のんびり生きてます/これから何をしましょうか?

「はやり」の波に乗ってみようと思っています。その挑戦と経過と結果を紹介しようと思っています。

★スポンサー

仮想通貨を盗まれた!

脆弱性 豆知識 仮想通貨 我が家

被害額は0.1ビットコイン。16万円が8万円に減ってた時期でした。

 

時系列に(時間の流れで書きます)

ここでも書いてきたのですが、コインチェックを使って仮想通貨を買ってました。そのときに使ってたメールアドレスはAアドレス。

 

セキュリティは、コインチェックおすすめの二段階認証もセットしました。二段階認証はスマホでのみ利用可能(指定された要件に対応することが可能)です。

 

家計から約16万円。おこづかいからも2万円くらいだと思いますが、買ってました。

 

最初の異変

いつもは使わないメールアドレスBに、メール管理会社から『いつもと違うログインが確認されました』とのお知らせが届きました。ログイン履歴を確認すると、確かに中国からログインされてました。すぐにパスワードを変更し、それ以降はログインされなくなりました。

 

2度目の異変

メールアドレスAでも、見かけないログイン履歴が見当たります。いつもはIDでログインしてるのに、別の方法でログインした履歴です。とはいっても、専門家ではないわたしは内容をよく理解できなかったため、そのまま放置してしまいます。もしかしたら、メーラーからとか、何か気づかないうちにそのログインしちゃったかな?くらいでした。

 

スマホを修理見積もりに出して初期化

スマホの電池が減るようになったので、スマホを修理に出しました。修理には初期化が必要なので、コインチェックの二段階認証も初期化しました。一時的にパスワードのみでのログインのみになってました。

 

スマホの修理には3万円もかかるということで、修理はパス。返品してもらいました。

 

コインチェックの二段階認証を再設定し、二段階認証コードをメールアドレスCからAに送りました。メールアドレスCはAのドメインからのメールを拒否していたので、AからCには遅れないための措置です。

 

そして盗まれた。

その日、朝に仮想通貨が存在することを確認しました。

 

気がついたのは、夕方の帰宅時。電車に乗ってコインチェックのアプリを確認したけど、表示されない。いや、表示されるけど0円。

 

あれ?サーバー止まってる?UQmobileの低速だから?

 

ということで、高速モードにしますが、状況は変わりません。となれば、Webから確認です。

 

コインチェックをホームページは正常に運用されてるし、ログインもできる。

 

そして、0円は間違いないことに気づきます。

 

確認作業

コインチェックにはログイン履歴を確認する機能があるので、Webからチェック。朝に見覚えのないログインが。

 

ここでメールの不正ログインを思い出します。Webからメールのログイン履歴を見ると、前の見覚えのない方法でのログイン履歴がコインチェックへのログインの直前に見当たります。

 

仮想通貨は全て数分でビットコインに変えられ、外部に送金されます。送金もあっという間に終わり、1円どころか0.01円さえ残らず、送金の手数料もピッタリに抜き取られました。

 

やられた。ここでやっと全貌が想像できました。

 

★スポンサー

 

 

原因

メールアドレスとコインチェックのパスワードが何らかの方法での犯人に知られます。総当たりなのか、辞書なのかは分かりませんが。

 

さらに、このパスワードは同じものを使ってました。片方が分かれば、他にもとりあえず使ってみよう、からスタートするのも納得です。だからこそ危険です。バカ野郎です。

 

そして、問題は二段階認証。先に書きましたけど、このメールアドレスA宛に二段階認証のコードを送ってます。

 

大問題なのは、送り先もそうですけど、メールをサーバーに残す設定にしていたことです。

 

最近は家のパソコンを触る機会がないため、メールはサーバーに残すようにしてました。

 

つまり、二段階認証のコードがサーバーに残ってます。メールを読み取ればパスワードとこれを利用してコインチェックを使い放題になります。

 

設定で、ログインや送金などを行うとお知らせメールが来る設定もできたのですが、やってませんでした。メールは盗まれてないと思い込んでいたのが不覚でした。

 

そういうわけで、盗まれた経緯でした。

 

今後の対応

 

警察に被害届を出しにいきました。

 

ところが、警察は素っ気ない対応。

 

あくまで警察官の説明ですが、被害届を出せるのは、盗難に会ったその会社のみ。所有者が被害を受けてないため、被害届は出せなくて、不正アクセスの法律でそうなってるとのこと。

 

また、仮想通貨取引会社とユーザーの規約で、保証はされないだろうとの予想を説明されましたが、まさにそのとおり。正規の取引で盗難された場合、コインチェックは保証しない。補償しない。

 

ちなみに、ビットフライヤーも同じです。ただし、ビットフライヤーの場合は補償制度があるので、もしかしたら補てんされるかもしれませんが、これが第3者による不正ながら正規の取引判定になる不正送金ならダメなのかもしれないです。

 

対策

とりあえず、対策しました。

  • 使用中のサービスのメールアドレスのパスワードは全てバラバラにし、登録し直し
  • 二段階認証をやり直し

コインチェックはもう0なので無意味ですが、他のサービスもやり直しました。

 

と、お粗末なパスワード管理、ログイン管理によって現金を盗まれたという、お恥ずかしいお話をご紹介でした。

 

仮想通貨の運用についての記事は、これにて終了となります。なくなっちゃったので。

 

流行にのらなくていいところで乗ってしまいました。残念で仕方ないです。

 

警察が犯人を捕まえてくれることを祈ってます。

 

bokeboke

 

★スポンサー