平成26年1月26日にサイバー攻撃を受け、約580億円分の仮想通貨NEMの大量流出事件を起こしたコインチェックが3/8(木)に記者会見を行いました。
同日、金融庁から2回目の業務改善命令を受けたことと、NEMの補填やサービス開始時期が決定したことを説明しました。
①攻撃者が、従業員の端末にフィッシングーメールにより、マルウェアを感染させました。
②外部ネットワークからマルウェアに感染した従業員の端末経由でコインチェック社のネットワークに不正にアクセスを行いました。
③遠隔操作ツールによりコインチェック社のNEMのサーバー上で通信傍受を行いNEMの秘密鍵を窃取しました。
④窃取したNEMの秘密鍵を使用して外部の不審通信先にNEMを不正送金したと想定されております。
顧客から預かっていたNEMをホットウォレットにて管理をしていたことから、不正送金を防止することができなかったとのことです。
総額 : 5億2300万XEM
保有者数 : 約26万人
1月26日 00:02頃 :事象の発生
1月26日 08:26頃 :事象の発生
1月26日 11:25頃 :自社にて異常を検知
1月26日 12:07頃 :NEMの入金一時停止について告知
1月26日 12:38頃 :NEMの売買一時停止について告知
1月26日 12:52頃 :NEMの出金一時停止について告知
1月26日 16:33頃 :JPYを含め、全ての取扱通貨の出金一時停止について告知
1月26日 17:23頃 :BTC以外(オルトコイン)の売買の一時停止について告知
1月26日 18:50頃 :クレジットカード、ペイジー、コンビニ入金一時停止について告知
1月26日 23:30頃 :記者会見
・サーバー再構築
従業員の端末を新たに揃え、サーバーも新たに構築。
・社内モニタリング
外部機関によるネットワーク接続状況の監視
・セキュリティ
ホットウォレットからコールドウォレットで管理できる仕組みに移行
・システム管理体制
システム管理責任者の任命
・顧客対応の強化
ネム保証に関して電話対応によるサポートを実施。
引用元URL:http://corporate.coincheck.com/2018/03/08/46.html
詳細の情報開示がなく、新たなマルウェアを使用しているという点があるので不明点も多いですが、現時点で感じる今回のインシデントの気になる点について考えると、もう少しセキュリテイに力を注いでいたら、防ぐこと、もしくは被害を抑えることができたのかもしれないと感じています。
「社員が使用するPCがマルウェアに感染したことにより、サーバに侵入された」とありますが、一般的な金融機関のシステム構成を考えると、考えづらいと感じています。外部通信と重要情報へアクセスするPCのネットワークを分離、重要情報が入っているサーバに対しての多要素認証、サーバに対してアクセスを許可するIPアドレス、ポートの最適化が行われていることが一般的だからです。それでも万が一、サーバ上にある秘密鍵を盗まれてしまったとしても、異常な出金状況に対してリクエストを遮断するリスク検知の仕組みや、高額の出金は人が確認する仕組みがあれば、数回に及ぶ出金リクエストの短時間での出金頻度、出金金額等のどこかで止まっていたのではないのかと感じるので、その点がどの様な構成になっていたのか知りたいです。いずれにしても、このインシデントが発生して、大きな被害が生まれています。インシデントが発生した際に生じる多数のリスクについて、もっと考えることができていれば、少なくともシステム構成は今とはもっと違った形になっていたのではないかと感じます。