チャットしかまともじゃない国内仮想通貨取引所「Zaif」でAPIキー不正利用による出金被害。キー流出元は不明なものの10人が出金被害に

Tweet

Pocket

Zaif

価格変動が大きくなり

ここぞ！！というタイミングで

取引用のサーバーは死ぬもののなぜかチャットだけは動いていることで有名になりつつある

Zaif

 

APIキーの不正利用

そんななかで1/6・7あたりに

APIキーが不正に利用され、出金される被害がでていたようです。

1月6日から7日未明にかけて発生したAPIキーの不正利用、および1月9日に報告された不正アクセスおよび不正出金に関するご報告 | Zaif Exchange

キーの流出元は現時点では不明となっているようですが
そもそもAPIキーがあること自体があまり知られていないサービスで
100件ものキーが不正に操作されたことを考えると

なにかしらキーを推測できたか
そのキーを入力するサービスがあったと思われます。

【被害の発生状況について】
１．実行された不正出金
10名分のアカウントについて、合計37件の不正出金が実行されたことを確認

２．実行された不正取引
9名分のアカウントについて、合計137件の不正注文が発行されたことを確認
15名分のアカウントについて、合計137件の不正注文が発行されたことを確認
※2018/01/10/18:30修正、公開時9名分としていましたが、15名分の誤りでしたので訂正いたします

３．使用されたAPIキーについて
合計102個のAPIキーが使用され、そのうち18件が削除済みのAPIキーであることを確認
削除済みのAPIキーについては命令が実行されたものではなく、APIキーが無いエラーが返され、何も実行されておりません。
使用されたAPIキーの最も古いものは 2014年8月7日に作成されたもので、最も新しいものは 2016年6月11日に作成されたものでした。
削除済みのAPIキーについては、2015年10月22日に削除されたものが弊社バックアップで確認できる最も古いものでした。なお、APIキーの削除については、データベース上で物理削除を行っております。
対象期間と思われる2016年6月12日までに作成されたAPIキーは、復元したバックアップなどを含め約1000件程度と推測しています。

【アクセス元について】
海外のホスティング会社のものと思われる4つのIPアドレスからの接続を確認

【APIキーの漏洩経路の特定について】
弊社内でのデータベースダンプの扱いを含め、あらゆる精査を行っておりますが、現時点では特定に至っておりません。ただし、下記対応により新たな不正取引および不正出金は観測しておりません。

Zaifってどうなん

Zaif自体も
本人確認書類が届かない

アフィリエイトで会員を紹介したのに紹介した分が承認されない

振込が反映されない(これは金融機関との取引件数の問題らしい)

など国内事業者だからと言って安心はできない雰囲気がひしひしとしている。

Tweet

Pocket