最新ニュース、芸能、ネットの話題をまとめ読み

 

6000万円分が消えた!? 盗まれたビットコインの舞台ウラ

  • このエントリーをはてなブックマークに追加


取引増加で分裂騒動まで起きてしまうほど、今や新たな投資先として注目を集めるビットコイン。だが、黎明期だけにトラブルも絶えない。そんななか「知らぬ間に外部に送金され、口座のビットコインが消失した」と訴える事件が発生した。以下、被害と訴えるB氏の証言だ。

「私が管理していたビットフライヤーの口座から322ビットコイン(4400万円相当)が私の知らない間に外部へ送金されました。さらに現金で置いていた1771万円もビットコインに交換され、外部へ送金されたんです」

B氏は、ある法人口座を管理していた。当時のビットコイン価格はおよそ13.7万円。時価換算するとおよそ4400万円。もしB氏の知らぬ間に外部に送金されるという盗難事件だとしたら、キャッシュからビットコインに交換され送金された分も含めると、約6000万円の被害総額である。

B氏は小規模ながら一般投資家向けのビットコイン取引所を運営していた。一方のビットフライヤーはテレビCMも放映している国内最大手の取引所。B氏はカバー先(仕入れ先)の一つとして利用していたという。

◆二段階認証をかけていても安心できない!?

実はビットコインなど暗号通貨の盗難事件は少なくない。ツイッターなどのSNS上では、あちこちで盗難被害者の悲鳴が聞こえる。しかし、そこで焦点となるのは「二段階認証」を設定していたかどうか、だ。

二段階認証とはIDとパスワードに加え、その都度生成されるワンタイムパスワードを入力しないと口座にログインできない仕組みのこと。ワンタイムパスワードはSMS経由で携帯電話番号宛に送信するか、メールアドレスへ送信される形が一般的である。

ほとんどの取引所で採用されている二段階認証だが、初期段階では設定されておらず、自分で設定メニューから「利用する」にチェックする必要があったりする。そのため、二段階認証を利用していない暗号通貨初心者が多くなってしまっている。二段階認証を利用しなければ盗難の可能性は格段に高まるため、もし被害にあっても「情弱乙」とまともに取り合ってもらえない。今回、被害を訴えるB氏は二段階認証を設定していたのか。

「二段階認証? もちろん設定していました。スマホではなく、パソコンで利用するメールアドレス宛に届くよう設定していましたが、盗難の発生前に届いた形跡はありません。ビットフライヤーではログイン完了後に『ログイン確認メール』が届くのですが、それも届いていません。設定していたのはログイン時だけ。私がビットフライヤーを使い始めた時点では、外部のビットコインウォレットへ送金するときの二段階認証はまだ不可能だったと認識しています。それが可能になった時点で告知を受けた記憶はありません」(B氏)

こうした経緯からB氏はビットフライヤー側に非があると主張。では、ビットフライヤー側の見解はどうか? 問い合わせたところ、メールにて返事がきた。

「(送金時の二段階認証について)2016年8月30日より導入いたしました。当時から当社では二段階認証を強く推奨しており、ホームページやEメールで広く通知しておりました。また、二段階認証というシステム自体、幅広く知られた知識であり、(仮に当社からのEメール等を一切見ていないとしても)自社も仮想通貨取引事業者であると自称する顧客会社が二段階認証のシステムの存在を知らないことはありえません」(ビットフライヤーからの回答。原文ママ)

◆「自動ログアウト」は機能したか

双方の主張が食い違うわけだが、今回のビットコイン消失事件について、まずは経緯を順に追っていく。まずはいつビットコインが消失したのか、だ。B氏の口座から外部へ送金されたのは4月24日、日本時間16時45分から19時18分までの間だ。

「その時間、私は香港にあるオフィスで働いていました。事件当日、私が最後にログインしたのは盗難が起きる2時間ほど前です。ビットフライヤーではログイン後、操作しない時間が続くと自動的にログアウトされる。誰かが勝手に私のパソコンを操作しても口座は動かせないはずです」(B氏)

ビットフライヤー側の見解によると「一度ログインした後に全く操作が行われない場合、原則200分程度で自動的にセッションタイムアウトを行う」設定になっていて、自動ログアウトされるという。

B氏のログインが14時45分前後だとしたら、200分後となるのは18時5分。盗難が発生した16時45分にはまだ自動ログアウトは行なわれていなかったことになる。

さらに、使用されたIPアドレスからもビットフライヤーは、B氏側に原因があると主張する。

「仮想通貨の送付は顧客会社(B氏)が自社のものと認め200回以上に渡って使用していたIPアドレスより、顧客会社のログインID、パスワードを使用してなされたものであり、当社からは顧客会社に実際に被害があったかどうかは確認できておりません。仮にこれが顧客会社の正当な権限者による送付要求でない場合、IPアドレスが同一であることから、顧客会社の内部者の犯行や顧客会社のコンピューターに対するハッキングなど、顧客会社側の原因による事件である可能性が高いものと考えられます」(ビットフライヤー)

さらに気になるのは、ブロックチェーンに残された送金記録だ。B氏のウォレットから誰かしらのウォレットへ不正に送金されたのは4月24日の夕方。不審なのはここからの動きだ。盗まれたビットコインは1日以上、そのウォレットへ放置されていた。

通常、悪意を持った攻撃者は盗んだビットコインの行方をたどれないよう、「ミキシング」と呼ばれるサービスを利用する。何千回、何万回もの送金を繰り返し、また別のビットコイン送金とも合算することで最終的な行方を突き止めることをほぼ不可能にする匿名送金の技術がミキシングだ。

このミキシングによる送金が行われ、ビットコインの流れが霧消したのは事件発生から約26時間後。なぜ、この時点で慌てて動き出したのか。そのヒントをビットフライヤーが教えてくれた。

「被害報告のあった翌日4月25日に当社より顧客会社(B氏)に宛てて、『ブロックチェーンによると現時点でも送付先アドレスに送付されたビットコインが保管されているようである』ということをメールで知らせましたが、わずかその16分後に当該送付先アドレスから別の外部アドレスにビットコインの転送がされていたことがブロックチェーン上で確認できました。従いまして、顧客会社のメールのハッキング等がされている可能性も当社としては疑っています。当社に対してサイバー攻撃等による不正アクセスがあったり、当社にて情報漏えい等があったりした事実は確認されている限り一切ございません」(ビットフライヤー)

◆Cookieの設定は適切だったのか

ここまでビットフライヤー側の見解を見ていくとB氏側に問題があったように思える。B氏がトイレに立った隙に誰かがパソコンを操作した可能性もあるだろうし、あるいはB氏の利用するパソコンがハッキングされていた可能性もある。だが、ITや暗号通貨に精通した技術者は「ビットフライヤー側のミスの可能性」をこう解説する。

「可能性として考えられるのはB氏が利用していたパソコンの乗っ取り。ビットフライヤーがCookie(利用者のデータを一時的にパソコンに保存する仕組み)の設定を誤っていた場合、ブラウザのアドオンなどを経由してパソコンを乗っ取ることができます」

B氏のパソコンが乗っ取られ、口座が不正に利用された可能性だ。そうだとすれば、ビットコイン消失時、B氏が普段使っているIPアドレスからのアクセスだったこととも符合する。そうなると、ビットフライヤー側にも責任は生じてくるというわけだ。B氏はビットフライヤーに対して民事訴訟を起こしており、いずれ真相が明らかになるだろう。

奇しくもこの事件の約1か月後、ビットフライヤーは不正出金に対する補償金サービスを開始した。そのリリースでは「ID・パスワードが盗まれ不正使用される被害が増加し、その手法も巧妙化していることから、被害が深刻化する傾向」とされている。

8月には分裂問題が発生し、今後も乱高下が続きそうなビットコイン。取引高も今後増えると見込まれ、多くの投資家が参入することが予測される市場だけに二段階認証など個々のセキュリティ意識の高まり、各業者のセキュリティ強化を期待し、こうしたトラブルが早くなくなることを切に願うばかりだ。

(取材・文/高城 泰<ミドルマン>)


外部リンク(日刊SPA!)

Yomerumoをフォローする

Yomerumoから人気記事をお知らせします!

Twitter

ライフ最新記事

記事一覧

注目ニュース

> もっと見る


掲載情報の著作権はニュース提供元企業等またはGMOアドマーケティング株式会社に帰属します。記事の無断転用を禁じます。
すべての人にインターネット
関連サービス