bitFlyerに不正アクセスされ仮想通貨を不正送金されたお話

仮想通貨が去年から盛り上がってますが、その裏で仮想通貨関連の詐欺やハッキングなどの犯罪も増加していますね。

実は私も以前、bitFlyerに不正アクセスを受け、ビットコインを不正送金された経験があります…

今回はその時の内容を被害者が増えないようにまとめておこうと思います。

もうすでに仮想通貨を始めている方もそうですが、これから仮想通貨を始めようという方には特に注意してほしい内容です。

不正送金の被害に合わない為にもこの経験がみなさんの参考になればと思います。

bitFlyer不正アクセスの経緯

事の発端は2017年の夏、ちょうどビットコインキャッシュができた頃

当時、bitFlyerの口座にイーサリアムとビットコイン、ビットコインキャッシュをほんのちょっとだけ保有していました。

ある日、bitFlyerにアクセスしようとしたのですが、何回メールアドレスとパスワードを打ち込んでもログインに失敗します。

違和感を感じながら、bitFlyerログイン画面の「パスワードを忘れた場合」からパスワードを変更し、ログイン完了。

 

すると、口座残高を見てみるとなんとほぼ0になっていましたw

驚いて取引履歴を確認すると、イーサリアムなど全てビットコインに変えられ、外部に不正出金された形跡が…

不正アクセスから外部送付までわずか約12分間の出来事

その頃、不正アクセスの話や二段階認証のことがツイッターなどでよく言われていましたが、まさか自分が…という感じでした。

bitFlyer不正アクセスの原因

不正アクセスを受けbitFlyerに連絡をし、不正アクセスの原因を自分で調べていくと次のようなことがわかりました。

登録メールアドレスがハッキングされていた

bitFlyerの登録メールアドレスにはYahoo!のフリーメールを使用していました。

実は、このメールアドレスがハッキングされていたのです。

今思うと本当に馬鹿だったのですが、この登録アドレスは他のあらゆるところで登録しているメールアドレスでした。

つまり、どこかでパスワードが漏れていてもおかしくない状態

取引所専用のメールアドレスを使用するべきでしたし、メールアドレス自体の二段階認証も設定しておくべきだったと思います。

犯人は登録メールアドレスをハッキング後、bitFlyerログイン画面の「パスワードを忘れた場合」からパスワードを変更し、不正アクセスを試みたようです。

ちなみに、Yahoo!のメールアドレスのログイン履歴を調べてみると犯行の直前に中国から不明なログインがありました。

bitFlyerの二段階認証は登録メールアドレスの設定になっていた

二段階認証は必須とよく言われており、それに従い自分もbitFlyerの二段階認証の設定をオンに。

当時仮想通貨を始めたばかりの自分は「これで二段階認証の設定も完了した」と思っていたんですが、

これも本当にアホでしたねw

二段階認証は認証アプリを使用するべきです。

現在はどうかわかりませんが、その当時bitFlyerの二段階認証のデフォルトの設定が登録メールアドレスになっていました。

なので、二段階認証をオンにしていても、それはメールで確認コードを受け取る設定になっており、認証アプリを使用した設定にはなっていません。

つまり、メールアドレスをハッキングしている犯人にとってはメールでの二段階認証はなんの効果もない状態ということ。

ちなみにbitFlyerへのログイン履歴及びIPアドレスを確認すると犯行時刻に日本から不明なアクセスがありました。

bitFlyerからの確認メールは全て削除されていた

bitFlyerにアクセスすると、登録したメールアドレスにログイン確認メールが届きますよね。

しかし、いくらメールボックスを探してもログイン確認メールが見当たらない。

そこで、bitFlyerに問い合わせたところ、パスワード再設定メール、パスワード変更通知、ログイン確認メール、出コイン依頼時の二段階認証確認メールは発送されているとの回答が。

どうやらそういったbitFlyerからのメールは全て削除されていたようです。

もちろんゴミ箱からも削除^^

どうりでメールボックス開いても気付かないわけですね!

こうなるともうbitFlyerにアクセスしない限りは犯行には気がつくことが出来ません。


仮想通貨不正送金の犯人の手口

これまでのことを整理し、想像で不正アクセスの流れをまとめると

STEP.1
メールのハッキング
bitFlyerに登録のYahoo!メールアドレスを犯人がハッキング(パスワードが漏れてた)
STEP.2
パスワードの変更
bitFlyerの「パスワードを忘れた場合」からbitFlyerログインパスワードの変更
STEP.3
2段階認証の突破
2段階認証の確認コードがYahoo!メールに届いたので、2段階認証を容易に突破
STEP.4
不正送金
口座にあった仮想通貨を全てビットコインに変え外部に不正送金
STEP.5
証拠隠滅
パスワード再設定メール、パスワード変更通知、ログイン確認メール、出コイン依頼時の二段階認証確認メールを削除

Yahoo!メールには中国から、bitFlyerには日本からの不正アクセスだったのが気になるところ

その頃私自身は日本にも中国にも滞在してなかったので…

素人なのでなんとも言えませんが、中国人が日本のサーバーを経由して不正アクセスを働いたのでしょうか?

bitFlyerの不正出金への対応

まず、残念だったのはbitFlyerのメールのレスポンスすごく遅かったこと。

電話での対応は受け付けていなかったのでメールのみでの対応でした。

しかし、問題を報告してもその問い合わせに対する返信は毎回来ないという…

ですので、面倒ですがわざわざ問い合わせをコピペして2回も同じ内容を送らないといけないという二度手間が煩わしかったです。

また、メールアドレス・パスワード等の盗取による不正な日本円出金に伴う損害補てん規約にもあるように、当然被害額の補償はされませんでした。

この規約は日本円の不正出金に対しての補償であり、ビットコインに変えられ不正送金されると適用されません。

そもそも日本円だと銀行口座を追加で登録しないといけない訳で、わざわざ足がつきやすい銀行口座を登録して日本円で不正送金する馬鹿な犯人はいないかとw

メールでの二段階認証方法が初期設定になっているのもどうかと思います。

この当時、実際コインチェックにも不正アクセスを試みた形跡がありましたが、こちらはメールでの二段階認証になっていなかったため不正アクセスされずに済みました。


不正アクセスへの対策

このような軽率なセキュリティの甘さから学んだ教訓は以下の通りです。

メールの使い回しは絶対ダメ

他のウェブサービスで登録しているメールアドレスを取引所に登録するのはやめましょう!

いつどこでパスワードが漏れているかわかりません。

やはり取引所専用のメールアドレスがいいですね。

あと、登録しているメールアドレスにも二段階認証をしておきましょう。

Gmailは二段階認証ができるようです。

二段階認証は大事!認証アプリがおすすめ

取引所に登録後、二段階認証の設定はマストです。

大事なことなのでもう一度言います。

二段階認証はマストです。

二段階認証はメールではなく携帯のアプリをおすすめします。

メールで二段階認証だとメールがハッキングされた場合、二段階認証の意味がありません。

その点、携帯のアプリだと資産が保護されるので安心ですね。

どうしてもメールで二段階認証をしたい場合、その取引所専用のメアドを使った方がいいでしょう。

というか、それぐらいは当然のこととして皆さんしているのかもしれません。

仮想通貨はハードウェアウォレットに保管



やはり、仮想通貨を取引所に保管しておくとこのような不正アクセスや、ハッキングにより盗まれるリスクがあります。

今年はコインチェックがハッキングされNEMが流出し大問題になりましたね。

なので仮想通貨は取引所に置いておくのではなく 暗号通貨ハードウェアウォレットに保管しておくことをおすすめします。

ハードウェアウォレットはネットから切り離した状態で仮想通貨を保管しているのでハッキングされるリスクはありません。

まとめ

今回はbitFlyerでの不正アクセスからその手口、対策をご紹介させていただきました。

本当にセキュリティ関係はめんどくさがらずに対策をとっておくべきです。

何かあってからでは取り返しがつきません。

不幸中の幸いで私は被害金額がかなり小さくて済みましたが、大金だとその時のショックは計り知れません。

実際、少額でも口座が空っぽだと唖然としますし、何よりマジでムカつきますw

ということで、仮想通貨だけに限りませんが、セキュリティ対策はしっかりとしておきましょう。

ちなみに、仮想通貨の勉強には下記の億り人になられたポインさんの書籍がわかりやすくておすすめです!

初心者にもわかりやすくICOの見分け方などが解説してあるので興味のある方は参考にしてみてください。

以上、bitFlyerに不正アクセスされ仮想通貨を不正送金されたお話でした。