kazuki.t (OP)
|
|
May 16, 2018, 11:51:14 PM Last edit: November 03, 2018, 11:52:44 AM by kazuki.t Merited by Anon11073 (3), tactac (3), hakka (1), sncc (1) |
|
仮想通貨の世界では、自分の身は自分で守らなくてはなりません。 一方で、攻撃者による攻撃は高度になり続けています。全員が少しずつ気を付ければ、被害を回避したり緩和したりできるはずです。そんな想いでスレッドを立ち上げました。 各種の事例を報告しつつ、可能な範囲でインシデントをユーザー側からの視点で確認し、ユーザーがどんなことに気を付ければいいか、というところに重点を置きます。足りない情報や最新事例などお持ちの方はぜひお寄せください。ご指摘も歓迎です。
以下、一般的な内容ではありますが参考にしてください。
* ひとつの取引所に多くのトークンを置かない 事例: MtGox, CoinCheck のような取引所からの盗難
* 利用するサービスのパスワードは強固なものにする - 使い回さない(Lastpass, 1password 等の利用、文字列を分割して「よく使う文字列+α」でαはメモ帳に書くとか) - 辞書にあるような文字列の並びは避け、組み合わせる場合もできれば 3つ以上にする - gmail だとプラスでメールアドレスを変えられるので、ID も都度変えてもいいかもしれません
* セキュリティ機能は必ず設定する - Metamask など、開発者チームが推奨する対策は必ず実施する - MFA を設定し、そのバックアップも取ること(複数端末でスキャン、バックアップ用文字列を紙に手書き等) - セキュリティ機能が十分でないサービスは、そもそも使うべきではありません。
* 扱う機器にも注意を。 - 不必要なものはインストールしない。特にブラウザアドオンやスマホアプリは、インストールユーザ数やレビューも確認します。一方で、過信しすぎてはいけません - Windows Updateなど OS のアップデートは放置せず適用すること ※まれに起動しなくなるバグとかあるので諸刃の剣ですが。 - 自宅内のDNSはセキュリティ特化型のもの(Neustar UltraRecursive等)とか使うと良いかもしれません
* 秘密鍵はオフラインに - 資金があればハードウェアウォレット、難しければ USBメモリ等。可能ならば紙への印刷。喪失に備えてバックアップも。
* 情報は裏を取る - エアドロップやICOのお知らせ等、メールやDMで得た情報をうのみにせず、必ずウェブサイトやホワイトペーパーなど一次情報に当たるようにしましょう。 - Google検索から取引所に飛んでませんか?URLは間違いありませんか?証明書エラーは出てませんか? - 「支払いが必要」、「秘密鍵を入力してください」などは99%詐欺です。不安に思ったらSNSや検索で他の人が同じことをやっているか確認します - 電話や SNS で気軽に仮想通貨のことを話していませんか?自分から情報を垂れ流していることを自覚してセーブしましょう。
* もし SCAM(詐欺)や攻撃に遭った場合も、まずは被害を見極める - 被害者を狙った詐欺もあります。冷静になり、ダメージコントロールに努めましょう
|
|
|
|
|
|
|
The trust scores you see are subjective; they will change depending on who you have in your trust list.
|
|
|
Advertised sites are not endorsed by the Bitcoin Forum. They may be unsafe, untrustworthy, or illegal in your jurisdiction.
|
kazuki.t (OP)
|
|
May 16, 2018, 11:57:58 PM |
|
最初は事例ベースでまとめようかと思ったのですが、調べるとあまりにも多くの例が見つかったので断念しました。 今のところ一般的な観点にとどめ、まとめてみました。追記や指摘は大歓迎です。(もしスレッドが重複していたらご容赦ください)
|
|
|
|
|
hakka
Full Member
Offline
Activity: 714
Merit: 158
To live is to think
|
|
May 20, 2018, 01:47:26 PM |
|
週ごとにまとめて頂くと確かに振り返りやすくていいですね。 セキュリティ関係は最近のトレンドでもありますし 今週についてはBitcoinGoldも攻撃を受けたようでPOW界隈が大騒ぎですね。 私も簡単に経緯について次のスレ( 暗号通貨のニュース・規制情報スレ)で以下の通りまとめました。 (このスレの趣旨的に、以下のレベルのセキュリティ関係の情報は今後こちらに投稿しても大丈夫でしょうか?)。
|
|
|
|
kazuki.t (OP)
|
|
May 20, 2018, 03:06:38 PM |
|
週ごとにまとめて頂くと確かに振り返りやすくていいですね。 セキュリティ関係は最近のトレンドでもありますし 今週についてはBitcoinGoldも攻撃を受けたようでPOW界隈が大騒ぎですね。 私も簡単に経緯について次のスレ( 暗号通貨のニュース・規制情報スレ)で以下の通りまとめました。 (このスレの趣旨的に、以下のレベルのセキュリティ関係の情報は今後こちらに投稿しても大丈夫でしょうか?)。 hakkaさん、ありがとうございます!はい、セキュリティ周りの情報は、こちらに投稿あるいは転記いただけると良いと思います。 個人的に一週間で騒ぎになったニュースを振り返ってみようと思い、簡単に、記事を探してまとめてみた次第です。あとからタイムラインを追える、というメリットはあるかもしれません。 モナコインの件は、PoW系のコインにとっては本質的に回避しえない問題ですが、承認回数が長ければ長いほど取引できるようになるまでのタイムラグが発生するわけで、難しいですね。 動かした金額(価値)に応じて承認回数を変える、などの対策が本質的にはうまくいきそうな気もしますが、各取引所はそこまで賢い仕組みは実装できていない、というのが現状でしょうか。
|
|
|
|
tactac
Full Member
Offline
Activity: 448
Merit: 121
self made Full member (^-^)v
|
|
May 22, 2018, 03:56:49 PM |
|
twitterで拡散されていましたがwavesのウォレットに勝手にコインを送りつけて フィッシングサイトに誘導する詐欺があったようですね。 手口としてはhttp://やhttps://で始まる名前のトークンを送り付け そのトークンの名前のURLにアクセスすると、そこから自動的にwaves clientや waves light clientのアカウント復元画面にそっくりのページにとび、そこでseedを打ち込ませる、という手法だそうです。 自分のwaves clientには幸い送られてきていませんでしたが、 身に覚えのないコインが送られてきた際には、当たり前のことですが注意が必要ですね。
|
|
|
|
popomaru
Member
Offline
Activity: 300
Merit: 10
|
|
May 23, 2018, 11:19:55 PM |
|
怪しいURLの書かれたWavesトークンのアドレスは、アクセスしただけでも危険らしいです。 もしかすると何かウイルスやスクリプトが埋め込まれてるのかも? 今の所被害には遭ってないですが、気をつけた方がよさそうですね。 多分ですが、Airdropで応募してるWavesアドレスを収集して送りつけてるような気がします。
|
|
|
|
tactac
Full Member
Offline
Activity: 448
Merit: 121
self made Full member (^-^)v
|
|
May 24, 2018, 05:11:38 AM |
|
怪しいURLの書かれたWavesトークンのアドレスは、アクセスしただけでも危険らしいです。 もしかすると何かウイルスやスクリプトが埋め込まれてるのかも? 今の所被害には遭ってないですが、気をつけた方がよさそうですね。 多分ですが、Airdropで応募してるWavesアドレスを収集して送りつけてるような気がします。
Airdropに参加するにも、やはり皆がリテラシーを身を高めることは必要ですね。 そういう意味でもこういった、セキュリティ関係をまとめてくださっているスレッドは有意義だと感じます。
|
|
|
|
HBV
Newbie
Offline
Activity: 26
Merit: 4
|
|
May 24, 2018, 04:38:26 PM |
|
今回のHBウォレットの件に関しては…どう対策すべきですかねぇ… いつ何時でも出金できるようETHを常備しておくとか、その際焦ってセルフGOXしないとか… 最終的にはソフトウォレットではなくハードウォレットを使用するというところに行き着くとは思いますが、あるいはソフトウォレットはエアドロップ用の不安定な金庫であると認識して、こういうこともあると覚悟しておく心構えとかですかね。
|
|
|
|
|
tactac
Full Member
Offline
Activity: 448
Merit: 121
self made Full member (^-^)v
|
|
May 30, 2018, 04:44:15 PM |
|
MEW公式を装ったメールでsupport@myethervvallet~~~のアドレスから 「プライバシーポリシーがアップデートされ新しいアドレスが生成されたので そちらに資金を移動してください。」というメールが来るフィッシング詐欺案件があるようですね。ご注意を。 https://twitter.com/myetherwallet/status/1001540981978644480先ほどzaifからも取引所の名前を騙ったフィッシング詐欺が流行している旨の注意喚起のメールが届きましたし この界隈毎日何かしらの詐欺案件が横行しているような。。。
|
|
|
|
|
|
kazuki.t (OP)
|
|
June 06, 2018, 02:15:55 PM |
|
|
|
|
|
|
|
kazuki.t (OP)
|
|
June 11, 2018, 02:39:12 PM |
|
EOSの事例に続き、別の ICO ですが公式のメールアドレスが攻撃を受けた模様です。先ほど怪しいメールが来ました。 このように、公式からのメールであっても信用ならないので、注意しましょう。こんな分かりやすいものばかりじゃありませんので。
|
|
|
|
hakka
Full Member
Offline
Activity: 714
Merit: 158
To live is to think
|
|
June 13, 2018, 01:56:37 AM Last edit: June 13, 2018, 02:25:47 AM by hakka |
|
Memberへの昇進おめでとうございます 次の引用はICOのトークン保管方法に問題があったために、ICO側がハッキングをされ、資金の大半を失ってしまった例です。 プロジェクトに資金が必要だからこそ集めたのは当然であるため、今後全うに開発等されていくか心配ですね。 この事例からは、個人レベルでセキュリティに気を付けるのは当然ですが、 ICOに参加する場合、運営側がトークンを適切に保管しているか問い合わせる事も効果的かと思われました(自分の利益に関する他者への配慮という意味合いで。)。 悲惨ですね 管理の方法に問題があったのか、狙われたらどうしようもないのか、気になるところです。 自分が参加したICOも同じ被害に遭う可能性があるかと思うと怖いですね。 Taylorの事件の詳細が出ましたが、ウォレットのパスワードを管理していたPCがハッキングを受けて資金を盗まれた、との事でした。 狙った側が悪いのは当然ですが、ハッキングを受けてしまう環境に保管していたTaylor側にも責任があると思います。 ICO終了前にそこまで予見するのは難しいですが、コールドウォレットで保管している等、資金の管理に関してホワイトペーパーに書かれていたらより安心かもしれませんね。 Taylorの続報が出ました。資金のほぼ全て+Taylorトークンも盗まれてしまっているので、トークンは新トークンへのスワップで対応。開発資金に関しては、運営側が保有しているトークンの一部を新たなトークンセールにて販売する様です。その際に集める額は、ベータ版開発までに必要な最小金額にとどめるとの事です。ロードマップは初期の予定より大幅に遅れてしまっていますが、運営が逃げずに開発を続ける姿勢を見せているところは評価できるかと思います。 --> https://medium.com/smarttaylor/taylor-phoenix-rising-from-the-ashes-743bab57545e
|
|
|
|
|
kazuki.t (OP)
|
|
June 14, 2018, 08:54:39 AM |
|
|
|
|
|
|
kazuki.t (OP)
|
|
June 20, 2018, 10:07:59 AM |
|
|
|
|
|
hakka
Full Member
Offline
Activity: 714
Merit: 158
To live is to think
|
|
July 04, 2018, 07:43:36 PM |
|
ウィンドウズのクリップボード内容を改ざんするようなマルウェアが流行っているようです。 ウィンドウズのクリップボードを「ハイジャック」、ビットコインアドレスを狙うマルウェア記事ではビットコインアドレスとなっていますが、各通貨に応用可能なので、送信先のアドレスは常に確認するようにしましょう。 特に取引所等の操作に慣れている玄人も注意が必要です。
|
|
|
|
gogo5050
Member
Offline
Activity: 77
Merit: 10
|
|
July 09, 2018, 12:37:10 PM |
|
よく使用する通貨アドレスは辞書登録しておくと簡単に呼び出せるからおすすめです。 あと1Passwordなどのパスワードソフトを使ってウォレットを管理すると間違いがないと思います。
|
|
|
|
kazuki.t (OP)
|
|
July 09, 2018, 01:53:29 PM |
|
|
|
|
|
kazuki.t (OP)
|
|
July 10, 2018, 10:47:16 AM |
|
|
|
|
|
gogo5050
Member
Offline
Activity: 77
Merit: 10
|
|
August 01, 2018, 06:02:14 AM |
|
|
|
|
|
nanna
Full Member
Offline
Activity: 476
Merit: 147
Janglisher('-')yay! 🇯🇵
|
|
August 01, 2018, 06:34:11 AM |
|
FIDO U2Fですか?最後は結局物に頼らないといけないところなのですが、 フィッシングの始まりは自分自身なんですよね。警戒を最大にしても巧なものには気が付かないという。 相手も、あの手この手ですし、どんどん巧妙になるわけですし。
しかし、逆にゼロになる前に、どんだけでどんな被害があったのかが知りたいものです。 Googleですからね、気になりいますよね。
|
|
|
|
|
nanna
Full Member
Offline
Activity: 476
Merit: 147
Janglisher('-')yay! 🇯🇵
|
|
August 09, 2018, 06:09:54 AM |
|
既に対抗する話がでてましたか。
>原文は 7/23 ですが、26日には攻撃は不可能ではないという記事も出ているのがあったり、色んな人が反応しているようです。
先に書いた通り、ヒューマンエラー対策には、u2f(ユビキー)のような機械に頼るのも間違いではないんですよね。 ただ実際としてヒューマンとわかれば、自分自身の問題ということになるので・・・。 そして、おっしゃる通り、機会は少なからず破られる可能性があるということです。
まーあまり言ってると、みんなで石器時代になるしかなくなる(笑
|
|
|
|
kazuki.t (OP)
|
|
August 09, 2018, 10:13:51 AM |
|
SIMハイジャックの犯人が逮捕された記事がありました。先週のものですが流れてきたので。さすがに狙ってやったのか、額が大きいですね。 https://www.darkreading.com/endpoint/privacy/$5-million-in-cryptocurrency-stolen-in-sim-hijacking-operation/d/d-id/1332422?utm_content=bufferfc31e&utm_medium=social&utm_source=twitter.com&utm_campaign=buffer 最近、ICO で立ち上がった企業なのか、盗難向けの保険が徐々に出てきていますね。 まだまだボラティリティも大きいですし、盗まれたことを真実と証明するのは結構難しそうな気がしますが、もし面白そうなものがあればシェアしたいと思います。
|
|
|
|
|
ooiocha
Newbie
Offline
Activity: 36
Merit: 0
|
|
August 12, 2018, 12:30:46 AM |
|
ウイルスやマルウェアが怖いですね。 時々盗まれたっていう話を耳にするので。 どこから拾ってくるのかわからないのも怖いです。
|
|
|
|
|
hakka
Full Member
Offline
Activity: 714
Merit: 158
To live is to think
|
|
September 01, 2018, 08:58:27 PM |
|
モナコインのウォレットであるmonappyがクラッキングに遭い、サーバ上のホットウォレット内のほぼ全てのコインが盗難されたようです。 http://monappy.jp/index.html今回は前回話題になったBlock withholding attack等とは全く関係なく、ギフトコードを送る機能の欠陥を突いた盗難であったようです。 Monacoinを保有している方にとってはある程度知名度の高いウォレットであったと思われますので、 盗難通貨に対する今後の対応や防止策には注目がまた集まりそうです。
|
|
|
|
hakka
Full Member
Offline
Activity: 714
Merit: 158
To live is to think
|
|
September 03, 2018, 07:03:23 PM |
|
モナコインのウォレットであるmonappyがクラッキングに遭い、サーバ上のホットウォレット内のほぼ全てのコインが盗難されたようです。 http://monappy.jp/index.html今回は前回話題になったBlock withholding attack等とは全く関係なく、ギフトコードを送る機能の欠陥を突いた盗難であったようです。 Monacoinを保有している方にとってはある程度知名度の高いウォレットであったと思われますので、 盗難通貨に対する今後の対応や防止策には注目がまた集まりそうです。 続報です。 IndieSquare社によれば盗難に遭った分のMonaについては対象者に対し全額補償をするとのこと。 対象者は7000人以上とのことなので、影響としてはそこそこ大きかったようですね。 MonappyにおけるMonacoinの不正出金につきまして
|
|
|
|
kazuki.t (OP)
|
|
September 03, 2018, 11:03:35 PM |
|
モナコインのウォレットであるmonappyがクラッキングに遭い、サーバ上のホットウォレット内のほぼ全てのコインが盗難されたようです。 http://monappy.jp/index.html今回は前回話題になったBlock withholding attack等とは全く関係なく、ギフトコードを送る機能の欠陥を突いた盗難であったようです。 Monacoinを保有している方にとってはある程度知名度の高いウォレットであったと思われますので、 盗難通貨に対する今後の対応や防止策には注目がまた集まりそうです。 続報です。 IndieSquare社によれば盗難に遭った分のMonaについては対象者に対し全額補償をするとのこと。 対象者は7000人以上とのことなので、影響としてはそこそこ大きかったようですね。 MonappyにおけるMonacoinの不正出金につきましてhakkaさん、ありがとうございます。更新しようとしたところアップデートまでされていて、さすがです。 漏れ出てくる情報によるとレースコンディションの脆弱性を突いたものらしいですね。 セキュリティの専門家でも見つけるのは簡単ではなく、さらに外部から攻撃に利用するとなると、難易度は高いと思いますが、それでも得られる金額が金額ですので、攻撃者にとっては今後もこういった脆弱性は的になりそうと思います。 新しいIT companyになりうる(と個人的に思っている)各ICOでさえ、バグバウンティを実施しているものは多くないので、そのあたりもっと一般的になってほしいです。 サーバ側ですべて対策を講じるのは簡単ではないことから、利用者がオプションとしてコールド/ホットを任意で切り替えられるというのも緩和策としては考えられるのかもしれません。 「ホットウォレットは盗まれる可能性があります」というのはサービスとしては致命的ですし、管理が粗雑な場合はコールドであっても対策になりませんが、そんなことをふと思った次第です。 レースコンディションについてはJAVAの資料ですがIPAのものがあったので、ご参考までに。 https://www.ipa.go.jp/security/awareness/vendor/programmingv1/a03_06_main.html
|
|
|
|
hakka
Full Member
Offline
Activity: 714
Merit: 158
To live is to think
|
|
September 04, 2018, 07:59:33 AM |
|
モナコインのウォレットであるmonappyがクラッキングに遭い、サーバ上のホットウォレット内のほぼ全てのコインが盗難されたようです。 http://monappy.jp/index.html今回は前回話題になったBlock withholding attack等とは全く関係なく、ギフトコードを送る機能の欠陥を突いた盗難であったようです。 Monacoinを保有している方にとってはある程度知名度の高いウォレットであったと思われますので、 盗難通貨に対する今後の対応や防止策には注目がまた集まりそうです。 続報です。 IndieSquare社によれば盗難に遭った分のMonaについては対象者に対し全額補償をするとのこと。 対象者は7000人以上とのことなので、影響としてはそこそこ大きかったようですね。 MonappyにおけるMonacoinの不正出金につきましてhakkaさん、ありがとうございます。更新しようとしたところアップデートまでされていて、さすがです。 漏れ出てくる情報によるとレースコンディションの脆弱性を突いたものらしいですね。 セキュリティの専門家でも見つけるのは簡単ではなく、さらに外部から攻撃に利用するとなると、難易度は高いと思いますが、それでも得られる金額が金額ですので、攻撃者にとっては今後もこういった脆弱性は的になりそうと思います。 新しいIT companyになりうる(と個人的に思っている)各ICOでさえ、バグバウンティを実施しているものは多くないので、そのあたりもっと一般的になってほしいです。 サーバ側ですべて対策を講じるのは簡単ではないことから、利用者がオプションとしてコールド/ホットを任意で切り替えられるというのも緩和策としては考えられるのかもしれません。 「ホットウォレットは盗まれる可能性があります」というのはサービスとしては致命的ですし、管理が粗雑な場合はコールドであっても対策になりませんが、そんなことをふと思った次第です。 レースコンディションについてはJAVAの資料ですがIPAのものがあったので、ご参考までに。 https://www.ipa.go.jp/security/awareness/vendor/programmingv1/a03_06_main.htmlおお、これは参考になります。 「レースコンディション問題によりまれにセキュリティ上の防御が緩む瞬間があるアプリケーションがあった場合」 今回のMonappyの問題だと、これがギフトコード部分であったということですかね。 バグバウンティはおっしゃる通り、もっと一般的に広まるべきでしょうね。 昔からですが、プロジェクトを広げることに注力しているものが多すぎます(まあ投機家からは文句がくるかもしれませんが笑)。 各社のウォレットのセキュリティに関してはいたちごっこが続くのでしょうね。 使用されている方は、盗まれる可能性に関して、少なくともハードウェアウォレットを使用するよりも高い事を「恐らく」承知している と思いますので、利便性をとるかセキュリティをとるかというところでしょうか。 (各社のホットウォレット:コールドウォレット比率等は個人的に気になりますが、実際は明記されていない会社も多そうです。)
|
|
|
|
|
hakka
Full Member
Offline
Activity: 714
Merit: 158
To live is to think
|
|
September 06, 2018, 08:57:01 PM |
|
拡張機能についてはむやみやたらに追加しない、アクセス権限の変更には細心の注意を払い、 広範囲のアクセス権限等を求められた場合には一旦更新しないよう心掛ける、くらいでしょうか。 Bitcoingoldの件に関しては見せしめみたいなものですかね。 ハッシュパワーがBitcoingoldと同等またはそれ以下のものは同様のリスクがありますし笑 こういった事例が多くなると、ビットコイン等上場廃止リスクが極めて低い上位コインの人気が上がり、 草の淘汰がますます捗ってしまいそうです。。
|
|
|
|
|
hakka
Full Member
Offline
Activity: 714
Merit: 158
To live is to think
|
|
September 12, 2018, 06:04:29 PM |
|
Coin checkの知名度だけが(悪い意味で)グローバルに広まってしまったのは嘆かわしいことです。 また、散布図を見る限り、やはりインシデント数は時系列で見ても増加傾向にありそうですね。 (メジャーどころのみ取り上げているため、詳細な数は把握できませんが。) 個人的には、各暗号通貨の開発陣の能力よりも、クラッカー等の攻撃能力等の伸びが顕著となってきている結果のように思われます。 攻撃方法がより多彩になってくる中でどれだけ被害を食い止められるかは、暗号通貨の発展面でも、今後数年正念場となる予感がします。。
|
|
|
|
pealbow
Newbie
Offline
Activity: 31
Merit: 0
|
|
September 13, 2018, 02:19:47 AM |
|
|
|
|
|
kazuki.t (OP)
|
|
September 14, 2018, 10:15:10 AM |
|
また、散布図を見る限り、やはりインシデント数は時系列で見ても増加傾向にありそうですね。 (メジャーどころのみ取り上げているため、詳細な数は把握できませんが。) 個人的には、各暗号通貨の開発陣の能力よりも、クラッカー等の攻撃能力等の伸びが顕著となってきている結果のように思われます。 攻撃方法がより多彩になってくる中でどれだけ被害を食い止められるかは、暗号通貨の発展面でも、今後数年正念場となる予感がします。。
金銭に直接つながりやすいため、(例えば経済制裁を受けていて外貨を稼ぎたい国もあるでしょうし)攻撃者もリソースを割くようになってきているのでしょうね。一方で、銀行のように厳しく様々対策する開発者は少ないことが原因と思います。 https://blockmanity.com/news/chinese-media-accuses-90-cryptocurrencies-stolen-code/>In the report, researchers from Xi’an Jiaotong University in China’s Shaanxi Province and representative of Netta Lab found 405 (83%) of the cryptocurrencies to have a similarity score of more than 90%. 90% のアルトコインが攻撃に晒されたことがあり、かつ暗号通貨の 83% は非常にコードが似通っているようです。 もちろんフォークであれば似通るとは思うのですが、開発者が独自のコードを書かずに再利用やコピペで実装しているケースもあると思われ、それゆえに十分なテストや考慮が為されていない点も問題点として考えられそうです。 https://www.btcnn.com/canadian-executive-steals-over-5-million-in-cryptocurrency/?platform=hootsuiteまた、投資会社の従業員が会社の金で仮想通貨を購入して持ち逃げしたという事例もありました。セキュリティとは言えませんが参考まで。 有名な OSINT ですね。複数のエンジンで診断した結果が得られます。公開されてもいい情報だけアップロードするようにしましょう。スマホ版や chrome extension などもあるようです。
|
|
|
|
|
|
hakka
Full Member
Offline
Activity: 714
Merit: 158
To live is to think
|
|
September 21, 2018, 10:05:26 PM |
|
直前の規約変更は大変興味深いですねぇ笑 そもそも消費者契約法第8条に引っかかりまくるような条項が、9月13日の時点では並び立っていたのですね。。 コインチェック事件にも同様の話題があったような気がしますが、その際に対応しなかったのでしょうかね。 直前の規約変更の有効性については、経産省の以下の準則が詳しいですが、 今回に関しては利用者に対して大きな影響があるものかが論点となる気がします(変更後の規約に関し同意なんて一切取っていないでしょうし笑)。 http://www.meti.go.jp/press/2018/07/20180727001/20180727001.html今後金融庁の検査等も入り、様々な事実が明るみになっていくかと思われますが、 紹介して頂いたような事実に鑑みてしまうと、あまり良くない結果が出るのではないかと個人的には予測せざるを得ません。
|
|
|
|
|
|
hakka
Full Member
Offline
Activity: 714
Merit: 158
To live is to think
|
|
October 09, 2018, 10:32:54 AM |
|
被害額は大きくはないものの、性質としては危惧すべき問題ですね。 今回の様にBitcoinに不具合があった場合に、そのコードをコピーしたコインは確実に対応が後手に回るため、 脆弱性の周知後は、コピーコインは常にリスクがある状態といっても過言では無いかと思われます。 使い回しの有無は、投資対象を選定する際の一指標ともなり得そうです。
|
|
|
|
kazuki.t (OP)
|
|
October 15, 2018, 04:20:02 PM |
|
|
|
|
|
kazuki.t (OP)
|
|
October 21, 2018, 04:17:31 PM |
|
|
|
|
|
kazuki.t (OP)
|
|
October 25, 2018, 03:59:16 PM |
|
|
|
|
|
hakka
Full Member
Offline
Activity: 714
Merit: 158
To live is to think
|
|
October 26, 2018, 10:19:57 AM |
|
業者のコールドウォレットに関してはどうしても運用面を疑ってしまいますね。 何かしらの形でリカバリーキー等が指定した人物以外に漏れたとか、セキュリティ上の問題で第三者に伝わってしまっていた等は有象無象のプロジェクトがある事を考えれば、大いにあり得そうです。 個人的にも「コールドウォレットを使用してしまったのに保有通貨が無くなってしまった」問題は関心があるため、今後の原因究明等がしっかりなされていくと良いですね。 オーストリアの個人投資家は自分のe-mail経由でハッキングされて金融財産情報にアクセスされてしまったようですね。 特に仮想通貨は預金保護法の対象外でもあるので、特に高額保有者は今一度、取引所のパスワードだけでなく、それらに繋がるe-mailのパスワードや二段階認証が強固か確認した方が良いかもしれません。
|
|
|
|
iuwoiu12
Newbie
Offline
Activity: 5
Merit: 0
|
|
October 29, 2018, 08:23:07 AM |
|
皆さん、疑わしい活動を行っている取引業者や交換業者などについて検索できるようなサービスとかありますか。
なんか、ビットコインでの取引を始める前にそういう報告がアクセスできたらいいですね。報道には多くの場合、大規模の盗難ぐらい報じられていますが、やはり個人としては物足りないですね。
ブロックチェーンにおける疑わしい活動を検索できるサービスがあれば、教えていただけると嬉しいです。
|
|
|
|
kazuki.t (OP)
|
|
October 30, 2018, 06:46:57 PM |
|
皆さん、疑わしい活動を行っている取引業者や交換業者などについて検索できるようなサービスとかありますか。
なんか、ビットコインでの取引を始める前にそういう報告がアクセスできたらいいですね。報道には多くの場合、大規模の盗難ぐらい報じられていますが、やはり個人としては物足りないですね。
ブロックチェーンにおける疑わしい活動を検索できるサービスがあれば、教えていただけると嬉しいです。
今のところは自分で調べる他ないと思いますし、もし良い方法が思いついたらビジネスになると思います。 一応過去のインシデントを記録していく場所として、このスレッドを使っていますが、似たようなまとめはあまり見たことがありません。 業種は違いますが、馬車だったり、古いほうの円天だったり、悪意の有無に関わらず、決定的な証拠が出てくるまでは、詐欺、あるいは破綻してるのでは、と指摘できる人は少ないと思います。(せいぜいSNSで怪しいと呟くぐらいかなと) もし善意で運営していて悪意は無かったとしても、それが破綻しないかというのは別問題ですし。攻撃を受けて資金が漏洩し継続できなくなる、みたいな例は最近もありました。そして、出口詐欺と区別もつきません。 初心者で、これから少しずつ触って勉強したいということであれば、CoinMarketCapの取引高あたりを見ると選びやすいかなと思います。 あとは、bitcointalk で取引所に関するスレッドがあれば、情報があるかもしれません。英語ですが機械翻訳でもある程度は分かると思うので、参考にしてみてはいかがでしょうか。 個人的には、MtGox や coincheck、zaif といった日本を拠点とする取引所は軒並みインシデントに遭っていて、日本人が多いコミュニティは特に狙われやすいと感じますので、避けるようにしています。
|
|
|
|
|
hakka
Full Member
Offline
Activity: 714
Merit: 158
To live is to think
|
|
November 05, 2018, 02:09:54 PM |
|
P2Pネットワークを使用した捜査は国内初なのですね。222個の偽ノードを設置・・・。モナコインだったからまだできた話かもしれません。 この事例は私も大変興味を持っているので、今後の詳細が大変気になります。 CVE-2018-17144はかなり致命的なバグなのに対応していなかったのですかね笑。だとしたら、これはちょっと問題外としか・・・ 重要な修正等については逐次ホルダーに知らせる様な体制が基本的には必要なのでしょうね(信用の低い草コインだからこそ)。。
|
|
|
|
kazuki.t (OP)
|
|
November 06, 2018, 04:01:43 PM |
|
|
|
|
|
|
kazuki.t (OP)
|
|
November 27, 2018, 10:03:28 AM |
|
|
|
|
|
|
|
kazuki.t (OP)
|
|
January 09, 2019, 10:12:23 AM |
|
|
|
|
|
hakka
Full Member
Offline
Activity: 714
Merit: 158
To live is to think
|
|
January 11, 2019, 12:53:07 PM |
|
POWのみで凌いでいける暗号資産はビットコインのみになる気がしますね(場合によってはビットコインでさえ・・・)。 BCHやBSVでは全く頼りないし、分裂するたびに弱くなるのでは溜まったものではありません笑 現在POWのみを使用しているプロジェクトは、今後アルゴリズムの変更を余儀なくされる事態になってもおかしくなさそうです。
|
|
|
|
hakka
Full Member
Offline
Activity: 714
Merit: 158
To live is to think
|
|
January 13, 2019, 12:46:03 PM Last edit: January 13, 2019, 01:12:21 PM by hakka |
|
POWのみで凌いでいける暗号資産はビットコインのみになる気がしますね(場合によってはビットコインでさえ・・・)。 BCHやBSVでは全く頼りないし、分裂するたびに弱くなるのでは溜まったものではありません笑 現在POWのみを使用しているプロジェクトは、今後アルゴリズムの変更を余儀なくされる事態になってもおかしくなさそうです。 ETCの続報 約1億円分のETC(イーサリアムクラシック)の盗難に遭った、Gate.ioの発表によると、1月10日付で約1000万円分のETCが51%攻撃者から返還されたとのこと。 https://www.gate.io/article/16740まだ攻撃者との連絡はついていないようですが、もし51%攻撃の注意喚起であれば素晴らしい試みですね。 残りの分は返還されていないし、犯人の実際の動機等は全く分かっていないようですが笑
|
|
|
|
kazuki.t (OP)
|
|
January 23, 2019, 02:50:26 PM |
|
|
|
|
|
kazuki.t (OP)
|
|
January 30, 2019, 06:56:52 PM |
|
|
|
|
|
hakka
Full Member
Offline
Activity: 714
Merit: 158
To live is to think
|
|
February 01, 2019, 02:35:39 PM |
|
クリプトピアは技術面はもちろんですが、最近流行りの管理体制の甘さが被害を拡大させたように思えますね。 日々増える新興の取引所、ウォレット開発会社は投資家らに魅力的な条件を提示しがちですが、 それよりも多くのリスクを負わされる結果になることが大変多いことを、投資家たちは再認識した方が良いでしょうね。
|
|
|
|
|
|
|
kazuki.t (OP)
|
|
February 13, 2019, 04:16:23 PM |
|
https://thehackernews.com/2019/02/android-clickboard-hijacking.htmlおなじみになりつつある hackernews からですが、新しい Android 向けのマルウェアが見つかりました。 クリップボードを監視し、アドレスが入ってきたら攻撃者のものに置き換える、というものだそうです。 App Store でモバイル向けの Metamask を詐称しているそうですが、モバイル向けはまだありません。騙されないようにしましょう。 また、若干専門的な記事ではありますが、仮想通貨に関連したものとして、Linux および macOS 向けのマルウェアに関する解説記事も紹介します。 前者は脆弱な環境に攻撃を仕掛けて乗っ取るタイプ、後者は侵害されたクラッキングツール「Adobe Zii」をダウンロードすると感染するタイプです。 「KORKERDS」をコピーしたLinux向け仮想通貨発掘マルウェアを確認、その他のマルウェアやプロセスを停止しリソースを占有 https://blog.trendmicro.co.jp/archives/20345クラッキングツール「Adobe Zii」に偽装したmacOS向けマルウェアを解析:クレジットカード情報を窃取し、仮想通貨を発掘 https://blog.trendmicro.co.jp/archives/20296本スレッドでは注意喚起を主目的としていますが、攻撃者の意図、手段を理解することは、ときに自分の身を守ることに繋がると考えます。 例えば、今回だと「Adobe Zii」を使ったことがある、あるいは使おうとしたことがある人は、ヒヤっとする記事だと思います。 分からないものを全く分からないまま使うのではなく、ぜひ少しでも作った人の意図を理解したり、あるいは攻撃者の手口を知ることで、問題を事前に回避できるよう注意力を高めていきましょう。
|
|
|
|
kazuki.t (OP)
|
|
February 15, 2019, 11:20:58 AM |
|
|
|
|
|
|
kazuki.t (OP)
|
|
February 18, 2019, 10:00:59 AM |
|
http://www.goodgoldcoin.cn/?p=5127クリプトピアの続報で、ハッカーが盗んだトークンなどは Etheredelta をはじめとした各種取引所で精算されてしまったそうです。 トークンは追跡可能な分、こういった調査結果は出せるものの、一方でリアルタイムでの対応は難しいということもあり、技術の限界を感じます。 ウィルス対策ソフトのベンダー(トレンドマイクロやシマンテック)が日々アップデートするように、マルウェアのデータベースのような形で、不審なウォレットアドレスや取引所のアカウントをリアルタイムで管理できればいいなぁと思ったりもします。 (まぁ、大量にアドレスを用意し、無実の人含めてトークンを転送して追跡しにくくし、その後取引したりまとめたりする、という手法がほぼ確立されているので、イタチごっこだと思いますが)
|
|
|
|
kazuki.t (OP)
|
|
February 23, 2019, 05:51:24 PM |
|
|
|
|
|
|
|
Satosi Nakyamoto
Newbie
Offline
Activity: 20
Merit: 7
|
|
March 04, 2019, 05:09:28 PM |
|
EOSは期待されている暗号資産であるものの一貫してセキュリティホールが多い印象がある。 2018年中旬にもホワイトハッカーにより12個の脆弱性が発見され、2018年末までにロールバック攻撃を再三受けた。 重大なセキュリティ問題はそれだけで暗号資産の価値を多大に落としかねないため、 EOSによってできること以上に、今後もそのセキュリティ動向には着目する必要があるだろう。 市場価値が高いものが狙われやすくなるのは当然なのだから。
|
|
|
|
kazuki.t (OP)
|
|
March 11, 2019, 02:55:49 PM |
|
少し毛色は違うかもしれませんが、別トピックで立っていた質問が面白かったので掲載します。 https://bitcointalk.org/index.php?topic=5118990.0Bitcoin を含め、「なぜ動いているのか」、「なぜ大丈夫なのか」という部分は、当たり前のように感じる一方で、あまり考えることがありません。 そこについて突き詰めて考えたり調べるという行為は、その技術を信頼できるかどうかに繋がると思いますので、ぜひこういった素朴な疑問についても、皆さんでシェアしていきたいです。
|
|
|
|
|
|
|
|
|
kazuki.t (OP)
|
|
April 10, 2019, 01:54:34 PM Last edit: April 10, 2019, 02:13:50 PM by kazuki.t |
|
|
|
|
|
hakka
Full Member
Offline
Activity: 714
Merit: 158
To live is to think
|
|
April 11, 2019, 03:22:26 PM |
|
1万viewおめでとうございます! 雑談や日本語等の総合スレ以外では初めての突破かと思います😊 セキュリティに興味がある方がたくさんいる証拠ですね! (その割に他の方の書き込みが殆どないのは内緒ですが笑) Coinhiveは控訴ですか・・・まあ、大丈夫でしょう。謎のプライドを誇示するのは止めて欲しいものです。。
|
|
|
|
kazuki.t (OP)
|
|
April 14, 2019, 01:20:12 PM |
|
|
|
|
|
kazuki.t (OP)
|
|
April 22, 2019, 03:43:26 PM |
|
|
|
|
|
|
|
|
|
hakka
Full Member
Offline
Activity: 714
Merit: 158
To live is to think
|
|
May 17, 2019, 05:45:12 PM |
|
販売サイトについては十中八九fakeかscamなのでしょうね。 そして70%の販売価格というあり得そうな価格で顧客を釣ると・・・ 何かしらの被害がまた出てしまいそうです
|
|
|
|
kazuki.t (OP)
|
|
June 01, 2019, 07:48:01 AM |
|
|
|
|
|
|
kazuki.t (OP)
|
|
June 13, 2019, 05:43:36 PM Last edit: June 14, 2019, 04:29:07 PM by kazuki.t |
|
|
|
|
|
|
|
|
hakka
Full Member
Offline
Activity: 714
Merit: 158
To live is to think
|
|
July 03, 2019, 01:44:49 PM |
|
いつも参考にさせていただいています。いつの間にか日本語板を代表するスレになりましたね この中だとEOS等のリンクに引っかかる方は、この界隈のすそ野が広がれば広がるほど増えると思われるので、今後も散発しそうですね。 Bitcointalkでもレファラルリンク等は禁止されていますが、リンク類への注意喚起は引き続き続けたいものです。
|
|
|
|
|
nanna
Full Member
Offline
Activity: 476
Merit: 147
Janglisher('-')yay! 🇯🇵
|
|
August 12, 2019, 03:17:28 PM |
|
バイナンスで流出した仮想通貨、4800BTCが資金洗浄済み=調査企業【フィスコ・ビットコインニュース】 https://news.finance.yahoo.co.jp/detail/20190809-01077003-fisf-market5月にハッキング被害にあったバイナンスの流出仮想通貨のうち、3分の2が資金洗浄されていることがわかった。 7,000 BTC(当時約45億円)のうち、少なくとも4,836BTCがミキシングサービスを通じて洗浄された。 ということで、「当時約」ってのがポイントですよね。 7000BTC、今で言えば80億円。ひょえー。 仮想通貨のミッシングサービス「Chipmixer」を利用していた形跡という話から、最大3ミクサーの話まであるのですが このミクサーってのをどうにかして封殺していかないと、犯罪助長の一因になりえると思うのですが。 正直、技術的なことやその主張からしてミクサーは理解できるものの、対する問題からミクサーはサービスとしては要らない子だと自分は思っています。
|
|
|
|
hakka
Full Member
Offline
Activity: 714
Merit: 158
To live is to think
|
|
August 14, 2019, 03:11:38 PM |
|
バイナンスで流出した仮想通貨、4800BTCが資金洗浄済み=調査企業【フィスコ・ビットコインニュース】 https://news.finance.yahoo.co.jp/detail/20190809-01077003-fisf-market5月にハッキング被害にあったバイナンスの流出仮想通貨のうち、3分の2が資金洗浄されていることがわかった。 7,000 BTC(当時約45億円)のうち、少なくとも4,836BTCがミキシングサービスを通じて洗浄された。 ということで、「当時約」ってのがポイントですよね。 7000BTC、今で言えば80億円。ひょえー。 仮想通貨のミッシングサービス「Chipmixer」を利用していた形跡という話から、最大3ミクサーの話まであるのですが このミクサーってのをどうにかして封殺していかないと、犯罪助長の一因になりえると思うのですが。 正直、技術的なことやその主張からしてミクサーは理解できるものの、対する問題からミクサーはサービスとしては要らない子だと自分は思っています。 ミキシングサービスを通じた引き出しは、取引所の引き出し制限(KYC無し)の穴をついた方法でもありますしね。 前回、Zaifであった盗難もそうですが、ミキシングがマネロンの温床とみなされ、 場合によっては強制的に殆どのサービスが終了させられる可能性も十分ありそうです。
|
|
|
|
kazuki.t (OP)
|
|
September 16, 2019, 11:12:29 PM |
|
すみません、7月末から家の引っ越しや仕事の多忙などが重なり、更新できておりませんでした。 8月から9月にかけて、Binance の KYC 流出などもありましたが、追いかけ切れておりません。 いったん私の更新は停止し、気が向いたときに事件があれば調べて掲載する、という形にさせていただきたいと思います。
|
|
|
|
nanna
Full Member
Offline
Activity: 476
Merit: 147
Janglisher('-')yay! 🇯🇵
|
|
September 17, 2019, 06:36:24 AM |
|
すみません、7月末から家の引っ越しや仕事の多忙などが重なり、更新できておりませんでした。 8月から9月にかけて、Binance の KYC 流出などもありましたが、追いかけ切れておりません。 いったん私の更新は停止し、気が向いたときに事件があれば調べて掲載する、という形にさせていただきたいと思います。
それでいいと思いますよ。 何かにとらわれたように活動するのおかしいですし、問題ではないはずです。 誰もが気兼ねなく話合えばいいとおもいます。
|
|
|
|
kazuki.t (OP)
|
|
September 17, 2019, 07:10:00 PM |
|
すみません、7月末から家の引っ越しや仕事の多忙などが重なり、更新できておりませんでした。 8月から9月にかけて、Binance の KYC 流出などもありましたが、追いかけ切れておりません。 いったん私の更新は停止し、気が向いたときに事件があれば調べて掲載する、という形にさせていただきたいと思います。
それでいいと思いますよ。 何かにとらわれたように活動するのおかしいですし、問題ではないはずです。 誰もが気兼ねなく話合えばいいとおもいます。 ありがとうございます。 私としては、まとめ記事として、過去に振り返ってある程度網羅的に情報が残されていると、振り返るときに(自分としても)便利だと思っておりまして。 ただ、ちょっとモチベーションが続かなくなったのでお休みしつつ細々と続けさせていただきますね、ということでした。 ぜひぜひみなさまも、疑問とか発生したインシデントとかニュースとか、気軽に書き込んでいただければと思います。
|
|
|
|
|