セキュリティブログ

【Zaif/不正送金】ビットコイン総合サービス「Zaif」でのAPIキー不正使用と不正出金について(テックビューロ)

2018.01.11

テックビューロ社(仮想通貨交換所/Zaif)から、1月6日(土)夕方から7日(日)未明にかけてのAPIキーを利用した不正取引および不正出金が行われた件、ならびに1月9日に報告された不正アクセスおよび不正出金について、報告がなされています。

以下、Zaifさんウェブサイトより抜粋です。

※以下

(1)1月6日から7日未明にかけて発生した、APIキーの不正利用について

【被害の発生状況について】

1.実行された不正出金
10名分のアカウントについて、合計37件の不正出金が実行されたことを確認

2.実行された不正取引
9名分のアカウントについて、合計137件の不正注文が発行されたことを確認
15名分のアカウントについて、合計137件の不正注文が発行されたことを確認
※2018/01/10/18:30修正、公開時9名分としていましたが、15名分の誤りでしたので訂正いたします

3.使用されたAPIキーについて

  • 合計102個のAPIキーが使用され、そのうち18件が削除済みのAPIキーであることを確認
  • 削除済みのAPIキーについては命令が実行されたものではなく、APIキーが無いエラーが返され、何も実行されておりません。
  • 使用されたAPIキーの最も古いものは 2014年8月7日に作成されたもので、最も新しいものは 2016年6月11日に作成されたものでした。
  • 削除済みのAPIキーについては、2015年10月22日に削除されたものが弊社バックアップで確認できる最も古いものでした。なお、APIキーの削除については、データベース上で物理削除を行っております。

対象期間と思われる2016年6月12日までに作成されたAPIキーは、復元したバックアップなどを含め約1000件程度と推測しています。

【アクセス元について】

海外のホスティング会社のものと思われる4つのIPアドレスからの接続を確認

【APIキーの漏洩経路の特定について】

弊社内でのデータベースダンプの扱いを含め、あらゆる精査を行っておりますが、現時点では特定に至っておりません。ただし、下記対応により新たな不正取引および不正出金は観測しておりません。

【現在までの対応】
  • 不正使用されたAPIキーの権限について、弊社にて出金権限を削除
  • 不正利用を防止するため、APIキーの見直し・出金制限のお願いをブログおよびメールにてご連絡
  • 万一のために、2016年6月12日以前に作成されたAPIキーにつきまして、弊社にて取引および出金権限を削除
  • また、2016年6月12日以前にAPIキーを作成されたお客様を対象に、メールにて上記内容をご連絡
  • 当局および捜査機関へ連絡
  • 該当するお客様に対してヒアリングを行うべく準備中

 

(2)2017年1月9日(火)に報告された不正アクセスおよび不正出金について

【発生状況について】

1月9日未明に不正アクセスおよび不正出金があったと連絡を受ける

【現在までの対応】
  • 調査のため1月9日午前11時すぎに仮想通貨の出金処理を停止
  • その後の調査により、この不正アクセスおよび不正出金については、国内のIPアドレスからのアクセスであり、特定のアカウントが狙われたものであること、また、連続的なものではないことを確認
  • 上記調査により、この不正アクセスおよび不正出金は、APIキーの不正利用とは関連があるとは考えにくいと判断し、同日14時過ぎに仮想通貨の出金処理を再開
  • 再開に伴いお客様に安心・安全にお使い頂くため、お客様ごとに新しいアドレスへの出金については一旦停止

 

(3)今後の弊社の対応と、お客様側での対応のお願い

【お客様側での対応のお願い】

出金の際に新しいアドレスへ出金され、出金画面でエラーが表示された場合は、弊社サポートまでご連絡いただき、お客様の出金が「お客様のご意思によるもの」であること及び本人確認にご協力をお願いいたします。

【今後の弊社の対応】

同様の事象を防ぐため以下の事項を実施致します。

  • APIキーを利用する際、お客様ごとにIPアドレスホワイトリストを登録できるようにいたします。
  • APIキーの不正利用について、IDS・IPSによる検知と防止を行います。

引き続き、該当ユーザー様との対話および調査をはじめ、捜査機関との連携を行い、事件を解決へすすめるべく努力し、今後の調査結果に基づいて、誠意をもって対応させていただきます。

今後とも仮想通貨取引所 『Zaif』をよろしくお願いいたします。

※ここまで

IDS/IPS機能を実装する「イージス」の導入につきまして、ぜひご検討いただきたいと思料するものです。

また、個人の仮想通貨資産は外部ウォレット等に保管することをお勧めします。