楽しくてコインを全部取ってしまった。
- こんなこと普通の人にはできない。
- 通常ではない方法で引き出す方法を発見したためにやった。うらみがあったわけではない。
運営が説明する不正送金の手口
- Monappyに搭載されたギフトコード機能のバグを悪用したもの。
- 1つのギフトコードから複数回の送金を行うことが出来た。
- Monacoin送金に利用するサーバーMonacoindを高負荷状態にする。
- ギフトコード機能を連続で使用。
- Monacoindの応答に時間を要し、MonappyのWebサイト側でタイムアウト発生。
- 処理がロールバックされるが、Monacoindから送金処理が再度実行される。
- タイムアウト等により通信エラーが生じた場合は取引をロールバックする仕様となっていた。
- Monappy側はギフトコードを二重利用できないようにしていた。
- 調査を通じて送金を少額にすることでcoindサーバー送信時の負荷を上げる動きも確認されたと報告。
- Monappyが把握した不正送金先のアドレス情報等を公開した。
monappy transactions - Google スプレッドシート
- 2018年5月にLivecoinで発生したblock withholding attackの発生は否定した。
- ギフトコードの利用方法を紹介している記事。
捜査により明らかになった攻撃方法
- 男子学生は8254回にわたって手動で操作ボタンを連打。
- 男子学生が取得済みの133回分のギフトコードで642回分の送金を行った。
- すべて操作はスマートフォン上で実行。Torなどの匿名化ソフトを利用。
- 警視庁は保管サイトのサーバーに残っていた通信記録から男子学生を割り出し。*6
- 捜査関係者は「学生のレベルではない、高度な匿名化の技術で全て独学のようだ」とコメント。
- 男子学生は攪乱目的で多数の口座へ送金を繰り返すプログラムを自作していた。
関連(1)Askmonaに投稿
- 2019年1月1日に事件へ関与をしたとする投稿がAsk Monaに対して行われていた。
- 男子学生は「だんだん話題にならなくなったのでみんなが興味があるか知りたかった」と話している。*7
- 反応が薄かったせいか、「思ったより反応がなくてつまらなかった」とも供述している。(())
1 :Mastreさん:2019/01/01 01:13:22 0MONA/0人 I'm an one of attackers who attacked Monappy, and I'd like to answer some questions you ask. Any questions that don't relate to identity of us is answered. Writing questions in Japanese is allowed, since I understand Japanese, required to understand what Monappy say. Note that I only answer in English. Lastly, have a nice year. Thanks.
- 投稿者は窃取に利用した秘密鍵は既に公開されているため、不可能だとして事件の因果関係は証明しなかった。
- 2019年1月30日までにこのスレッドに投稿された質問に回答を寄せていた。
関連(2)ウォレットアドレスの投稿
18 :Mastreさん:2019/01/02 10:41:21 0MONA/0人 >>8 >>14 All private keys used for stealing is already exposed, so impossible. << - 質問のやり取りでも登場した秘密鍵は5ちゃんねるやPastebinの投稿を指すものとみられる。 >> 674承認済み名無しさん 2018/08/31(金) 14:37:24.59ID:cuYf3FF5 MMQ618AoG6za5fErcbLTqn7gSBhBGVt16r
- Pastebinの英語は不自然さがあると指摘が当時すでにされていた。
I gift you WIF MMQ618AoG6za5fErcbLTqn7gSBhBGVt16r TRAwM8TZBQvGRU9tYoEUmknW5jS3JPVXGJ79zUcNxmri9ojChKg1 M8Fj6b7Dk76KjrGcxG3yFp3eufQMLKKs8t TQMjrb4cEroZun1KpPnFMAYpDRxnW2hLAesA85wACULiyJBg9L28 All coins are gone Should I burn the coins?
- さらにPastebinのURLが事件直後Monappyの事案調査を行っていたBlog記事のはてなブックマークコメントに寄せられていた。
- アドレスを投稿した経緯について男子学生は捜査攪乱を目的としたものと供述。*8
関連(3)追跡コミュニティに参加していた可能性
- Sh1ttyKids氏が主宰するSlackチャンネルに参加していた模様。
- Slackチャンネルでは有志による盗難monappyを追跡する取り組みが行われていた。
更新履歴
- 2019年3月14日 PM 新規作成
- 2019年3月15日 PM 続報反映
- 2019年3月17日 PM 関連情報追加
*1:このリリースは9月1日以降、2回更新されている
*2:https://twitter.com/_monappy_/status/1035882227622502400
*3:仮想通貨流出で初検挙 18歳少年を詐取容疑で書類送検,朝日新聞,2019年3月14日
*4:仮想通貨流出で18歳少年書類送検=1500万円分「モナコイン」-警視庁,時事通信,2019年3月14日
*5:サイバー攻撃仮想通貨引き出しか,NHK,2019年3月14日
*6:仮想通貨モナコイン詐取の疑いハッカー少年を書類送検,共同通信,2019年3月14日
*7:【報ステ】仮想通貨流出で初 18歳少年を書類送検,ANN,2019年3月14日
*8:「私が攻撃者だ」 モナコイン詐取容疑の少年、書き込み,朝日新聞,2019年3月16日