crowdwitches

it works

CoinCheck(コインチェック)の二段階認証が突破された?

このようなツイートが回ってきました

( https://archive.fo/swUSD )

CoincheckはGoogleが開発した二段階認証であるGoogle Authenticatorを採用しています。 それを突破されることはあまり考えられないのですが、スマートフォンがマルウェアに感染していたか、もしくは最悪、Coincheck側にセキュリティホールがあるぐらいしか思いつきません (二段階認証が設定されているPCがマルウェアに感染していても、送金できないので関係ない 送金する際に二段階認証がある場合に限ります)

不正アクセスを行ったと思われるIPアドレスが以下

163.43.30.192 https://www.shodan.io/host/163.43.30.192

126.58.200.7 https://www.shodan.io/host/126.58.200.7

( https://archive.fo/AOF1Z )

163.43.30.192はさくらインターネットのIPアドレスで、80番ポートが開いているのでアクセスしてみると、インターリンクのVPNサービスが出てきます。 f:id:camwatch:20180117010216p:plain これはフレッツ光契約の有無関係無しに利用できるサービスかつ無料のお試し期間があるためこれを利用して不正アクセスを行ったと思われます。ただ、この場合接続元IPを記録していると思うのでセカイVPNの手前にもう1つVPN(Double VPN化)を経由しないと身元が容易に割れると思います。

126.58.200.7はソフバンのIPですが、ググっても特にデータは見つからなかったのでこのツイッターアカウントの方の携帯電話(ソフトバンク) or 固定回線なのか、もしくは犯人がVPN切ったあとに間違えて繋いでしまったとか?

私のCoinCheckアカウントで二段階認証を設定して検証しました。ログイン時にコードを一定回数間違えるとIPアドレスを変えても30分間はログインできなくなるので、総当たりなどではなさそうです。 しかし、送金する際に二段階認証のコードは必要ないようです(?)(2015年以降の本人確認等していないのでわかりません) コインチェックのチャットに貼られたURLからセッションハイジャックされたとか? まあ、わからないですね。 ただ1つ気になったのが、二段階認証のコードを一定回数間違えたあとに再度ログインしようとすると、二段階認証の画面には遷移しませんでしたが、アプリでは一定回数間違えた後でもIPアドレスを変更すると二段階認証の画面に遷移しました(なんで?)

いずれにしても取引所に資産をすべて置くのは危険ですね

2018-01-19追記:気になってモバイルAPIを見てみましたが、やはりパスコードを一定回数間違えると30分間ログインできない状態になるので、バックアップ用の16桁のキーの保管方法に問題があったのではないかと思います。

2018-01-21追記:二段階認証の設定し忘れとのことでした

2018-01-27 追記: 関連は不明ですが、この数日後取引所の580億のNEM/XEMがGOXされました。

headlines.yahoo.co.jp

大手仮想通貨取引所のコインチェック(東京都渋谷区)は26日、外部から不正なアクセスを受け、顧客から預かっていた仮想通貨「NEM(ネム)」約580億円分が流出したと発表した。原因や影響人数については調査中といい、被害について警察に相談しているという。同日夜に記者会見した和田晃一良社長は「弊社サービスで機能が停止し、お騒がせしていますことを深くおわびします」と謝罪した。顧客への補償は「検討中」と述べるにとどめた。 仮想通貨のトラブルでは、2014年に国内の取引所「マウント・ゴックス」で465億円分が消失したのを超え、過去最大規模となる。

 コインチェックの説明によると、26日午前、社内でNEMの残高が大幅に減少していることが判明し、午後にかけて売買や入出金を停止。その後、ビットコインなどを含むすべての仮想通貨や日本円の出金を停止した。同社が保有するNEMはほぼすべて失われたという。取引や入出金の復旧のめどはたっていない。NEM以外のビットコインなどの仮想通貨や日本円の不正送金は確認されていないという。

 仮想通貨ではこうしたトラブルを防ぐため、ネットからのアクセスを遮断したコンピューターでデータを保管するなどより安全な対策をとっている取引所が多いが、コインチェックはNEMについて対応していなかった。「(ネット遮断した)オフライン(で保管)にするには技術的な難しさがある。人材が不足していた」(和田社長)と説明した。大塚雄介取締役は「資産を預かっている立場として、できる限り十分な対応はしていた」と述べた。

 金融庁は業界を監督するため昨春、仮想通貨取引所に登録制を導入した。コインチェックも登録を申請したが、現時点で登録されていない。大塚取締役は「セキュリティーが甘いから登録していないわけではない」と説明した。ただ、「見なし業者」として営業は続けており、法律上、金融庁にはこうした事案については報告する義務がある。金融庁幹部は「事案の被害状況や原因、再発防止策を報告してもらうが、まずは顧客保護に万全を期してもらいたい」としている。 NEMの時価総額は1兆円規模とされる。一時30兆円を超えたビットコインには及ばないが、個人投資家を中心に人気を集めていた。