仮想通貨(暗号資産)取引所を狙う攻撃を考察
2024年5月、国内の仮想通貨取引所DMM Bitcoinが、ビットコイン約482億円相当の不正流出を検知したと発表し、その後事業の廃止を発表しました。今後の詳細調査の報告が待たれますが、本稿では過去の仮想通貨関連のサイバー攻撃事例を振り返ります。
公開日:2024年6月7日
更新日:2024年12月4日
仮想通貨の不正流出事例
2024年5月31日、国内の仮想通貨取引所(株式会社DMM Bitcoin)が、ビットコイン約482億円相当の不正流出を検知したと発表しました。すでに利用者への補償や流出対策は実施済みとしています。被害の原因については継続的に調査中としており、今後原因が明らかになるかが注目されます。DMM Bitcoinは事業の根幹たる暗号資産の出庫処理や買い注文の受付を制限してきましたが、2024年12月2日に「このような状況が長引くことは、お客さまの利便性を大きく損なうと判断」したとして、口座と預かり資産の同業他社への移管し、移管完了後に事業を廃止する旨を公表しました。サイバー攻撃に起因して事業廃止に至った事例として、改めてサイバーセキュリティと事業経営の関係の重要性を感じざるを得ません。
時期 | 地域 | 主な出来事 | 被害額(当時) |
---|---|---|---|
2014年 | 日本 | 取引所マウントゴックス(Mt.GOX)の仮想通貨流出 | 約480億円相当 |
2014年 | ルクセンブルク | 取引所BitsampがDoS攻撃を受け、出金を停止 | 不明 |
2014年 | カナダ | 取引所Flexcoinへのサイバー攻撃 | 約6,000万円相当 |
2016年 | ドイツ | 仮想通貨投資プロジェクトThe DAOへの攻撃 | 約52億円相当 |
2017年 | スロベニア | 仮想通貨採掘サービスNiceHashへのサイバー攻撃 | 約76億円相当 |
2018年 | 日本 | 取引所CoinCheckへのサイバー攻撃 | 約580億円相当 |
2018年 | 日本 | 取引所Zaifへのサイバー攻撃 | 約67億円相当 |
2019年 | 日本 | 取引所ビットポイントジャパンの仮想通貨流出 | 約30億相当 |
表:仮想通貨の不正流出や関連のサイバー攻撃に関する主な出来事(2014年~2019年)。
公表事例をもとにトレンドマイクロが整理
サイバー攻撃の方法~過去の事例から
上の表を見てもわかる通り、仮想通貨の取引所は金銭目的のサイバー犯罪者にたびたび狙われています。内部犯行が疑われるものや外部からのサイバー攻撃と考えられるものがありますが、今回は外部からの「サイバー攻撃」を中心に振り返ります。外部からのサイバー攻撃の方法は大きく分けると2つ考えられます。
・仮想通貨取引所システムへの侵害:
2018年の国内事例(CoinCheck)では、取引所のシステムが不正アクセスを受けたことが分かっています。該当の取引所の暗号通貨アドレスから多額の暗号通貨(NEM)が数回にわたり送金されていることが判明しています。
画面:取引所アドレスから攻撃者アドレスへの仮想通貨の移動を示すブロックチェーン例(2018年3月)
上記のような事象がおこる原因として仮想通貨取引所サイトのシステムもしくは運営会社のネットワークが侵害され、仮想通貨の送金を行うための業務プロセスを悪用し、不正送金が行われたことが推測されます(BPC攻撃)。こうした攻撃を行うには業務関連のネットワークへの侵入と組織内情報の窃取が必要であり、組織内従業員への攻撃メールなどが発端になることがあります。この事例でも、攻撃の発端が標的型メールを開いたことで業務PCがマルウェア感染したことが原因であったことが報道されています。攻撃者は、侵入したPCを踏み台に内部活動を展開、仮想通貨の管理サーバにアクセスして秘密鍵を盗み、不正送金を行ったと推測されています。
この事案を受け、国内では2019年の法改正で「顧客の仮想通貨を信頼性の高い方法(コールドウォレット等)で管理すること」が仮想通貨の取引所に対して義務付けられました。同時に利用者保護のために「ホットウォレットで管理する顧客の仮想通貨については、別途、見合いの弁済原資(同種・同量の仮想通貨)の保持」も義務付けられました※。
※金融庁の資料「仮想通貨(仮想通貨)に関連する制度整備について」より。
・仮想通貨利用者口座の侵害:
2018年の別の国内事例(Zaif)では、利用者の口座を侵害が発端であることが判明しています。利用者の端末から口座の操作を行う際に利用する認証キーが突破され、口座が不正操作されました。本件を当時考察した当社のセキュリティブログでは、
利用者自身の環境から認証情報が窃取された(フィッシング、マルウェア感染等)
取引所側から認証情報が漏洩した(この事例では、取引所側がこの可能性について否定しているとも言及)
別の経路で漏れた認証情報を利用(アカウントリスト攻撃)、もしくは辞書攻撃や総当たりなどの方法で認証情報が突破された
と推測しています。実際に当社が観測しているマルウェアには仮想通貨取引所のアカウント情報を窃取する機能を持つものも存在します(バンキングトロジャン等)。
まとめ
今回は、過去の暗号通貨の不正流出の原因をサイバー攻撃の観点から考察しました。2024年5月に公表された事例は詳細な調査結果の公表が待たれますが、現時点で利用者の視点からどのような対策がとれるかまとめます。
・口座を利用する端末のセキュリティ対策(OSやアプリの更新、セキュリティ製品の導入)
・認証情報の保護(パスワードの使いまわしを避ける、パスワード管理ソフトの利用)
上記は利用者目線での対策ですが、ユーザのアカウント情報を保持する事業者は、他社や他業界の事例を基に改めて注意喚起を呼びかけることも検討してもよいでしょう。
また現在では、認証方式として「パスキー」も普及しつつあります。利用者負担を下げながら安全性を確保する方式として、金融サービスに関わらず事業側として採用を検討している企業も増えています。
参考記事:パスキーとは?Apple、Google、マイクロソフトが採用する新たな認証の仕組みを解説
最後に、こうした事例を受けたとしても事業者側での説明責任を果たし、信頼を取り戻してその後事業を回復させている仮想通貨関連企業もあります。利用者や取引先としては、サイバーセキュリティに対する取り組みを積極的に発信しているかどうかも今後選定理由の1つとして大きくなっていくでしょう。
<関連記事>
・暗号資産マイニングマルウェアとは?~事業停止にもつながるサイバー脅威~
・仮想通貨を目的としたサイバー犯罪を阻止するにはー攻撃種類から考える組織に必要なセキュリティー
・パスキーとは?Apple、Google、マイクロソフトが採用する新たな認証の仕組みを解説
・仮想通貨をマイニングする不正プログラムへの感染拡散活動とその考察
Security GO新着記事
ランサムウェア攻撃者グループ「LockBit」の摘発の影響と今後
(2024年12月25日)
2025年のサイバーセキュリティ動向を予測する~AI・APT・ランサムウェアのリスク状況に注意
(2024年12月24日)
2024年年間セキュリティインシデントを振り返る
(2024年12月23日)