仮想通貨デリバティブ取引所のBitMEXは、11月1日に発表した新たなインデックス計算方と取引所追加告知でユーザーのメールアドレスが大量に流出した問題を謝罪。BitMEXのサポートなどを語るフィッシングメールの注意喚起を行った。
関連記事:【墨汁速報】11月22日より開始!BitMEX インデックス価格に3つの取引所を加え出来高荷重を導入
メールアドレス流出の原因
2019年11月1日 日本時間15:00pmにかけて、BitMEXが行った新しいインデックス計算とGeminiやItbitなどの新しい取引所追加をアナウンスするメールにおいて、下記の画像1のように他のメールを送信されたユーザーのメールアドレスが流出した。本来ならば「To」にアドレスを入力するのではなく、他の同一ユーザーがアドレスを知ることがないように「BCC」を利用しなければならない。
今回はBitMEXがユーザーへのメール送信をAPIで行った際、Toへ入力したリテラルの連結を作成したことに気づかなかったことが原因であるという。BitMEXによるとメールアドレス以外の個人嬢流出はしていないという。
画像1. 実際にBitMEXから送付されたメール
流出の被害ユーザー
対象ユーザーはBitMEXのほとんどのユーザーであり、上記画像1のメールを受け取ったユーザーは全てアドレスが第三者に知られてしまったことになる。BitMEX曰くもし受け取ったメールでToの中に自身のアドレスのみが見える場合、アドレス流出被害にはあっていないという。
またメールを受け取っていないユーザーは被害にあった可能性があるとしており注意が必要だ。にBitMEXはメールアドレス流出事件後1日日本時間22時、ユーザーのリスクをへらすため不審なログインケースを監視し、下記に該当するリクエストをキャンセルしたという。
・二段階認証を行っていないユーザーの引出しリクエスト
・1度も使用していないビットコインアドレスへの引出し
・新しいIPアドレス
・アドレス流出後に作成されたアカウント
もし2FA(二段階認証)を設定していない場合、仮想通貨において必ず設定しなければならない重要なせセキュリティであるため、全ての取引所やサービスで2FAを行う必要があるだろう。
BitMEXを語ったフィッシングメールに注意
今回被害にあったBitMEXユーザーがもっとも注意しなければならないのは、BitMEXサポートを語ったフィッシングメールだろう。BitMEX公式によると
をコントラクトリストに追加しておくことを推奨している。例えばsupport@b“l”tmex.comやsupport@bit“n”ex.comのように似たようなアルファベットによる偽装アドレスなどから
「パスワードが流出した。下記URLからログインしてパスワードを変更」
のようなフィッシングメールにより、ハッカーがBitMEXの見た目だけをコピーして作ったパスワード回収サイトへ飛ばされ、資産が盗まれてしまうなどがあり得る。このようなフィッシングを避けるには「メールから仮想通貨取引所にアクセスしない」などの注意が必要だ。
またもしメールアドレスを使いまわししている場合、他のサイトで個人情報が流出しているとそれを利用して取引所にアクセスされる可能性もある。このような不正ログインに合わないためには、取引所ごとに専用メールアドレスを用意し、パスワードは個別に設定することで回避できるだろう。
参照:Email Privacy Issue: What Is Happening And How Can We Help