仮想通貨アナライズ

エンジニア視点で仮想通貨について考察するブログ

くろしば大注目の NANJ は CoinExchangeで買えます

2018年03月

72c2ac02f0693c4bbd2cac0aee9536e2_s

またやっちゃいました。
たった一週間で BTCFX 用資金がほとんどなくなってしまいました…。

あまりにも悲惨なので、ツイッターのアカウント名をこげしばに変えてしまいましたw

最後の賭け…じゃないんですが、最後の砦として、BitMEX に挑戦することにしました!
レバレッジ最大100倍!!!ってのはやらないんですけど、戦うフィールドを変えてみるのもよいかなと思いまして…。

今回のミスの心の傷が癒えたら、ビットバンクトレードでの成績を公開してみようかなと思いますw

では、また来週からがんばります!!

2f55ab9798aeacdf383e2611b7b390e5_s

ブログを本気で頑張ろうと決意したので独自ドメイン coin-analyze.xyz を取りました!
ちょっと前に取得したので、名前解決にちょっと不備があるかもしれませんが、多分1時間後には問題なくアクセスできると思います!

仮想通貨、ブロックチェーン技術はこれから無くてはならないものになりますし、エンジニアとして避けては通れない技術だと思っていますw

従来型…になってしまう、サーバクライアントモデルのエンジニアですが、ブロックチェーンにも慣れていきたいと思いますし、自分が今まで経験してきた事項、特にセキュリティ関連の事項について、ブログで発信していきたいです!

仮想通貨アナライズ coin-analyze.xyz を宜しくお願いします!

LOGO_20170131
コインチェックからのNEM流出 発表された調査結果の疑問点
https://news.yahoo.co.jp/byline/kusunokimasanori/20180309-00082525/

コインチェックの発表について楠正憲氏の記事を読みましたので私も考察してみようと思います。
元記事の見出しを引用させていただき、その見出しの記述に対して考察を書いていきます。

なぜ端末がマルウェアに感染しただけで本番システムに入れたのか

普段、AWSを管理している端末がマルウェアに感染したのならば、AWSサーバへの通信経路的なアクセス制限(IPアドレスによる制限)は回避できますね。
あとはサーバーへのログインですが、一般的にはサーバには SSH (エスエスエイチ) と呼ばれる通信内容が暗号された通信ソフトを使用することが多いです。
キーロガーでパスワードを取得した、もしくは SSH 秘密鍵ファイルを盗んだのかもしれません。

マルウェアに感染ということで、端末の OS は Windows の可能性が高そうですね。
Windows の一般権限のユーザではなく管理者権限のユーザを普段使っていたのかもしれません。

不審なファイルは開かない、不必要に高い権限のユーザを使わない、大事です!

なぜウォレット・サーバーの秘密鍵を簡単に窃取できたか

通信傍受して秘密鍵が漏れたということで、通信経路が暗号化されていなかった可能性が高いです。
となると、もしかしたら FTP で秘密鍵をサーバに転送していたのかもしれません。
Linux であれば scp (SSH を使うサーバ間をファイルコピーできるコマンド) がすぐに思いつきますが、Windows であれば WinSCP など SSH クライアントとは別ソフトになります。
まさか、FFFTP とか使っていたのでしょうか。

秘密鍵の窃取よりもAPIで偽の送金指示を出す方が容易

これはその通りです。
念の為に API (エーピーアイ)とは何かというと、アプリケーションの窓口と思ってもらうとよいです。
API(窓口)に対して様々な命令、パラメータを与えることで、外部からアプリケーションを動かすことができるのです。

ですが、インターネットから飛んで来る命令、パラメータは常に仕様通りではなく、悪用するために不正なパラメータが与えられることが多々有ります。
API を実装する側は、正しい送信元かどうかを検証したり、パラメータをチェックしたりして不正アクセスを遮断するように注意しなければなりません。
チェックが甘いと不正な操作を許してしまいます。

例えば、ホームページ等にあるフォームでラジオボタンとかチェックボックス、プルダウンメニューとかありますよね。
予め用意された選択肢以外の値は送信できなさそうに見えますが、そんなことはありません。何でも送信し放題です。
フォーム作成者は、このような不正な値を拒否する実装をすることが求められるのです。

なぜ犯人は小出しに間隔をあけて出金したのか

10 XEM のあとに 1億 XEMってすごいですよね。
10 XEM のあとに 1000XEM とかなら慎重に盗んでいるように見えますが、いきなり1億 XEM って大胆すぎます。
GOX リスクを避けるために 10XEM でテスト送金、成功したらから 1億 XEM を送ったと予想しています。

犯人がリスク検知エンジンでの監視を意識していた可能性

監視を意識していたら 1億 XEM は送金しないでしょうね…。
バレてもさっさと送ってしまえば取り返すことができないと考えたのではないでしょうか。
もし意識していたら、少しづつ送金するのでは?と考えます。

途中から「いつ発見されるか」を意識しはじめた犯人

確かに拍子抜けだったんじゃないかと思いますね…。
どこから送金処理を実行したのか分かりませんが、AWS サーバ内であれば、サーバのログを見ながら送金していたのかもしれませんね。

秘密鍵よりも保護が難しく攻撃の容易なAPIアクセス

上の項目でも書きましたが、API というのはその性質上狙われるリスクが高く不正なアクセスを防ぐように実装しないと悪用されます。
ただ、ここでいう API が外部に公開されたものではなく社員が使う前提のものであれば、社員なら悪さはしないだろうと、チェックの甘い実装になっていた可能性は考えられます。
AWS サーバも不正侵入されることを考慮しておらず、重要ファイルのアクセス制限が甘い設定だった可能性も考えられますね。

マルウェアを使って端末を乗っ取たのであれば簡単に盗むことができたのかもしれません。

再発防止にはAPIの保護と出金指示の確認が必要では

便利を優先すればセキュリティは低下するので、まずは外部への API 公開は停止ですかね。
API 仕様および実装を見直す必要もあると思います。
リスク検知エンジンもそうですね。異常な出金の検出、保留はあるべきでしょう。

あと、メールの添付ファイルは開かないとか基本的な社員の教育も必要かな。
いくらシステムを組んでも使うのは人間ですから、この意識は変えていかなければなりません。
強力な扉を作っても、その鍵が扉の前に置いてあるような運用ではダメなのですから。

事件を教訓とすべく業界全体の再発防止に資する情報開示を

3度目の事件を起こさぬよう仮想通貨業界にはがんばってもらいたいものです。
金融庁も本腰入れて調査しているようですし、今後の改善を期待します!


しかし、AWS サーバ使うとは…。
Amazon の中の人もクラウドサーバに億単位の価値のあるデータが格納されているとは思わないでしょうね…。

5aef269283b67c5554608b604cd74dc8_s

ビットコインを始めとする仮想通貨がブームとなり、通貨以外にもブロックチェーン上で動くアプリケーションが出始めるなど、ブロックチェーン技術は広まりつつ有りこの流れを止めることができないでしょう。

非中央集権、分散化して停止しないサービス、改ざんされないデータ。
非常に有用な未来が待っていると思います。

ですが!技術は常に悪用されるという悲しい面もあるのです。

技術悪用例
  • 電子メール
単純なプロトコルのため相手にメッセージを送ることが非常に簡単。人間以外からでもコンピュータから送信する処理も簡単に作れる。
単純なプロトコルが故に偽装も簡単。今の迷惑メールの惨状を見れば、状況の説明は不要でしょう。

  • 暗号技術
ファイルを暗号化することで安全に情報をやり取りできる技術。ブロックチェーンにも採用されています。
そんな素敵な技術も悪用されて、ランサムウェアとなり他人のファイルを暗号化して人質にとり、復号化する代わりにお金を要求する事件が何度も起きてしまいました。

このように技術は常に悪用されることも考慮し、エンジニアでない人でも気を付けねばなりません。

ブロックチェーンを悪用する?

ブロックチェーンの特徴を悪用した事件が今後起こる可能性が有ります。
ブロックチェーンは悪くないです。革新的な技術なので否定しません。
ですが、新しい技術は悪用されるリスクを考慮し適切に対応する必要があると思うのです。

例えば、悪用されるシナリオ例として、自分にとって不名誉な情報、公開してほしくない情報をブロックチェーン上に投げられて、投げた犯人が秘密鍵を捨てたとしたらどうですか?

非中央集権、分散化して停止しないサービス、改ざんされないデータという特徴が完全に裏目に出て決して消えることの無い状態に陥り、ずっとその情報と向き合って生きていかなければなりません。

防衛は今すぐはじめよう

ブロックチェーン技術はまだまだこれからですが、今からこのような悪用の被害に合わないよう、情報管理は徹底することをオススメします。

安易に何でも情報公開をしないようにすること。SNS などに投稿するときは、それが消せなくなっても問題ないか今一度考えておきましょう!

72c2ac02f0693c4bbd2cac0aee9536e2_s

ここ数日の大暴落に見事に巻き込まれ、資産を大きく減らしたくろしばです。
もうBTCFXをやめようかと思ったんですが、最後のチャンスを試したいと思います!

直近のミスは、大きな下げトレンドの中、ロングでエントリーしてしまったこと。
バイナンス事件が早期解決したように見えたのできっと上がると踏んでいました。
さらに、それを見越して、こんな値段までは下がらないだろうと思ったロングが刺さりかつそこから大幅下げという展開で、また焼かれてしまったのでした…。

短期で稼げるのは熟練のプロだけなのです。
ツイッターにアップされる爆益のスクリーンショットはプロの技があってこそ。
我々初心者は真似できないのです。
なので、年位のながいスパンで、今まで失った資産を取り戻していきたいと思います。

ひとまず、昨晩エントリーしたロングは無事プラスとなりました。
ビットコインバブルはもう終わりました。これからは、コツコツ行きましょう!

btcfx_20180310

↑このページのトップヘ