今月(2019/7)は事件が多いですね。
先日の7Payの事件からまだそんなに立っていないどころか、世間はまだ7Payに注目していますが、さらに追加で株式会社ビットポイントジャパンから仮想通貨35億円相当の流出があったようです。
今回はその内容について記事にしていきます。
なお、情報が入ったばかりなので、多少情報に間違いがある可能性もありますので、予めご了承ください。
事件の流れ
・2019 年7月 11 日 22 時 12 分頃 リップルの送金に関するエラーを検知。
BPJ の情報システム部門等で対応開始。
・22 時 39 分頃 リップルの不正な流出を確認。
他の仮想通貨の流出の有無の調査を開始。
・2019 年7月 12 日 2時 00 分頃 リップル以外の仮想通貨についても不正流出を確認。
・3時 00 分 BPJ にて緊急会議を実施。
・6時 30 分 BPJ における仮想通貨の送受金を停止。
・10 時 30 分 仮想通貨の売買・交換を含む、BPJ の全サービスを停止。
となっているようです。
株式会社リミックスポイント
当社子会社における仮想通貨の不正流出に関するお知らせとお詫び(第一報)より
実際にBPJのサイトに行ってみましたが、ログイン画面に遷移したところで以下のような画面が表示されるので、止まっているみたいですね。
BPJのセキュリティはどうだったのか?
このビットポイントジャパンについてですが、つい先日まで、金融庁から業務改善命令を受けていたようです。
じゃあセキュリティがおろそかにされていたのか?というとそういうわけではなさそうで、今年の3月に「日本国際金融システムフォーラム2019」でセキュリティについての発表も行っています。
BITPoint社長小田氏が語る、第4次FATFに向けて仮想通貨交換業者が構築するセキュリティ
3月にセキュリティについて発表してその数か月後に事件が発生してしまったのはキツイですね。
今回の流出については調査中とのことで、判明次第こちらにも追記をしていく予定です。
2019/07/17追記
このニュースによると情報流出の原因は「ホットウォレットの秘密鍵が窃取された」ことらしいです。
秘密鍵自体も暗号化されていたみたいですが、何かしらの方法で解読されたようです。
どうやって秘密鍵を摂取されたかについては不明とのことです。(サーバの脆弱性を突かれた?内部犯行?標的型攻撃?)
ハッカーの仕業かもしれないですし、内部犯行の線もまだ考えれれますが、それを踏まえての今後のBPJ社の対応は注目かと考えています。
また、現在のところ金銭の流出のみが発表されていますが、それ以外にも登録されている個人情報の流出の有無はどうだったのかは気になるところです。
しかし今回の事件の対応を再度確認すると、情報システム部門でエラーを検知してから12時間後にBJPサイトの完全停止してのは迅速な対応と言えるのではないかと思います。
不明点や要望、こういったこともやって欲しいとの希望があれば、お問い合わせページやコメント、ツイッターからでも結構ですので、気軽にご連絡ください。
今月は大きめな事件がおおい・・・
コメント