セキュリティブログ
【Zaif/不正送金】Zaif不正送金事案まとめ
2018.09.22
9月20日、Zaifから67億円相当の不正送金が行われた件がニュースになりました(のち、70億円に修正)。
以下に事件のタイムラインを抜粋し記載します。
◆Zaifで発生した不正送金事案についてまとめてみた
インシデントタイムライン
日時 出来事 2018年9月14日 17時33分15秒 Zaifのアドレスから外部へBitcoin Cashの不正送金が行われ始める。 2018年9月14日 17時33分27秒 Zaifのアドレスから外部へBitcoinの不正送金が行われ始める。 2018年9月14日 17時39分1秒 Zaifのアドレスから外部へMonacoinの不正送金が行われ始める。 2018年9月14日 18時54分10秒まで Zaifから仮想通貨3種類 約70億円相当の不正送金が発生。 同日 詳細不明だが不正アクセスを示すアラートが発出されていた模様。 2018年9月15日 10時以降 不正送金されたBitcoinの分散が大規模化。 2018年9月17日 テックビューロがサーバーの異常を検知。 同日 夕方 テックビューロがZaifでの暗号通貨3種の入出金を停止。 2018年9月18日 午前中 テックビューロが初期調査で被害確認できず。 同日 11時48分 Zaif公式Twitterが「顧客資産の安全を確認」とツイ-ト。*1 同日 午後 テックビューロが不正アクセス被害が起きていることを把握。 同日 午後 テックビューロが財務局へ不正送金被害を報告。 同日 金融庁がテックビューロへ資金決済法に基づく報告徴求命令。 同日 夜 テックビューロがフィスコへ支援を打診。*2 2018年9月19日 フィスコが取締役会を開き、テックビューロの支援を行うことを決定。 同日 昼 テックビューロが大阪府警西署を訪れ、仮想通貨不正送金の被害を申告。*3 発覚後 テックビューロとフィスコの間で支援検討に関する基本契約を締結。 発覚後 テックビューロとカイカの間でセキュリティ向上のための技術提供の基本契約を締結。 2018年9月20日 2時頃 テックビューロが不正アクセスにより暗号通貨入出金が停止したことを発表。*4 同日 日本仮想通貨交換業協会が協会員へ緊急点検を要請。 同日 金融庁がテックビューロへ立ち入り検査を実施。 2018年9月21日 金融庁による仮想通貨交換業者へ顧客資産管理状況に関する緊急調査の報告期限。 同日 午前 大阪府警がテックビューロへ捜査員を派遣。 同日 麻生副総理兼金融担当大臣が当該事案に対してコメント。*5 同日 テックビューロが被害額を修正。(約67億円⇒約70億円) 同日 テックビューロがサポート窓口を解説。FAQを公開。 2018年9月25日 金融庁がテックビューロに対し業務改善命令。 2018年9月27日 テックビューロが業務改善命令に対する業務改善計画書を提出。 2018年9月28日 21時 テックビューロが新規会員登録の受付を一時中止。 2018年10月5日 テックビューロが保有しているXEMをコールドウォレットへ資金移動。
※ここまで
コインチェック社事件の後、実は9月頭にモナコインも(そして今回のZaifも)同じように「ホットウォレット」からやられています。
※攻撃方法はちょっと違うんですけれども、以下にその事件についてのMonappyさん発表についてもリンクを張っておきます。
※ホットウォレット≒お金を常時出し入れする環境
◆MonappyにおけるMonacoinの不正出金につきまして
弊社にて運営の引継ぎを行っておりましたMonacoinウォレットサービス「Monappy」にて、ホットウォレットに保管されていた全てのMonacoinが不正に出金されるという事態が発生しました。
(ウォレット全残高の54.2%を保管しているコールドウォレット内のMonacoinについては不正出金はありませんでした。)利用者及び関係者の皆様には多大なご心配とご不安を与えておりまして大変申し訳ございません。
原因
上記の通り、悪意ある人間のギフトコード機能を悪用した攻撃が直接の原因となります。また、攻撃を許したことについてはモニタリング体制の不備、テストや確認の不備などが根本的な要因と認識しております。
影響範囲
Monappyに残高をお持ちの全利用者様が対象となります。
今後の対応
不足残高の補填に関しましては引継ぎの最中であったことから旧運営者側とも協議し利用者の方々の救済を第一優先として、旧運営者側の自己資本を持って全額を補填に充てることと致しました。本件の原因箇所の修正と検証ののち、機能を制限した上で可及的速やかに出金処理が出来ますよう再開致します。
補償の方針
総額: 93078.7316 mona
人数: 7735人全員の残高不足分をMonacoinで補填致します。補償時期、方法の詳細に関しましては現在検討中ですので、決まり次第速やかにご報告致します。
※ここまで
Monappyさんは攻撃被害から保証方針までが早かったです。この点は当該問題が大きくならなかった一つの要因であるように思います。
(2018年10月6日追記)
いっぽうZaif(テックビューロさんは今日現在補償について確定が見られておりません。コインチェック社事件の際は補償がなされましたが、今回は親会社(フィスコ)さんからの補償を9月中に引き出せなかった、、といったところが実際だろうな、と思います。
◆お客様流出資産の補償に関して
この度の仮想通貨流出事件に関しまして、平成30年9月20日付け「仮想通貨の入出金停止に関するご報告、及び弊社対応について」でご報告いたしましたとおり、弊社は、JASDAQ上場企業である株式会社フィスコのグループ企業である株式会社フィスコデジタルアセットグループの子会社を通じた金融支援の正式合意を目指す検討を開始する基本合意を締結しております。
同基本契約の締結後は、正式契約締結に向けて協議・交渉を進めており、顧客資産の補償に万全を期す方針に変更はなく、具体的な対応の詳細について現在も検討を続けております。内容が確定次第、速やかにご報告いたします。
※ここまで
これ、何も決まってないというリリースですね。。
※追記ここまで
本件は全体的に「対応の遅さ」「またホットウォレットからやられた」といったところが残念である、と考えます。
仮想通貨(クリプトカレンシー)はIT時代の取引に無くてはならない、非常に可能性のあるツールであると考えています。こうした事件が「同じような原因で」繰り返されることは残念ですけれども、こうした事案に学び、より使いやすく安全な仮想通貨サービスが興隆することを願ってやみません。