パスワードを忘れた? アカウント作成
13513903 story
お金

仮想通貨取引所コインチェック、不正アクセスによって約580億円相当のNEMが引き出される 65

ストーリー by hylom
仮想通貨ブームらしい話題 部門より
maia曰く、

1月26日、仮想通貨取引所コインチェックから(盗難時点で)約580億円相当のNEMが不正に引き出された。仮想通過の不正引き出しとしては過去最大となる。

BUSINESS INSIDERの記事によれば、1月26日午前0時2分、10 XEM(XEMはNEMの単位)がNC4に不正に送金された(正確なアドレスは「NC4C6PSUW5CLTDT5SXAGJDQJGZNESKFK5MCN77OG」で、最初の3桁を表記)。午前0時4分からの5分間に1億XEMが計5回NC4に送金された。その後午前8時26分までに更に5回送金され、不正引出しの総額は5億2630万10XEMとなった。また午前2時57分から午前3時59分の間にNC4から別アドレスへ計10回の資金の移動があった(午後11時42分にもNC4から1回資金移動があった)。コインチェックがNEMの異常な減額に気づいたのは午前11時25分で、その後(ビットコイン以外の)取引を停止するなどし、午後11時30分から記者会見を行った。残高が大きく減った場合のアラートはあるが「気付くまで8時間以上かかった」(日経新聞)と記者会見で述べているので、アラートが午前3時頃に出た=その頃に盗まれたと解釈されたのだろうか。

秘密鍵が盗まれた経緯は不明。さらに問題点として、コインチェックではNEMをホットウォレットに置いていたこと(技術的に困難があったとコインチェックでは説明している)、マルチシグ(鍵の保管も別でないと意味ないが)が導入されていなかった事があげられている(楠正憲氏による解説)。

興味深いことに、犯人のウォレットは既にNEMのMosaic機能によってマーキングされており、各取引所に通知が回っているので、現金化不能になったようだ。また資金移動の自動追跡プログラムも稼働したようだ。

コインチェックは28日、NEMの被害を受けた26万人全員に日本円で補償すると発表した(ブルームバーグの記事)。相場下落の関係で総額は約463億円の見込みのようだが、全額を自己資金で賄うとしている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2018年01月29日 12時53分 (#3352474)

    こちらの記事も参考になります。

    [コインチェック流出]その技術的ミスをNEM財団VPが語る 公式インタビュー全文翻訳
    https://www.businessinsider.jp/post-161098 [businessinsider.jp]

  • by Anonymous Coward on 2018年01月29日 16時58分 (#3352658)

    今「政府は保証しろ」

    虫がいい

    • おもしろおかしいじゃなくてすばらしい洞察だと思う
      仮想通貨の根底には政府の関与どころか何一つない

      親コメント
    • by Anonymous Coward

      仮想通貨の管理が自分で自由にコントロールできるという話と、
      他人の(仮想通貨という)財物を預かるビジネスをきちんと監督しろって話は
      全く別なんだが、この手の揶揄をしてる人には区別がついてないのかな

      • by Anonymous Coward

        んで、取引所の規制を行うことになるわけですが、自由自由という人はそこに文句を言うんですね。

        • 自由自由という人はビットコインとモノやサービスを直接交換するんだから、
          取引所がいくら規制されたって全然困らないよ
          それに脱税や犯罪をしたい人じゃない限り、法律上のルールが整備されてくのは基本的に歓迎してるよ
          自由ってのは勝手気ままや無制限って意味じゃないんだから、たとえばモノを仮想通貨で売って収益を得たら
          どうすればいいのか、政府がちゃんと線引きをしてくれないと困る
          それは自由を制限されるってのとは全然違う話なんだからね

          親コメント
  • by Anonymous Coward on 2018年01月29日 13時04分 (#3352478)

    NEMのマーキングについては、共有ウォレット (ミキシングサービス) でミキシングした後を正しく追跡できるかが見所でしょうね。
    犯人がミキシングを行わないわけはないでしょうし。

    ミキシングサービスの仕組みは分析されてきていますが、犯人が慎重に動けば追跡は難しいはず…。
    http://www.checkpoint.co.jp/threat-cloud/2016/11/complex-web-bitcoin-m... [checkpoint.co.jp]

  • by ppextend11 (46237) on 2018年01月30日 9時06分 (#3353009) 日記

    >コインチェックは28日、NEMの被害を受けた26万人全員に日本円で補償すると発表した(ブルームバーグの記事)。相場下落の関係で総額は約463億円の見込みのようだが、全額を自己資金で賄うとしている。

    言うだけならなんぼでも言えるわな

  • by Anonymous Coward on 2018年01月29日 13時01分 (#3352477)

    公式の発表 [coincheck.com]によると保証金の算出根拠は、
    [売買停止時からプレスリリースまでの加重平均価格]らしいので、
    問題発覚からプレスリリースまでの下落分が浮いたということか。

    #支払えるならシャチョーの動揺した顔の訳が気になる

    • by Anonymous Coward

      今は上昇していますが
      返金するタイミングまでに再び仮想通貨が下落して、レートが算出価格を下回ったら得なのか損なのか

  • by Anonymous Coward on 2018年01月29日 13時04分 (#3352479)

    コインチェック内の通貨JPYで返還ですよ。
    出金できそうに無い状況です。

    • by Anonymous Coward on 2018年01月30日 0時11分 (#3352923)

      https://bitcoin-valley.com/structure/tax-qa/ [bitcoin-valley.com]

      出金できなくても課税は発生する可能性があるみたいですよ。
      (通常は課税が発生するが、今回は特例のため変わるかもしれない、みたい)

      補償で、仮に1億円の儲けが出た場合、それがコインチェック内のJPYでの返還であったとしても、
      税金は(JPYではなく)日本円で5500万円。
      ビットチェックの都合で、JPYを日本円に出金できないとしても、救済措置はないので、
      5500万円の現金を用意できなければ資財の差し押さえかもしれません。家とか車とか。

      親コメント
  • 内部犯行か狂言であったとしても「不明」で終了?

    #それはまっさきに疑われて調査済みか

    • by Anonymous Coward

      >興味深いことに、犯人のウォレットは既にNEMのMosaic機能によってマーキングされており、各取引所に通知が回っているので、現金化不能になったようだ。また資金移動の自動追跡プログラムも稼働したようだ。

      内緒にしとけば犯人捕まえやすそうなのに、そうしないということは・・・

    • by Anonymous Coward

      手順としては不正送金しかないの各ニュースはしばらくは「流出」という単語を使っていて非常に違和感があった。
      どちらかというと「クラックされた」だよね。

      • >どちらかというと「クラックされた」だよね。

        外部からクラックされた経路や足跡が残っていればわかりやすいけど。
        そうでない場合、内部犯行あるいは狂言ではないという証明はできるのかな。

        金融庁や警視庁に報告済みで、NEM財団やNEMを取り扱う国内外の取引所と連携して、売買停止の要請をしている

        報告の中身は「勝手に送金されちゃいました」だけじゃないだろうし、第三者ってサーバーに入れたくないだろうけど、犯罪(?)が起きた時の調査ってどうするんだろう。
        Bitcoin他仮想通貨で「無くなった/盗まれた/勝手に送金された」とか言う騒動が起きる度にこの疑問が湧いてしまう。

        #憶測と想像と妄想しか書いてないな>じぶん

        親コメント
  • by Anonymous Coward on 2018年01月29日 13時18分 (#3352489)

    NEMで返却すべくNEMを集めれば、NEM相場が上がり返却コストが増し、更に犯人が売却に成功すれば犯人を利する事になる(盗人に追い銭)。
    一部には不満がある様だが、それが可能であるなら妥当な対応だと思う。
    杭打ち施行ミスによる傾斜に対する、三井不動産レジデンシャル社販売の横浜市都筑区のパークシティLaLa横浜回収建て替え処置の様に。
    (この件確かに三井不動産グループ他のミスはあったが、身銭を切って回収建て替えを行う姿勢を示す事で、最低限の信用は維持されたとは思う。一方アップルやインテルは?)
    無論裏側には、仮想通貨バブルがそれを可能にしている状況もあるのだろう。
    だが、それがセキュリティーで失態を晒したコインチェックのせめてもの信用維持経費とはいえ、途方もない金額である事にも違いない。

    • by Anonymous Coward on 2018年01月29日 13時41分 (#3352504)

      まあ払える払えない以前に日本円にして継続的な問題からの分離は良いだろう。
      でも被害者が懸念している問題は、その日本円も現状引き出す事の出来ない口座の残高としてでしかないってのでは。

      払い出ししないのであればそりゃ幾らでも金額を付ける事は難しくない。
      しかしそれで会社が耐え切れれば良いが、耐えきれないのであれば賠償を得るタイミングを逸する原因にもなりかねないよね。

      親コメント
  • by Anonymous Coward on 2018年01月29日 13時23分 (#3352495)

    この会社の資本金額を見ても、納税額を見てもそれだけのハードカレンシーでの資本蓄積があると見えない。
    取引の際仮想通貨で支払われた手数料を自ら仮想通貨間で運用した含み益がこの会社の追求する利益だったわけだ。バブリーエンジン駆動って訳だが、企業存続性的にはバランス取れていない。
    金融庁への登録も、コールドウォレットもマルチシグも消極的な訳だ。

  • by Anonymous Coward on 2018年01月30日 13時06分 (#3353219)

    NEM財団とやらのさじ加減一つで使えなくなってしまう通貨って嫌だな...

  • by Anonymous Coward on 2018年01月29日 12時49分 (#3352472)

    のホワイトハッカーがなんとかしてくれる!!
    (ヒではこの件でエンジニアがみんなJKだと思われていますが、その通りです)

  • by Anonymous Coward on 2018年01月29日 13時15分 (#3352487)

    補償は強制決済と同じと思えばいいのかな?

    含み益が出ていた人は強制決済されて利益確定。
    億り人さんたちは所得税・地方税合わせて55%持っていかれちゃいますね。

    • by Anonymous Coward

      来年の3月までになんとかすればいいさ

  • by Anonymous Coward on 2018年01月29日 13時35分 (#3352500)

    正常時は良いのでしょうが、トラブル時にロールバックする手段が無い。(まぁありがち)
    色んな経験を経て成熟する前の前の段階くらいでしょう。
    GOXの事が既に忘れ去られてるんだよなぁ。

    MT.GOX事件の真犯人かもしれない人物(マルクも関与していたとは思うけど、使った金額が少額すぎた)が昨年逮捕されたけど、今回も関係者が出てくるのかなぁ?
    関係者じゃないと、そもそも抜け穴って気づきにくいだろうからなぁ。

    リスクのある投資の「リスク」には、そういった問題も含めて考えなきゃダメなんだろうね。

    • by Anonymous Coward

      分散暗号通貨とロールバックはどうしても相容れないよ。それではクレジットカードなどの既存の仮想通貨と変わらない。
      スマートコントラクトで代用するしかないんじゃないかな。

  • by Anonymous Coward on 2018年01月29日 14時02分 (#3352521)

    ハードウェアウォレットっていうのが使えなかったんで、対策が遅れたんじゃないかって…仮想の時代になっても、結局は紙なの…?

    • by Anonymous Coward

      ウォレット=財布。
      分かりやすく言えば、仮想通貨の取引パスワードをPCに保存してるとPCハッキングされたときに盗まれるから、パスワードはUSBメモリに保存しておきましょうというもの。
      これで安全になるけど、大元のパスワードを盗まれてたらハードウエアウォレット使っててもやっぱり盗まれる。実際にそういう盗難事件も起きてる。

    • by Anonymous Coward

      権利書に近いかな。丸々コピーされるとアウト。

    • by Anonymous Coward

      ハードウエアかどうかではなく、オンラインかオフラインかの問題では。
      現状でインターネットに常にオンラインってのは、何時も「攻撃上等!」ってやっているのと一緒なんだよ。

  • by Anonymous Coward on 2018年01月29日 20時12分 (#3352794)

    日本史上最高額の窃盗だと思うのだけど、仮想通貨だからか、そこを強調したニュースはないような気がした。
    サーバーの場所がどこかわからないけど、もしサーバーがアメリカにあれば、犯人が捕まったら、100年以上の懲役になるんだろうか。

    • by Anonymous Coward

      窃盗罪の構成要件満たせるのかなあ、、
      検察は不正アクセス防止法違反で確実に有罪にする道をとると思う

      • by Anonymous Coward

        仮に内部犯だとしたら不正アクセス防止法違反ではいけないと思うな。業務上横領罪になるかな。
        ちなみに不正アクセスは3年以下の懲役又は100万円以下の罰金だから業務上横領や窃盗に比べると懲役が短くなる。

  • by Anonymous Coward on 2018年01月29日 20時38分 (#3352813)

    まとめサイトの【悲報】コインチェックの社長、誰もが見れるTwitterでリモートアクセスしていいよと公表していた [livedoor.biz]でまとめられているけど、
    5chの【速報】コインチェックさん 逃亡する模様 ★3 [5ch.net]に書き込まれている以下のハック手法があたっている気がする。

    722番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイ a303-C5Nl)2018/01/27(土) 19:57:12.40ID:PyTd1GSk0

    >>648
    これさ・・・・・・関東地方の大雪の時に社員が出勤できなくなった

    今日は特別にリモートアクセスでいいよwwww

    これは言っちゃダメだろwwwww


    この一言にハッカーはチャンスとばかりに総スキャン開始。

      結果的にみると、その日以降、雪が終わっても、リモートアクセスのバックヤード
    開けっ放しだったんじゃね?

    それを何らかの方法で画面スキミング。

      普段見ているサイトのDNS情報を書き換え一瞬リダイレクトに見せかけ
      キーロガーを仕込むのは、たやすかったと思う。

    ハッカーは メンテナンス、あるいはエンジニアが マスターキーを打つのを、ただひたすら待ち続けた。
    そしてその日のうちに判明。

      深夜2時58分、つけっぱなしのPCからリモートアクセス開始

    セキュリティ強固でも内部マシンをハッキングとなると、このワンチャンス
      しかなかったと思うんだがどうだろうか

    • by Anonymous Coward

      リモートで仕事する環境なら、社員の自宅のPCをターゲット攻撃する方が楽じゃない?

  • by Anonymous Coward on 2018年01月29日 21時00分 (#3352825)

    盗難も仮想通貨のリスクだと思ってたのに
    ユーザーからすればサーバーが貧弱なのもセキュリティが貧弱なのもどちらも「お前の不備だろ」だろうから
    サーバーが貧弱でまともに取引できなくて損失被っても知らんぷりらしい某大手よりかユーザー本位ですね

  • by Anonymous Coward on 2018年01月29日 23時38分 (#3352908)

    共同通信することができないことこそがまさにブロックチェーンの特長なんだからそりゃそうだろ、むしろ訂正できたらそれこそプロトコル上の欠陥だとしか

typodupeerror

あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall

読み込み中...