- 海外仮想通貨取引所Biki.comのハッキング被害を考察
- 3月26日に起こったシンガポール取引所「BiKi」のハッキング被害について、現職エンジニアでCoinPost所属ライターの坪 和樹が独自分析を行い、海外取引所利用ユーザーの対策手段を解説。
海外仮想通貨取引所「BiKi.com」へのハッキング被害
ここ数日海外で、仮想通貨取引所の被害が相次いで発生している。3月25日にはシンガポールの大手取引所「DragonEX」(CMC上取引高31位)がハッキング被害を受けたことを明らかにした。
今回も、CoinPostの所属ライターの坪 和樹が、シンガポールに本拠地を置くBiKi.comが3月26日に受けた攻撃について、公式の公式発表の解説と併せて考察を行った。
被害の流れ
BiKi.comにおけるアカウント盗難に関する第一報は「3/26 03:37」に出され、その後「11:21」には詳細が明らかになっている。
最初のアナウンスの段階で、一部ユーザーのアカウントが乗っ取られたことが分かっていた。いわゆる取引所の秘密鍵が狙われたケースではなく、ユーザーの顧客口座が狙われたケースだ。
その後、「携帯電話の確認コードだけでなく多要素認証を組み込んでください」と強調する記述が見受けられることからも、携帯電話の確認コード、つまりSMS周りで乗っ取りが行われていたことが推察できる。
この時点で原因については特定できており、恐らく数時間かけて、被害範囲の確認やセキュリティの再チェックなどを行ったのであろう。その後に発表された内容も、これを裏付けるものとなっており、サードパーティのプロバイダ経由でアカウントが乗っ取られるに至ったと書かれている。
BIKI.com 自体はシンガポールに拠点を持つ取引所だが、グローバルに展開している取引所であり、アカウントの乗っ取り手法としては、 SIMスワップ、またSIMハイジャックと呼ばれる手口が考えられる。2018年からは、特にアメリカなどで活発化している手法の一つだ。
SIMハイジャックとは
簡単に言えば、標的が持っている携帯電話の番号を乗っ取るものだ。
これにより、攻撃者はパスワードリセットや資金の引き出しに必要なSMSコードを得ることができる。また、Gmail などのアカウントを乗っ取ることも難しくない。
手口自体は、そう複雑なものではない。携帯電話のSIMカードでサービスを提供するプロバイダ(日本であればDocomoなど)を騙し、標的のSIMカードを無効化させ、自分のカードをその番号で有効化させる。
このときの手口は、大きく分ければ二つだ。
ひとつは、標的の代わりにカスタマーサポートに連絡し、紛失などを装う方法(実店舗に行くという方法もあるかもしれない)
もうひとつは、プロバイダの社員やサポートの人間などに賄賂や金銭を渡し、SIMカードを乗っ取る方法だ。
システムに侵入して自分が操作するというのは技術的には不可能ではないかもしれないが、上述の手段と比べると難易度が高いため、可能性は低いだろう。
対策としてはシンプルで、「Google Authenticator」といった多要素認証を用いることだ。SMSやメールによる認証は、一見、多要素に見えるかもしれないが、セキュアではない。
今回のように、SMSやメールだけでパスワードリセットとログイン時の多要素認証が可能になっていると、簡単に乗っ取られてしまう危険性があるからだ。現在日本の通信プロバイダが騙されたなどの被害報告はあまり聞かないが、用心するに越したことはない。
Biki.comの報告に戻ると、Google Authenticator(グーグルの二段階認証)を利用するようアナウンスされている。 しかし、被害に遭ったアカウントは「37」と少なく、これは彼らのアラートシステムが早期に検出したためと思われる。
管理が行き届いていないな取引所だと検知できなかった可能性もあるし、セキュリティ対策、モニタリングなどはうまく運営できている、という見方もできそうだ。
この機会に、今一度、利用している取引所などのアカウントについて、再確認してみてはいかがだろうか。