公式Twitterも運営中!フォローしてね!

BitZeny WALLETの登録情報が流出!?ウォレットのセキュリティについて考察してみました。

この記事は、佐藤(低カロリー)からの投稿です。

BitZeny WALLETの登録情報が流出!?

この記事を書くに至った経緯

先日サポートからアカウント情報が流出している可能性があるとのお知らせが来ました。

なぜ、情報が流出したのか?サポートの対応は適切だったか?今後使い続けても大丈夫なのか?といった内容をセキュリティの観点から考察してみました。

BitZenyオンラインウォレットより緊急の連絡が届く

2018年3月1日 19時ごろにBitZeny Walletのサポートから「BitZenyオンラインウォレットより緊急のご連絡」という件名でメールが来ていることを確認しました。

メールの内容は要約すると、「IDとパスワードの組み合わせが流出している可能性があります。早急にパスワードを変更してください。パスワードを変更するまでは通貨の送金処理はできません。また、現在アカウントロックされている方はサポートまでご連絡ください。」といった内容です。私はアカウントロックされていたのでサポートに返信し、ロック解除してもらいました。本当にIDとパスワードが流出しているとしたら、すでに残高すべて盗られている可能性がありましたが、すぐに確認したところ幸いにも残高に変化はありませんでした。

なぜ流出したの?どうやって判明したの?

翌日、以下の内容の詳細メールが届きました。他のサイトから流出したIDパスワードの組み合わせで大量のログイン試行があったというわけではなく、このウェブウォレットにアクセスしたときのデータのやり取りに不備があり、情報が流出したようです。

  • 何らかの原因で、過去に生のパスワードをサーバへ送信してしまったことのあるユーザが対象
  • 通常は生のパスワードを送信することはないがブラウザ側の挙動かタイミングかで現象が稀に発生していた
  • パスワードだけでなくニーモニック(秘密鍵)も流出していたら現在パスワードを変更していたとしても関係なく不正ログインされる可能性がある
  • 現在使用中のウォレットは破棄し、新しいアカウントを作成するかほかのウォレットを使用してください

この事件の問題点

この事件を振り返って、いくつか気になる点があったので下に記載します。

サポートは最初のメールでウォレットの移動を指示するべきだった

サポートの初期対応はアカウントロック、およびパスワードの変更依頼でした。アカウントロックを解除するためには登録したメールアドレスに届いたメールが見れることが条件なので容易ではありません。ただし、ニーモニックが流出していた場合は、アカウントをロックしようが、パスワードを変更しようが、容易に別の環境から該当のウォレットにアクセスが可能です。ニーモニックとは秘密鍵に相当するもので、それがあるだけで別環境に残高そのままでアカウントにログインが可能です。ニーモニックは人によっては紙に印刷して金庫に保管しておくぐらい大切なものなので、それが流出するというのは非常に危ないことです。

BitZeny WALLETに二段階認証が実装されていれば被害を防げた

サポートからメールが来た段階ですでに不正ログインされており、ウォレットの中身がすべて盗まれていた方もいるかと思います。サポートがアカウントロックをする前に、流出したID、パスワードで不正ログインができてしまえば容易に通貨を盗める状態でした。しかし、その状態でも二段階認証が実装されていればログインは可能でも、通貨の送金は防げた可能性があります。二段階認証とは、ログイン時の認証とは別に通貨の送金時などに別の方法で認証をすることです。一般的には、二段階認証用アプリやSMS、登録したメールアドレスに送信されたURLを押下するなどの方法があります。通常のパスワードと違って、処理実行時に一時的に発行されるものなので、OTP(ワンタイムパスワード)といわれる場合もあります。

BitZeny WALLETを使用している方へ

サポートからメールが届いた方は、メールにも記載してあると思いますが、すぐにウォレットを変えることを推奨します。また、メールが届いていない方も、念のためウォレットを変える必要があるかもしれません。ウェブウォレットは自己責任のため不正ログインされたとしても保証などはありません。BitZenyの受取アドレスも変わってしまいますが、アカウントを作り直すだけで別のニーモニックに代わるので、アカウント再作成の手間と不正ログインされた時の被害を比較して、対応を検討してみてください。

※2018年3月4日時点で、ニーモニックも流出している旨のメールがサポートから届きました。該当のウォレットはすでにハッキングされたも同然なので、二度と使用しないようにしてください。

ウォレットのセキュリティ性能を比較

ウォレットにはいくつかの種類がありますが、それぞれのセキュリティ面での性能を比較してみました。あくまでも個人的な意見です。

ウォレットの種類二段階認証保証ウイルスによる影響攻撃される可能性総合的なセキュリティ備考
デスクトップウォレット××必要な情報は起動しているPCのローカルに保存しているため、外部の影響で攻撃される可能性は低い
ウェブウォレット××ID、パスワードのみで認証しているため、簡単なパスワードを使用している場合、総当たり攻撃で不正ログインされる可能性がある。
取引所ID、パスワードが流出してもすぐには被害につながらないが、取引所自体がハッキングされた場合、利用者すべてに影響がでる。

デスクトップウォレットの場合は、PCのローカルで個人で管理しているため、運営がハッキングされるといった心配はありませんが、PC自体がウイルスに感染した場合は、影響を受ける可能性があります。

取引所の場合は、逆にPCがウイルスに感染しても二段階認証を実装している場合は被害を防げる可能性がありますが、取引所自体がハッキングされた場合はいくらこちら側でセキュリティ対策をしていても影響を受ける可能性があります。

ウェブウォレットの場合は、現状最もセキュリティ性能が低いです。PCのウイルス感染、運営に対するサイバー攻撃ともに影響を受ける可能性があります。二段階認証が実装されるまでは全額をウェブウォレットに保管するのは危ないかもしれません。

結局どれがいいの?

結論として、デスクトップウォレットが一番安全だと個人的に思っていますが、各性能は一長一短です。また、それぞれの仮想通貨や取引所によって二段階認証や、保証の有無などは違いがあります。所持している仮想通貨のウォレットを調べて安心できそうなものを選ぶのがいいかもしれません。

私の場合は、各取引所や公式ウォレットに分散して保管するようにしています。この保管方法は、一度の被害で受ける影響を小さくできますが、その代わりに被害を受ける可能性は上がってしまいますので注意は必要です。zaifで買ったNEMをリスク分散のため半分コインチェックに送った結果、コインチェックがハッキングされる…ということもあり得ますので自己責任でお願いします。

おまけ

使用しているウォレットのサポートや取引所から「不正ログインされた可能性があるため、IDとパスワードを教えてください」といった内容のメールが来た場合でも、すぐにそれを信用するのは危険です。

なぜなら、登録情報を要求してくるメールは標的型メール攻撃の可能性があります。メールの送信元(From)が正しいとしても、メールのFromヘッダーも容易に改ざんが可能なので、本物だと思っても実は全然違う人が送ってる場合がありますので。