Zaifのイメージ画像

仮想通貨取引などを手掛ける「Zaif」は1月初旬に相次ぎ発生した不正出金・不正注文について10日時点の報告をまとめた。

トラブルは判明している範囲で1月6~7日と、1月9日の2度にわたり、それぞれ別件。


まず6日から7日未明にはZaifと外部との連携をつかさどる「APIキー」の不正利用があったことが分かっている。結果として10人分の口座(アカウント)から合計37件の不正出金、さらに9人分の口座で合計137件の不正注文が見つかった。海外のホスティング会社のものと思われる4つのIPアドレスからの接続を確認している。

合計102個のAPIキー利用があったが、そのうち18件は削除済みのもので何も起きなかった。APIキーのうち最も古いものは 2014年8月7日、最も新しいものは2016年6月11日に作成。削除済みのAPIキーについては、2015年10月22日に消したものが、確認できる最も古いものだった。対象期間とおぼしき2016年6月12日までに作成済みのAPIキーは合計約1,000件程度とZaifは推測している。

APIキーの漏洩経路については、まだ特定できていない。ZaifはAPIキーのうち、不正利用があったもの、2016年6月12日以前に作成のものについて出金ができないよう権限を削除し、今後の不正利用を防止するため、APIキーの見直し、出金制限の要望をブログやメールで客に連絡した。また捜査機関へ連絡し、該当する客に聞き取りを行うべく準備中。

9日にはまた不正なアクセス、出金について連絡があった。そのため9日午前11時すぎに仮想通貨の出金処理を停止したが、調査により国内のIPアドレスから接続があり、特定の口座が標的になったもので、連続的なものではないことを確認した。

これはAPIキーの不正利用と関連しているとは考えにくいと判断し、午後14時過ぎに仮想通貨の出金処理を再開した。ただし安全のため客ごとに新たなアドレスへの出金についてはいったん停止した。客が新たなアドレスへ出金しようとしてエラーと表示があった場合は、Zaifのサポートまで連絡するよう呼びかけている。

Zaifは再発防止策としてAPIキーを利用する際、客ごとにIPアドレスホワイトリストを登録できるようにする。APIキーの不正利用について、IDS、IPSによる検知と防止を行う。また客との対話と調査、捜査機関との連携を通じ事件解決をめざすとしている。