仮想通貨アナライズ

エンジニア視点で仮想通貨について考察するブログ

くろしば大注目の NANJ は CoinExchangeで買えます

カテゴリ: 所感・考察

logo-nem

しばらく沈んでいた NEM が本日 12% アップ、40円代にもどってきましたね!

コインチェックからの返金処理も本日行われたみたいで、NEM が買われるのではないかとの期待あげではないかと思います!

1 XEM = 88円 の補償なので、ガチホ勢からすれば今 NEM を買い直せば約2倍の枚数に出来るわけですね!
流出事件直後に結構さがったんで、2倍まではいかないかな?
でも、買い戻す流れができれば、価格は上がっていくでしょう!

以前、NEM の記事を書きましたが、NEM は悪くない。
今後の発展に期待したいですね!

コインチェックも事業再開に向けて動き出しているみたいですし、仮想通貨界隈の冬はやっと終わりをつげようとしています。
ビットコインの価格もここ数日で爆上げ。なぜかノーポジでしたけどね…w

次に気になるのは G20 でどのような話がでるかでしょうか。
今は正直、まだまだ無法地帯みたいなところがあるので、しっかりルール作りをして仮想通貨をとりまく環境を整備して欲しいです!

LOGO_20170131
コインチェックからのNEM流出 発表された調査結果の疑問点
https://news.yahoo.co.jp/byline/kusunokimasanori/20180309-00082525/

コインチェックの発表について楠正憲氏の記事を読みましたので私も考察してみようと思います。
元記事の見出しを引用させていただき、その見出しの記述に対して考察を書いていきます。

なぜ端末がマルウェアに感染しただけで本番システムに入れたのか

普段、AWSを管理している端末がマルウェアに感染したのならば、AWSサーバへの通信経路的なアクセス制限(IPアドレスによる制限)は回避できますね。
あとはサーバーへのログインですが、一般的にはサーバには SSH (エスエスエイチ) と呼ばれる通信内容が暗号された通信ソフトを使用することが多いです。
キーロガーでパスワードを取得した、もしくは SSH 秘密鍵ファイルを盗んだのかもしれません。

マルウェアに感染ということで、端末の OS は Windows の可能性が高そうですね。
Windows の一般権限のユーザではなく管理者権限のユーザを普段使っていたのかもしれません。

不審なファイルは開かない、不必要に高い権限のユーザを使わない、大事です!

なぜウォレット・サーバーの秘密鍵を簡単に窃取できたか

通信傍受して秘密鍵が漏れたということで、通信経路が暗号化されていなかった可能性が高いです。
となると、もしかしたら FTP で秘密鍵をサーバに転送していたのかもしれません。
Linux であれば scp (SSH を使うサーバ間をファイルコピーできるコマンド) がすぐに思いつきますが、Windows であれば WinSCP など SSH クライアントとは別ソフトになります。
まさか、FFFTP とか使っていたのでしょうか。

秘密鍵の窃取よりもAPIで偽の送金指示を出す方が容易

これはその通りです。
念の為に API (エーピーアイ)とは何かというと、アプリケーションの窓口と思ってもらうとよいです。
API(窓口)に対して様々な命令、パラメータを与えることで、外部からアプリケーションを動かすことができるのです。

ですが、インターネットから飛んで来る命令、パラメータは常に仕様通りではなく、悪用するために不正なパラメータが与えられることが多々有ります。
API を実装する側は、正しい送信元かどうかを検証したり、パラメータをチェックしたりして不正アクセスを遮断するように注意しなければなりません。
チェックが甘いと不正な操作を許してしまいます。

例えば、ホームページ等にあるフォームでラジオボタンとかチェックボックス、プルダウンメニューとかありますよね。
予め用意された選択肢以外の値は送信できなさそうに見えますが、そんなことはありません。何でも送信し放題です。
フォーム作成者は、このような不正な値を拒否する実装をすることが求められるのです。

なぜ犯人は小出しに間隔をあけて出金したのか

10 XEM のあとに 1億 XEMってすごいですよね。
10 XEM のあとに 1000XEM とかなら慎重に盗んでいるように見えますが、いきなり1億 XEM って大胆すぎます。
GOX リスクを避けるために 10XEM でテスト送金、成功したらから 1億 XEM を送ったと予想しています。

犯人がリスク検知エンジンでの監視を意識していた可能性

監視を意識していたら 1億 XEM は送金しないでしょうね…。
バレてもさっさと送ってしまえば取り返すことができないと考えたのではないでしょうか。
もし意識していたら、少しづつ送金するのでは?と考えます。

途中から「いつ発見されるか」を意識しはじめた犯人

確かに拍子抜けだったんじゃないかと思いますね…。
どこから送金処理を実行したのか分かりませんが、AWS サーバ内であれば、サーバのログを見ながら送金していたのかもしれませんね。

秘密鍵よりも保護が難しく攻撃の容易なAPIアクセス

上の項目でも書きましたが、API というのはその性質上狙われるリスクが高く不正なアクセスを防ぐように実装しないと悪用されます。
ただ、ここでいう API が外部に公開されたものではなく社員が使う前提のものであれば、社員なら悪さはしないだろうと、チェックの甘い実装になっていた可能性は考えられます。
AWS サーバも不正侵入されることを考慮しておらず、重要ファイルのアクセス制限が甘い設定だった可能性も考えられますね。

マルウェアを使って端末を乗っ取たのであれば簡単に盗むことができたのかもしれません。

再発防止にはAPIの保護と出金指示の確認が必要では

便利を優先すればセキュリティは低下するので、まずは外部への API 公開は停止ですかね。
API 仕様および実装を見直す必要もあると思います。
リスク検知エンジンもそうですね。異常な出金の検出、保留はあるべきでしょう。

あと、メールの添付ファイルは開かないとか基本的な社員の教育も必要かな。
いくらシステムを組んでも使うのは人間ですから、この意識は変えていかなければなりません。
強力な扉を作っても、その鍵が扉の前に置いてあるような運用ではダメなのですから。

事件を教訓とすべく業界全体の再発防止に資する情報開示を

3度目の事件を起こさぬよう仮想通貨業界にはがんばってもらいたいものです。
金融庁も本腰入れて調査しているようですし、今後の改善を期待します!


しかし、AWS サーバ使うとは…。
Amazon の中の人もクラウドサーバに億単位の価値のあるデータが格納されているとは思わないでしょうね…。

5aef269283b67c5554608b604cd74dc8_s

ビットコインを始めとする仮想通貨がブームとなり、通貨以外にもブロックチェーン上で動くアプリケーションが出始めるなど、ブロックチェーン技術は広まりつつ有りこの流れを止めることができないでしょう。

非中央集権、分散化して停止しないサービス、改ざんされないデータ。
非常に有用な未来が待っていると思います。

ですが!技術は常に悪用されるという悲しい面もあるのです。

技術悪用例
  • 電子メール
単純なプロトコルのため相手にメッセージを送ることが非常に簡単。人間以外からでもコンピュータから送信する処理も簡単に作れる。
単純なプロトコルが故に偽装も簡単。今の迷惑メールの惨状を見れば、状況の説明は不要でしょう。

  • 暗号技術
ファイルを暗号化することで安全に情報をやり取りできる技術。ブロックチェーンにも採用されています。
そんな素敵な技術も悪用されて、ランサムウェアとなり他人のファイルを暗号化して人質にとり、復号化する代わりにお金を要求する事件が何度も起きてしまいました。

このように技術は常に悪用されることも考慮し、エンジニアでない人でも気を付けねばなりません。

ブロックチェーンを悪用する?

ブロックチェーンの特徴を悪用した事件が今後起こる可能性が有ります。
ブロックチェーンは悪くないです。革新的な技術なので否定しません。
ですが、新しい技術は悪用されるリスクを考慮し適切に対応する必要があると思うのです。

例えば、悪用されるシナリオ例として、自分にとって不名誉な情報、公開してほしくない情報をブロックチェーン上に投げられて、投げた犯人が秘密鍵を捨てたとしたらどうですか?

非中央集権、分散化して停止しないサービス、改ざんされないデータという特徴が完全に裏目に出て決して消えることの無い状態に陥り、ずっとその情報と向き合って生きていかなければなりません。

防衛は今すぐはじめよう

ブロックチェーン技術はまだまだこれからですが、今からこのような悪用の被害に合わないよう、情報管理は徹底することをオススメします。

安易に何でも情報公開をしないようにすること。SNS などに投稿するときは、それが消せなくなっても問題ないか今一度考えておきましょう!

db383ffea6dab3c66ab504b2c640b4f6_s

ビットコインの値段がどんどん下がり重い雰囲気の仮想通貨界隈にちょっと良いニュースです!

ついにRippleのブロックチェーン技術が我々の手の届くところに登場します!

ブロックチェーン活用の個人送金アプリ「Money Tap」、りそな銀など先行商用化へ
http://www.itmedia.co.jp/business/articles/1803/07/news114.html


Q.「仮想通貨はオワコンですか?」
A.「いいえ、始まってもいません。」

そんな問答を幾度も見てきましたが、ついに始まる時が来ましたね!
ブロックチェーンはインターネットに投げたデータが信用できるという革新的な技術です。
これからの生活に欠かせないものになるのは間違いないでしょう。


あともう一つ、ちょっとネタに近いけどこちら!w

pac_20180307
PAC コインが大暴騰!!

からくりは、CoinGecko にて、旧 PAC から新 $PAC へ価格情報が移行しただけなんですがw
5万%以上なんてまず見ること無いのでピックアップしちゃいましたw

logo-nem

私は NEM ホルダーです。ホルダー歴は3ヶ月ぐらいです。

最初に見かけたのはコインチェックで。2017年12月。当時は20円代でした。
仮想通貨に参入して間もなかったので、意味も分からずとりあえず安そうだから買ってみよう!と思い、少し買いました。

2017年の年末が近づくにつれ値段がじわりじわりと上がっていきました。
そしてカタパルトなる実装を控えていることを知り、今後の価格上昇に期待がもてそうだ!
チャートもまったく見ず(というか当時は見方も知らない)正直、雰囲気でそこそこの枚数を買いました。

2018年の年始には200円に到達し、ポートフォリオアプリを毎日ニヤニヤ見ていました。
この時期は買った他の通貨も含めてどんどん価格が上がりましたので、もしかして2018年の年末には億り人?なんて舞い上がっていました。

が…。1月の各国の規制ムードでの価格下落。
どうせ一時的なものだろう。仮想通貨は定期的な価格変動があるんだと、素人考えでがっちり握りこんでいました。

そして起きてしまったコインチェック流出事件。
流出事件での一連の動きはまるで映画のようでした。
仮想通貨は取引履歴が見えるから送金が追いかけられるんだ!さらに NEM の機能(モザイク)を使って目印まで付けられるなんて!すごい!
価格は下がっていきましたが、初めての出来事だらけで、さらに握りこんでいました。
早期解決して価格は戻るはずだと思いました。

でも、盗まれた通貨を取り戻すのは難しかったようで、2018年3月現在でも未解決。
ダークウェブで販売されたり取引所に送金されたり、事件収拾しばらく掛かりそうです。
そうこうしているうちに、NEM 資産は 1/3 程度に激減。完全に手遅れ状態になっていました。

自分の行動を振り返ってみて

初心者にありがちな、高値で握りこむ、という判断をしてしまったこと。
200円代の時に、半分でも利確しておけばよかったと思います。

購入時期を分散しなかったのも間違いでした。
全体の購入予定金額を例えば6等分して、毎月1/6ずつ買うやりかたでもよかったです。
ドルコスト平均法というやつですね。先人の知恵に耳を貸さなかった私のミスです。

コインチェックから NEM が流出した時は Zaif に NEM を送金していました。
取引の手数料が安いからという理由だったんですが、偶然、難を逃れたのでした。

NEM にはカタパルト実装や、mijin という好材料があったのですが、騒動が落ち着くまで離れて見ればよかったのだと思いました。
通貨として問題なければまた買い戻せばよいので、価格下落と共に自分の資産を減らす必要は無かったです。

今は、再浮上を信じてもうしばらく持ち続けようと思います。
実店舗での利用もあるようですし、大企業との提携なんて話も聞きました。
ツイッターで時々見かける言葉ですが、NEM は悪くない。
そのとおりだと思います。

エンジニア視点で外野から思うこと

私は仮想通貨のエンジニアではありません。
今後は旧式になっていくかもしれないサーバーサイドの事情を知る者です。
そんな者が勝手な憶測で書くので関係者の方々、事情を知る方々からお叱りを受けるかもしれませんが、エンジニアとして思ったことを書かせていただきます。

ハードフォークをしなかったのはミスだと思います。

流出時にコインチェックの管理体制に問題が合ったのは同感なのですが、技術的な正しさを優先したがために運用面での問題を抱えることになってしまったと思います。

ちょっと NEM から話が外れますが、運用をしていると常に技術的に正しい選択肢を取れないことが有ります。
ミドルウェアや OS のアップグレード、脆弱性の対応などなど、本来はすべて対応するべきですが、実際はそうも行きません。
また、インターネットのいろんなサービスは RFC という平たく言えばルールがあって、これに沿っていろいろな取り決めがあるんですが、これも実際、記述されたとおりにはできないのです。

例えば、メールアドレスにはコメントを入れたりできるのですが、実際はそんなメールサービスはありません。特殊文字が運用上問題となる場合が多く、対応しきれないのです。

他にも例を上げればいろいろあるのですが、技術的に正しいことを運用しようとすると相当の労力が必要になります。

今回の NEM 流出では、盗まれた NEM が送りつけられた時の対応を全ての NEM ホルダーに要求する結果となったと考えます。
もしも、企業間で構築された NEM のシステムに送りつけられたら?ある日、自分のウォレットに送りつけられたら?適切に対応できますか?
運用ルールはシンプルな方がよいのです。関わる人が多ければ多いほどシンプルなものが求められます。

なので私は、技術的には正しくはないですが、ハードフォークが正解だったと思います。
盗まれた NEM は無かったことになるし、運用もシンプルになります。

最後に

アンチ NEM みたいな文章になってしまいましたが、私は NEM ホルダーであり、まだ売らずに持っているつもりです。
あまりにも価格的に厳しくなるまでは、頑張って持っておきます。

NEM をよく知る方からすれば内情も知らずにコメントするなと言われるかもしれませんが、この文章は私の素直な気持ちです。

実際に利用できる店舗があるなど NEM は利用は進んでいるようなので、今後の好材料に期待して応援したいと思います。

長文駄文失礼いたしました。

↑このページのトップヘ