仕事柄、セキュリティについてのニュースはチェックしていますが、今回は世間を騒がしたコインチェックについて私なりの感想を書きたいと思います。
コインチェック社は2018年1月末ごろにハッキングを受けて2月13日に金融庁へ業務改善命令に係る報告書を提出したことから記者会見を開きました。
コインチェック「事業続ける」「仮想通貨の出金は安全を確認し次第」
同社が預かっていた日本円の出金には応じ、仮想通貨の取引は外部のセキュリティ会社と確認後再開するとのことです。
詳細については捜査などもあるので詳細にはわからないのでここでは技術的な話は書きませんが、単純にやるべきセキュリティをしていなかったのかなと思います。
2018/2/14日時点で一番解説として秀逸だと思う記事を紹介します。
リモート作業可能とツイート
本日コインチェックは各自の判断でリモートワークOKにしてます☃
— 和田 晃一良 (@wadakooo) 2018年1月22日
ハッキングされる前に都内で雪が降ることがありましたが、その前にコインチェックの和田社長は上のような発言をします。
いまは高度な標的型攻撃が一般的になっているので、彼のような立場の人間がリモートアクセスで仕事をしているということを社内メールで通知するのは意味が分かりますが、ハッカーかもしれない人がみて自社がコントロールできないオープンな場でそのような業務連絡をすることがいいとは思いません。
このツイートのせいでハッキングされたとは思いませんが、私がコインチェック社を狙うハッカーであればこの情報から和田社長や社員のPCに潜入して標的型攻撃を行うことを考えつく可能性があると思いました。
実際のところは標的型攻撃は実行するまでに時間がかかるのでおそらくかなり前から準備していたのだろうと思います。
和田社長のツイートからは、セキュリティに関しての意識がとても高いとは思えません。セキュリティに気をつかうのであれば、Twitterなどせず社内メールやメッセンジャーのようなものを使うべきだと思います。
どのような対策をすればよかったのか?
断定はできませんが、おそらく特権アカウント管理と権限管理をちゃんとしていなかったのでないかと思います。あとは不正ログインを検出するような仕組みもなかったのでしょう。
わが社で扱っているような特権アカウント管理 RED IMを採用していればハッキングを防げたかと自信はありません。
発覚直後の2018/1/26日に記者会見していますが、自分たちでセキュリティが低かったから狙われたという認識はないといわれていますが、記者からも突っ込まれています。
「セキュリティが低かったから狙われたという認識ではない」と大塚氏はいうが、マルチシグを導入していなかったのはセキュリティが甘かったといわれても仕方がないのでは、と会場の記者が指摘する場面もあった。
私の感想としては、この記者会見に臨む前にもどういった手口で狙われたのかたとえ捜査中であっても一切説明がなかったこと、あとは先に紹介した和田社長のセキュリティ意識の低さが垣間見えるツイートからして「仮想通貨」レベルのセキュリティではなく、もっと基本的なところの対策ができていなかったとしか思えません。
なんらかのセキュリティ製品を入れていれば防げたわけではなく、ハッキングを想定したシステムの設計と運用ができていなかったからでないかと思います。
エンドユーザーとしての対策は
ホットウオレットでなくネットに接続しないコードウォレットにするべきだったという議論がありましたが、それだけで防げたとは思えません。
コインチェック「事業続ける」「仮想通貨の出金は安全を確認し次第」
コールドウォレットにも様々な種類があり、パソコンに保存していて、そのパソコンをネットワークから切り離しておけば、それでコールドウォレットだと言う人もいます。秘密鍵(暗号)を紙に印刷する「ペーパーウォレット」という方法もあります。しかし、両方ともセキュリティの専門家からすると安全ではありません。なぜなら簡単にUSBメモリや、コピー機を使って複製できてしまうからです。
外部からの不正アクセスに対しては、オフライン状態にしておくことは価値がありますが、取引所の統制を考えた時には、内部犯行や盗難というリスクにも対処しなくてはいけません。ハードウェアウォレットを金庫に閉まったり、入出金の際は複数人体制でやるとか、保管場所から勝手に持ち出そうとするとセンサーがアラートが発動するとか、そうした仕組みを作らないとダメでしょう。
この記事で指摘されている通り、重要な作業は一人の判断だけでなく、複数の人が承認することで一人だけの判断によるミスを防ぎ「誰が、いつ、どうして」そのような作業をしたか記録するような仕組みが必要だったのでないかと思います。
重要なシステムは必ず一人のユーザーの判断だけで作業が行えないようになっています。それがそもそも特権アカウント管理が必要とされている理由になります。
ハッカーはなぜ狙ったのかを考えると
既存の金融機関といまの仮想通貨取引所の大きな違いは大きく二つあると思います。
- 既存の金融機関に比べて歴史が浅く、金融庁などの監督するべき組織もちゃんとコントロールができていないこと
- 期待が大きいため多くのお金が集まっていること
この2点があると、犯罪者は既存の金融機関をねらうより簡単だと思ったのかもしれません。実際に世界中で仮想通貨の取引所が狙われ倒産しているところもあるようです。
どのように仮想通貨と付き合うべきか
仮想通貨はブロックチェーンなどの仕組みでセキュリティーが担保されていたとしても、実際のお金と仮想通貨を交換する取引所は既存の金融システムとは大きく変わるはずもなくそこにセキュリティをちゃんと施さなかったらハッカーに狙われるのはある意味当然だと思います。
今回の件で”コインチェック社 セキュリティ”で検索すると事件発覚前からセキュリティ問題について予言しているブログがいくつかありました。
私としては技術的なことは多くの人はわからないのでそれ以外の部分で判断するとなると取引所が金融のプロが経営に携わっているようなところじゃないとお付き合いするのは難しいのでないかと思いました。
コインチェック社の株主をしらべてみると金融に昔から携わっている会社や人物は私には確認できなかったのでそのような会社に大金を預けるのはリスクが高いと思いました。
あまり仮想通貨に対して批判的な言及は避けたいと思いますが、新しい仕組みなのでよく理解できないしされていない部分もあります。
今朝批判的な記事を読みました。
個人的には仮想通貨に対する理解のなさから怖くてできないですが、これから先大化けする可能性は否定できませんが、なくなってします可能性もあるので、大金ではなく万が一なくなってもいい金額での投資に抑えるべきでないかと思いました。
既存の金融機関と違い今のところペイオフみたいな制度はないので、その分リスクが高いことは理解したほうがいいと思います。
コメント