[セキュリティ] 事例、情報まとめスレッド

[kazuki.t]

https://www.hackmageddon.com/2018/09/10/list-of-major-crypto-hacks-so-far/
過去のインシデント一覧がまとめられているようです。コインチェックの大きさが際立っていますね。

ビットコインは引き続きランサムウェア・・・データや重要施設の稼働を人質にした脅迫に使われているようです。
https://www.ccn.com/this-canadian-town-is-coughing-up-bitcoin-after-ransomware-attack/

犯罪への悪用は避けられないものではありますが、現金と比べて何らかの優位性を訴えることができないと、今以上の発展はなかなか見込め無さそうですね。

[1715030823]

1715030823

[1715030823]

1715030823

[hakka]

https://www.hackmageddon.com/2018/09/10/list-of-major-crypto-hacks-so-far/
過去のインシデント一覧がまとめられているようです。コインチェックの大きさが際立っていますね。

ビットコインは引き続きランサムウェア・・・データや重要施設の稼働を人質にした脅迫に使われているようです。
https://www.ccn.com/this-canadian-town-is-coughing-up-bitcoin-after-ransomware-attack/

犯罪への悪用は避けられないものではありますが、現金と比べて何らかの優位性を訴えることができないと、今以上の発展はなかなか見込め無さそうですね。

Coin checkの知名度だけが（悪い意味で）グローバルに広まってしまったのは嘆かわしいことです。
また、散布図を見る限り、やはりインシデント数は時系列で見ても増加傾向にありそうですね。
（メジャーどころのみ取り上げているため、詳細な数は把握できませんが。）
個人的には、各暗号通貨の開発陣の能力よりも、クラッカー等の攻撃能力等の伸びが顕著となってきている結果のように思われます。
攻撃方法がより多彩になってくる中でどれだけ被害を食い止められるかは、暗号通貨の発展面でも、今後数年正念場となる予感がします。。

[pealbow]

ファイルやウェブサイトのマルウェアがあるかどうか検査してくれるサイト

https://www.virustotal.com/

もし使おうかと思ってるサイトに不安だったらこれで検査してみるといいかも。
マイニングを勝手にしているかどうかもチェックしてるよ。

試しに検索してみた結果
https://www.virustotal.com/#/url/d31187bcc9f78a5c50d347384b3502286e05007b3db37fbfbf66dfe6908c901f/detection

[kazuki.t]

また、散布図を見る限り、やはりインシデント数は時系列で見ても増加傾向にありそうですね。
（メジャーどころのみ取り上げているため、詳細な数は把握できませんが。）
個人的には、各暗号通貨の開発陣の能力よりも、クラッカー等の攻撃能力等の伸びが顕著となってきている結果のように思われます。
攻撃方法がより多彩になってくる中でどれだけ被害を食い止められるかは、暗号通貨の発展面でも、今後数年正念場となる予感がします。。

金銭に直接つながりやすいため、（例えば経済制裁を受けていて外貨を稼ぎたい国もあるでしょうし）攻撃者もリソースを割くようになってきているのでしょうね。一方で、銀行のように厳しく様々対策する開発者は少ないことが原因と思います。

https://blockmanity.com/news/chinese-media-accuses-90-cryptocurrencies-stolen-code/
>In the report, researchers from Xi’an Jiaotong University in China’s Shaanxi Province and representative of Netta Lab found 405 (83%) of the cryptocurrencies to have a similarity score of more than 90%.

90% のアルトコインが攻撃に晒されたことがあり、かつ暗号通貨の 83% は非常にコードが似通っているようです。
もちろんフォークであれば似通るとは思うのですが、開発者が独自のコードを書かずに再利用やコピペで実装しているケースもあると思われ、それゆえに十分なテストや考慮が為されていない点も問題点として考えられそうです。

https://www.btcnn.com/canadian-executive-steals-over-5-million-in-cryptocurrency/?platform=hootsuite
また、投資会社の従業員が会社の金で仮想通貨を購入して持ち逃げしたという事例もありました。セキュリティとは言えませんが参考まで。

https://www.virustotal.com/

有名な OSINT ですね。複数のエンジンで診断した結果が得られます。公開されてもいい情報だけアップロードするようにしましょう。スマホ版や chrome extension などもあるようです。

[kazuki.t]

EOS のハッキング事例が日本語記事になっていました。

- またしてもEOSがハッキング被害か？安全性が問われる事態の連続
https://bitlife.cryptopie.com/eos-hacking/

ソースはコレのようですね。

- Two EOS Gambling Platforms Fall Prey to $260,000 Hack
https://www.ccn.com/two-eos-gambling-platforms-fall-prey-to-260000-hack/

いずれも、EOS の脆弱性というよりはスマートコントラクトに不備があったため、という記載に見えます。その意味では、日本語記事のタイトルはあまり内容を理解していないようですね。
ギャンブルプラットフォームは当たり外れの確率を攻撃で制御できるだけで儲けられるので、攻撃者にとっては一番やりやすい相手だと思います。

最後、XRP のフィッシングについて日本・韓国をターゲットにした事例、逮捕者が出たようです。ただ、使われた分は返ってこない公算が高そうです。
https://cryptodaily.co.uk/2018/09/stolen-ripple-korea/

[kazuki.t]

みなさまご存知で個々に追いかけていらっしゃるかと思いますが、記録の意味を込めて。

https://jp.cointelegraph.com/news/cointelegraph-japan-fast-news-26

zaif で不正アクセスがあり、67億円相当の仮想通貨が盗難されました。
以下、あまり個人のブログ記事とか貼らないんですが、情報としては面白いと思うので紹介しておきます。

攻撃者がZAIFタグをつけているなど。ある種の愉快犯ということでしょうか。興味深いです。
http://ka-soku.com/archives/12286308.html

直前の規約変更。果たしてこういうのって有効として扱われるんでしょうか。
https://www.cloudsign.jp/media/20180920-riyoukiyaku-zaif/

[hakka]

みなさまご存知で個々に追いかけていらっしゃるかと思いますが、記録の意味を込めて。

https://jp.cointelegraph.com/news/cointelegraph-japan-fast-news-26

zaif で不正アクセスがあり、67億円相当の仮想通貨が盗難されました。
以下、あまり個人のブログ記事とか貼らないんですが、情報としては面白いと思うので紹介しておきます。

攻撃者がZAIFタグをつけているなど。ある種の愉快犯ということでしょうか。興味深いです。
http://ka-soku.com/archives/12286308.html

直前の規約変更。果たしてこういうのって有効として扱われるんでしょうか。
https://www.cloudsign.jp/media/20180920-riyoukiyaku-zaif/

直前の規約変更は大変興味深いですねぇ笑
そもそも消費者契約法第8条に引っかかりまくるような条項が、9月13日の時点では並び立っていたのですね。。
コインチェック事件にも同様の話題があったような気がしますが、その際に対応しなかったのでしょうかね。

直前の規約変更の有効性については、経産省の以下の準則が詳しいですが、
今回に関しては利用者に対して大きな影響があるものかが論点となる気がします（変更後の規約に関し同意なんて一切取っていないでしょうし笑）。
http://www.meti.go.jp/press/2018/07/20180727001/20180727001.html

今後金融庁の検査等も入り、様々な事実が明るみになっていくかと思われますが、
紹介して頂いたような事実に鑑みてしまうと、あまり良くない結果が出るのではないかと個人的には予測せざるを得ません。

[kazuki.t]

EOSIO Wallet Explorer を使った youtuber が 1500EOS を盗まれた事例が出てきています。

https://thenextweb.com/hardfork/2018/10/02/hodgetwins-cryptocurrency-eos-stolen/　
https://www.reddit.com/r/eos/comments/9kt4dm/eosio_wallet_explorer_removed/
　Valeriy Dorojkin によって作成されていたもので、すでに削除されたようです。

すべての詐欺から身を守るのは簡単ではありませんが、レビューのレーティングが高いものであっても（数百数千ぐらいならば容易に偽造可能なので）注意しましょう、ぐらいしか言えなさそうですね。
また、スマートフォン経由で鍵を扱うのも、あまり良くないと思います。別アドレスを作成し、必要な金額だけを都度転送するなどの対策を講じた方が良いでしょう。

[kazuki.t]

pigeon coin が 15000ドルの被害に遭いました。
https://coinnounce.com/pigeoncoin-hacked-235-million-png-tokens-stolen/

事例として興味深いのは、Bitcoin で報告された脆弱性 CVE-2018-17144 が用いられたということです。
Bitcoin は秘密裏に脆弱性を修正してリリースを行いましたが、一方で Bitcoin に類似する（あるいはほとんどコピーの）通貨は打撃をこうむってしまったという点です。
ほとんどの仮想通貨は 80% 以上がコードを使いまわしているという報告もあるぐらいなので、暗号通貨自体のリスクはなかなか減らせそうになりですね。

[hakka]

pigeon coin が 15000ドルの被害に遭いました。
https://coinnounce.com/pigeoncoin-hacked-235-million-png-tokens-stolen/

事例として興味深いのは、Bitcoin で報告された脆弱性 CVE-2018-17144 が用いられたということです。
Bitcoin は秘密裏に脆弱性を修正してリリースを行いましたが、一方で Bitcoin に類似する（あるいはほとんどコピーの）通貨は打撃をこうむってしまったという点です。
ほとんどの仮想通貨は 80% 以上がコードを使いまわしているという報告もあるぐらいなので、暗号通貨自体のリスクはなかなか減らせそうになりですね。

被害額は大きくはないものの、性質としては危惧すべき問題ですね。
今回の様にBitcoinに不具合があった場合に、そのコードをコピーしたコインは確実に対応が後手に回るため、
脆弱性の周知後は、コピーコインは常にリスクがある状態といっても過言では無いかと思われます。

使い回しの有無は、投資対象を選定する際の一指標ともなり得そうです。

[kazuki.t]

最近の事例を幾つか。

盗難後、ハッカーとコンタクトできて取り戻すことができた例。結構まれだと思いますが、これは盗んだ側が辿られてしまった感じでしょうか。
https://cointelegraph.com/news/recently-hacked-adult-entertainment-platform-spankchain-returns-stolen-booty-ethereum

３４万ドル弱の盗難事例。またもや EOS のギャンブルアプリが狙われたそうです。支払いに関するスマートコントラクトの脆弱性は、ギャンブル系だと狙いやすいようです。
https://coinspectator.com/news/946838/hackers-target-eos-gambling-dapp-once-again-338k-believed-stolen

[kazuki.t]

Trade.io（TIO）で、コールドウォレットだったのに盗難に遭ってしまった事例が出てきていますね。鍵は銀行の貸金庫に入っていたが侵害されておらず、被害額は１１００万ドルということです。
https://www.whenmoon.co/11-million-stolen-as-trade-io-cold-storage-was-hacked/
https://coinspectator.com/news/966248/11-million-stolen-as-tradeio-cold-storage-was-hacked

[kazuki.t]

しばらく待てば日本語訳もニュースに少しずつ出てくると思いますが、投下しておきます

https://coinspectator.com/news/980243/850k-stolen-in-crypto-exchange-hack
二要素認証を実装していたのに盗まれたとされています。
昨今はコールドウォレットからも盗まれたりという事例が相次いでいますね（正しい実装や運用になっているかどうかはともかく）

https://coinspectator.com/news/980217/ripple-worth-over-300000-stolen-in-australia-suspect-arrested
こちらはオーストラリアですが、個人投資家の口座から多量のリップルが盗まれたようです。

[hakka]

しばらく待てば日本語訳もニュースに少しずつ出てくると思いますが、投下しておきます

https://coinspectator.com/news/980243/850k-stolen-in-crypto-exchange-hack
二要素認証を実装していたのに盗まれたとされています。
昨今はコールドウォレットからも盗まれたりという事例が相次いでいますね（正しい実装や運用になっているかどうかはともかく）

https://coinspectator.com/news/980217/ripple-worth-over-300000-stolen-in-australia-suspect-arrested
こちらはオーストラリアですが、個人投資家の口座から多量のリップルが盗まれたようです。

業者のコールドウォレットに関してはどうしても運用面を疑ってしまいますね。
何かしらの形でリカバリーキー等が指定した人物以外に漏れたとか、セキュリティ上の問題で第三者に伝わってしまっていた等は有象無象のプロジェクトがある事を考えれば、大いにあり得そうです。
個人的にも「コールドウォレットを使用してしまったのに保有通貨が無くなってしまった」問題は関心があるため、今後の原因究明等がしっかりなされていくと良いですね。

オーストリアの個人投資家は自分のe-mail経由でハッキングされて金融財産情報にアクセスされてしまったようですね。
特に仮想通貨は預金保護法の対象外でもあるので、特に高額保有者は今一度、取引所のパスワードだけでなく、それらに繋がるe-mailのパスワードや二段階認証が強固か確認した方が良いかもしれません。

[iuwoiu12]

皆さん、疑わしい活動を行っている取引業者や交換業者などについて検索できるようなサービスとかありますか。

なんか、ビットコインでの取引を始める前にそういう報告がアクセスできたらいいですね。報道には多くの場合、大規模の盗難ぐらい報じられていますが、やはり個人としては物足りないですね。

ブロックチェーンにおける疑わしい活動を検索できるサービスがあれば、教えていただけると嬉しいです。

[kazuki.t]

皆さん、疑わしい活動を行っている取引業者や交換業者などについて検索できるようなサービスとかありますか。

なんか、ビットコインでの取引を始める前にそういう報告がアクセスできたらいいですね。報道には多くの場合、大規模の盗難ぐらい報じられていますが、やはり個人としては物足りないですね。

ブロックチェーンにおける疑わしい活動を検索できるサービスがあれば、教えていただけると嬉しいです。

今のところは自分で調べる他ないと思いますし、もし良い方法が思いついたらビジネスになると思います。
一応過去のインシデントを記録していく場所として、このスレッドを使っていますが、似たようなまとめはあまり見たことがありません。

業種は違いますが、馬車だったり、古いほうの円天だったり、悪意の有無に関わらず、決定的な証拠が出てくるまでは、詐欺、あるいは破綻してるのでは、と指摘できる人は少ないと思います。（せいぜいSNSで怪しいと呟くぐらいかなと）
もし善意で運営していて悪意は無かったとしても、それが破綻しないかというのは別問題ですし。攻撃を受けて資金が漏洩し継続できなくなる、みたいな例は最近もありました。そして、出口詐欺と区別もつきません。

初心者で、これから少しずつ触って勉強したいということであれば、CoinMarketCapの取引高あたりを見ると選びやすいかなと思います。
あとは、bitcointalk で取引所に関するスレッドがあれば、情報があるかもしれません。英語ですが機械翻訳でもある程度は分かると思うので、参考にしてみてはいかがでしょうか。
個人的には、MtGox や coincheck、zaif といった日本を拠点とする取引所は軒並みインシデントに遭っていて、日本人が多いコミュニティは特に狙われやすいと感じますので、避けるようにしています。

[kazuki.t]

zaif でモナコインのノードを多数立てることで犯人のIPアドレスを追跡できた、という報告が出てきています。お金かかってそうですね。でも興味深い事例だと思います。
http://ascii.jp/elem/000/001/767/1767194/


Yenten と bitzeny が CVE-2018-17144 の攻撃を受けました。まとまった情報とか無さそうなので見つけたものを貼ります。
脆弱性自体は二重支出の不正トランザクションを生成するもので、深く追っていませんがハードフォークに近いような形で分岐しているようです。
対策が遅い取引所では莫大なコインが売られていたようですので、こういった草コインのリスクが露呈してしまった、という見方もできると思います。

https://twitter.com/ohashi3d/status/1058603889740529664
https://zenyay.net/bitzeny-pool-move

10月7日に pigeon coin の事例を挙げましたが、こういったセキュリティ的に脆弱なコイン、言い換えれば脆弱性やバグ修正の対応が遅いコインについては、今後淘汰されていくことでしょう。
まとめている vtuber のアカウントだけ貼っておきますので、興味がある方は追ってみてください: https://twitter.com/anon_secchan

[hakka]

zaif でモナコインのノードを多数立てることで犯人のIPアドレスを追跡できた、という報告が出てきています。お金かかってそうですね。でも興味深い事例だと思います。
http://ascii.jp/elem/000/001/767/1767194/

P2Pネットワークを使用した捜査は国内初なのですね。222個の偽ノードを設置・・・。モナコインだったからまだできた話かもしれません。
この事例は私も大変興味を持っているので、今後の詳細が大変気になります。

Yenten と bitzeny が CVE-2018-17144 の攻撃を受けました。まとまった情報とか無さそうなので見つけたものを貼ります。
脆弱性自体は二重支出の不正トランザクションを生成するもので、深く追っていませんがハードフォークに近いような形で分岐しているようです。
対策が遅い取引所では莫大なコインが売られていたようですので、こういった草コインのリスクが露呈してしまった、という見方もできると思います。

https://twitter.com/ohashi3d/status/1058603889740529664
https://zenyay.net/bitzeny-pool-move

１０月７日に pigeon coin の事例を挙げましたが、こういったセキュリティ的に脆弱なコイン、言い換えれば脆弱性やバグ修正の対応が遅いコインについては、今後淘汰されていくことでしょう。

CVE-2018-17144はかなり致命的なバグなのに対応していなかったのですかね笑。だとしたら、これはちょっと問題外としか・・・
重要な修正等については逐次ホルダーに知らせる様な体制が基本的には必要なのでしょうね(信用の低い草コインだからこそ)。。

[kazuki.t]

セキュリティカンファレンスの CODEBLUE でも幾つか発表が出るほどになってきましたね。あくまで最先端の情報として、ですが読み物としては面白いと思います。
https://dev.classmethod.jp/security/code-blue-2018-d2-tb-1350/
https://dev.classmethod.jp/security/code-blue-2018-d2-tb-1210/
https://dev.classmethod.jp/security/code-blue-2018-d2-tb-1300/
　キーワードとしては、スマートコントラクトの悪用や、ギャンブルサイトで疑似乱数が操作可能かどうか、コインマイナーとは、などですね。

また金融という観点で一般的な内容もあります。仮想通貨そのものの内容はありませんが、非常に問題点の指摘などは近しいと思います。
https://dev.classmethod.jp/security/code-blue-2018-d2-t1-1100/

[kazuki.t]

続いて Mangacoin も攻撃を受けましたね。その後の流れを見ている限りでは、スムーズに対応済みウォレットが配布できた・・・ように見えます（詳しくは追っていませんが）
https://twitter.com/MangaCoinGlobal/status/1062739114947035136
https://twitter.com/mangacoin/status/1062727281347448832

yenten や bitzeny と同じように、CVE-2018-17144の二重支出による攻撃で不正にコインを増やそうとする試みだったようです。
51%攻撃とか書いてるブログ記事がありましたが、少なくとも CVE-2018-17144 について調べて間違ったことを書かないようにしてほしいですね。