この記事には広告を含む場合があります。
記事内で紹介する商品を購入することで、当サイトに売り上げの一部が還元されることがあります。
仮想通貨が去年から盛り上がってますが、その裏で仮想通貨関連の詐欺やハッキングなどの犯罪も増加しています。
実は私も以前、bitFlyerに不正アクセスを受け、ビットコインを不正送金された経験があります…
今回の記事では、不正アクセスにあったときの内容を被害者が増えないようにまとめておこうと思います。
もうすでに仮想通貨を始めている方もそうですが、これから仮想通貨を始めようという方には特に注意してほしい内容です。
不正送金の被害に合わない為にも、この経験がみなさんの参考になれば幸いです。
この記事の目次
bitFlyer不正アクセスの経緯
事の発端は2017年の夏、ちょうどビットコインキャッシュができた頃
当時、bitFlyerの口座にイーサリアムとビットコイン、ビットコインキャッシュを数万円分を購入して保有していました。
ある日、bitFlyerにアクセスしようとしたのですが、何回メールアドレスとパスワードを打ち込んでもログインに失敗します。
違和感を感じながら、bitFlyerログイン画面の「パスワードを忘れた場合」からパスワードを変更し、ログインを完了…
口座残高を見てみるとなんとほぼ0になっていましたw
驚いて取引履歴を確認すると、イーサリアムなどを全てビットコインに変えられ、外部に不正出金された形跡が…
不正アクセスから外部送付までわずか約12分間の出来事
その頃、不正アクセスの話や二段階認証のことがツイッターなどでよく言われていましたが、まさか自分が…というのが正直な感想です。
bitFlyer不正アクセスの原因
不正アクセスを受けbitFlyerに連絡をし、不正アクセスの原因を自分で調べていくと次のようなことがわかりました。
登録メールアドレスがハッキングされていた
bitFlyerの登録メールアドレスにはYahoo!のフリーメールを使用していました。
実は、このメールアドレスがハッキングされていたのです。
今思うと本当に馬鹿だったのですが、ビットフライヤーに登録したメールアドレスは、他のあらゆるサービスで登録しており、どこかでパスワードが漏れていてもおかしくない状態でした。
メールアドレスが流出したか確認する方法にも書きましたが、このYahoo!メールアドレスのパスワードとユーザーネームは、dailymotionとmyspaceから情報漏洩していました…
取引所専用のメールアドレスを使用するべきでしたし、メールアドレス自体の二段階認証も設定しておくべきだったと思います。
犯人は登録メールアドレスをハッキング後、bitFlyerログイン画面の「パスワードを忘れた場合」からパスワードを変更し、不正アクセスを試みたようです。
ちなみに、Yahoo!のメールアドレスのログイン履歴を調べてみると犯行の直前に中国から不明なログインがありました。
bitFlyerの二段階認証は登録メールアドレスの設定になっていた
二段階認証は必須とよく言われており、それに従い自分もbitFlyerの二段階認証の設定をオンに。
当時仮想通貨を始めたばかりの自分は「これで二段階認証の設定も完了した」と思っていたんですが、
これも本当にアホでしたねw
二段階認証は認証アプリを使用するべきです。
現在はどうかわかりませんが、その当時、bitFlyerの二段階認証のデフォルトの設定が登録メールアドレスになっていました。
なので、二段階認証をオンにしていても、それはメールで確認コードを受け取る設定になっており、認証アプリを使用した設定にはなっていません。
つまり、メールアドレスをハッキングしている犯人にとってはメールでの二段階認証はなんの効果もない状態ということ。
ちなみにbitFlyerへのログイン履歴及びIPアドレスを確認すると犯行時刻に日本から不明なアクセスがありました。
bitFlyerからの確認メールは全て削除されていた
bitFlyerにアクセスすると、登録したメールアドレスにログイン確認メールが届きますよね?
しかし、いくらメールボックスを探してもログイン確認メールが見当たらない。
そこで、bitFlyerに問い合わせたところ、パスワード再設定メール、パスワード変更通知、ログイン確認メール、出コイン依頼時の二段階認証確認メールは発送されているとの回答が。
どうやらそういったbitFlyerからのメールは全て削除されていたようです。
もちろんゴミ箱からも削除^^
どおりでメールボックス開いても気付かないわけですね!
こうなるともうbitFlyerにアクセスしない限りは犯行には気がつくことが出来ません。
仮想通貨不正送金の犯人の手口
これまでのことを整理し、想像で不正アクセスの流れをまとめると
Yahoo!メールには中国から、bitFlyerには日本からの不正アクセスだったのが気になるところ
その頃私自身は日本にも中国にも滞在してなかったので…
素人なのでなんとも言えませんが、中国人が日本のサーバーを経由して不正アクセスを働いたのでしょうか?
bitFlyerの不正出金への対応
まず、残念だったのはbitFlyerのメールのレスポンスすごく遅かったこと。
電話での対応は受け付けていなかったのでメールのみでの対応でした。
しかし、問題を報告してもその問い合わせに対する返信は毎回来ないという…
ですので、面倒ですがわざわざ問い合わせをコピペして2回も同じ内容を送らないといけないという二度手間が煩わしかったです。
また、メールアドレス・パスワード等の盗取による不正な日本円出金に伴う損害補てん規約にもあるように、当然被害額の補償はされませんでした。
この規約は日本円の不正出金に対しての補償であり、ビットコインに変えられ不正送金されると適用されません。
いやいや、そもそも日本円だと銀行口座を追加で登録しないといけない訳で、わざわざ足がつきやすい銀行口座を登録して日本円で不正送金する馬鹿な犯人はいないかと!
メールでの二段階認証方法が初期設定になっているのもどうかと思います。
この当時、実際コインチェックにも不正アクセスを試みた形跡がありましたが、こちらはメールでの二段階認証になっていなかったため不正アクセスされずに済みました。
不正アクセスへの対策
今回の疎かなセキュリティ対策から学んだ教訓は以下のとおり
メールの使い回しは絶対ダメ!
他のウェブサービスで登録しているメールアドレスを取引所に登録するのはやめましょう!
いつどこでパスワードが漏れているかわかりません。
やはり取引所専用のメールアドレスがいいですね。
あと、登録しているメールアドレスにも二段階認証をしておきましょう。
Gmailは二段階認証ができるようです。
二段階認証は大事!認証アプリがおすすめ
取引所に登録後、二段階認証の設定はマストです。
大事なことなのでもう一度言います。
二段階認証はマストです。
二段階認証はメールではなく携帯のアプリにしてください。
メールで二段階認証だとメールがハッキングされた場合、二段階認証の意味がありません。
その点、携帯のアプリだと資産が保護されるので安心ですね。
どうしてもメールで二段階認証をしたい場合、その取引所専用のメアドを使った方がいいでしょう。
仮想通貨はハードウェアウォレットに保管
やはり、仮想通貨を取引所に保管しておくとこのような不正アクセスや、ハッキングにより盗まれるリスクがあります。
今年はコインチェックがハッキングされNEMが流出し大問題になりましたね。
なので仮想通貨は取引所に置いておくのではなく 暗号通貨ハードウェアウォレット
に保管しておくことをおすすめします。
ハードウェアウォレットは、ネットから切り離した状態(オフライン)で仮想通貨を保管しているのでハッキングされるリスクはありません。
まとめ
今回はbitFlyerでの不正アクセスからその手口、対策をご紹介させていただきました。
本当にセキュリティ関係はめんどくさがらずに対策をとっておくべきです。
何かあってからでは取り返しがつきません。
不幸中の幸いで私は被害金額がそこまで大きくなくて済みましたが、大金だとその時のショックは計り知れません。(購入した当時と比べると2,3倍には値上がりしてましたが…)
実際、少額でも口座が空っぽだと唖然としますし、何よりマジでムカつきます(笑)
ということで、仮想通貨だけに限りませんが、セキュリティ対策はしっかりとしておきましょう。
以上、bitFlyerに不正アクセスされ仮想通貨を不正送金されたお話でした。
