仮想通貨取引所『Zaif』不正APIキーによる出金被害が多発!利用者は不正アクセス対策を行おう

仮想通貨Zaifのアイキャッチ画像
スポンサーリンク

LIFE LOGSの天狗宇です。

現在、日本を代表する仮想通貨取引所の『Zaif』で不正出金被害が多発しているようです。

現状を簡単にまとめると

  • Zaifにて不正出金被害が多発している
  • Zaifの運営側は公式サイトにて発表、すでに認めている状態
  • 連絡が取れない(問い合わせが殺到していると予測されます)*1/10時点

 

連絡が取れないという噂がありましたが、恐らく単純に問い合わせが殺到しているものと思われます。

Zaifを利用している多くの方がTwitter上にて不安を呟いており、今後の対応が気になるところですね。バブル的に盛り上がっていた仮想通貨ですが、改めてリスクに関して考えさせられることになりそうです。

去年の12月にも不正アクセスの疑いがあったが事実ではないか

ビットコインを狙うハッカー

2017年の12月頃、Zaif取引所において似たような事例がTwitter上で報告されています。740万円を預けていたはずが40万円に残高が減っていたという呟きがありました。

それに対しTwitter上においてZaif社長は『そういった取引は見当たらない』と反論しています。今の状況が去年の12月と同様かは分かりませんが、今回の騒動を照らし合わせると予兆ともいえる出来事だったのではないでしょうか。

下記は『Zaif』公式サイトからの引用になります。

1.実行された不正出金
10名分のアカウントについて、合計37件の不正出金が実行されたことを確認

2.実行された不正取引
9名分のアカウントについて、合計137件の不正注文が発行されたことを確認

3.使用されたAPIキーについて
合計102個のAPIキーが使用され、そのうち18件が削除済みのAPIキーであることを確認
削除済みのAPIキーについては命令が実行されたものではなく、APIキーが無いエラーが返され、何も実行されておりません。
使用されたAPIキーの最も古いものは 2014年8月7日に作成されたもので、最も新しいものは 2016年6月11日に作成されたものでした。
削除済みのAPIキーについては、2015年10月22日に削除されたものが弊社バックアップで確認できる最も古いものでした。なお、APIキーの削除については、データベース上で物理削除を行っております。対象期間と思われる2016年6月12日までに作成されたAPIキーは、復元したバックアップなどを含め約1000件程度と推測しています。引用:Zaif公式サイトお知らせ

2018/1/10時点での不正出金の被害報告は『10名分のアカウントにおいて合計37件』の不正出金の事実を確認しています。

出金だけでも上記の件数ですが、不正取引は『9名のアカウントから合計137件』と大きな件数になっていますね。

スポンサーリンク

Zaifで使用された不正APIキーって何?結局何が原因なの?

APIとは端折って簡潔に言いますと『ソフトウェアの機能共有』や『インターフェース』などを指します。

『開発者向けAPI』という言葉を聞いたことがある方もいると思います。今回Zaifで不正出金被害が多発したのは、このAPIキーを不正に利用して取引や出金を行ったと考えられるでしょう。

今回のAPIキー不正出金の対策方法はあるのか

使用していないAPIキーの削除を行うことで不正取引の防止を行えます。やらないよりはやった方が良いと思います。

Zaifの『アカウントページ>各種サービス>開発者向けAPI』より、下記2点をチェックしてください。

  • 使用していないAPIキーの削除
  • APIキーの権限の見直し

過去にテスト的に作成し現在は使用していないAPIキー、他サービスサイトで入力を求められたものなど、不要かどうかわからない状態の場合は削除することを強く推奨とのことです。

参考:Zaif公式サイト・一部のお客様のAPIキーを不正使用した取引および出金のご報告と対策のお願い

スポンサーリンク

仮想通貨の出金先アドレスに制限を掛けて不正出金を防止する

立ち入り禁止のテープ

上記だけでは不安という方は、出金先アドレスに制限を掛けることで不正出金を防止する方法があります。

こちらは『出金先アドレス』を登録後、限定することによって不正送金を防止できます。簡単に言えば『指定された送金先以外には通貨を送らないぞ!』ということですね。

不特定のアドレスに送ることが出来なくなれば、不正アクセスや送金防止の効果が高いと言えます。

やり方は簡単『アカウントページ>入出金と履歴>各仮想通貨の出金ページ』に移動。

  • 仮想通貨の出金先アドレスの制限

自身が管理しているウォレット、利用している他取引所に定期送金を行っている方は、出金先アドレスを限定登録しておくと良いでしょう。

APIキーを利用した不正取引だけでなく『リスト型アカウントハッキング』も注意

TREZORとワードリスト

APIキーを削除、管理しておくだけでは安全とは言えません。APIキーを利用した不正取引は1月6日から7日未明ですが、1月9日にも別件で不正アクセスが発生しているからです。

ただし、1月9日は国内のIPアドレスから特定のアカウントのみ狙った単独的な犯行です。(連続で狙われたものではない)

単独的な不正アクセスの多くは『リスト型アカウントハッキング』と呼ばれる手法で行われます。

同じIDやパスワードをほかのサービスで使いまわしている人は、どこからか情報が漏れてしまう可能性が高いです。そのリストを利用してハッキングが行われるので『リスト型ハッキング』と呼ばれているんですね。

『通貨取引所のアカウントはあなたの大事な財産』ですから、パスワードの管理はしっかりと行い、二段階認証が存在するものは必ず設定を行っておきましょう。

スポンサーリンク

仮想通貨取引所『Zaif』不正APIキーによる出金被害のまとめ

今回は仮想通貨取引所『Zaif』の不正アクセス、不正取引に関して書いてみました。

Zaifは日本を代表する取引所なので、より強固なセキュリティやサービスを実現して欲しいですね。

『自分はZaifじゃないから大丈夫だった』と安心せずに、二段階認証やAPIキーの見直し、IDやPASSの使いまわしをしていないか一度見直してみてください。

取引所の落ち度は利用者にとってどうしようもないですが、自分で行える不正対策は行っておいた方が良さそうですね。

スポンサーリンク

最新スマホゲームおすすめ

仮想通貨Zaifのアイキャッチ画像