GateHubから10億相当のXRPが流出

ロンドンが拠点の仮想通貨取引所GateHubから10億円相当のXRPが流出したことがわかりました。

この流出のニュースに「またか」と思われた方も多いかもしれません。

しかし、今回のGateHubの流出事件はこれまでの仮想通貨取引所の流出事件とは少し様子が異なり、これまでの流出事件の時のように、通貨の送金に使用する「秘密鍵」が盗まれて流出したわけではないようです。

犯人はどうやって、また何の情報をもとにXRPを盗み出したのでしょうか。

GateHubのXRP流出事件の経緯について詳しくご説明しましょう。

GateHubからXRPが盗まれる

画像引用：GateHub

2019年6月6日、イギリスのウォレットサービス・プロバイダGateHubは公式ブログを更新し、GateHubユーザーの仮想通貨XRPが流出したことを発表しました。

XRPの流出に気づいたのは、ユーザーからのクレームがきっかけとのことです。

ただし被害者のアカウントへの疑わしいログイン履歴が検出されなかったこと、それに総当たりでパスワードが入力されたような形跡がなかったため、「GateHub自体に盗難を助長したような行動は確認されなかった」としていました。

しかし翌6月7日に更新されたGateHubのブログでは「ユーザーのアクセストークンを保持しているデータベースへ犯人が侵入した」としており、GateHubのセキュリティが突破されたことがわかりました。

被害が確認されたXRP Ledgerのアカウント数は103個とのことですが、GateHub側は公式には被害額を公開していません。

盗まれたアクセストークンとは

アクセストークンとは業者側がユーザーを識別するための情報のことをいい、ここでは二段階認証時に入力する認証トークンを発行するための情報を指します。

仮想通貨取引所では「仮想通貨取引所へアクセスした人物が契約者本人であるか」を確認するために、IDとパスワード以外に「数十秒ごとに更新される6桁の認証コード」を利用者に入力させるようにしています。

第三者が「6桁の認証コード」を入力するには非常にハードルが高いため、不正アクセスを防ぐための有効な手段として二段階認証が広く用いられています。

しかし今回XRPを流出したGateHubでは「6桁の認証コード」を発行するための管理情報が盗まれており、犯人側もリアルタイムで「6桁の認証コード」がわかる状態になっていたようです。

これでは、ユーザーが二段階認証でセキュリティを強化しても意味がありません。

犯人は何らかの方法でユーザーのIDとパスワードを取得し、有効な「6桁の認証コード」を入力してGateHubへ普通にログインし、XRPを盗んだとみられます。

GateHubの対応

犯人によるアクセストークンのデータベースへの侵入が判明した後、GateHubは即座にすべてのユーザーのアクセストークンを無効にし、それ以上の被害が広がるのを防ぎました。

また、計18,473のアカウントが潜在的に攻撃の影響を受ける可能性があるとし、これらのユーザーに対して電話やメールなどを通じて連絡を入れています。

対象のユーザーに対し、犯人がアクセスしうる既存のXRP LedgerアドレスからGateHub管理下のアドレスへ資金を移動することを依頼しました。

しかしこれが、新たな犯罪を招くきっかけとなってしまいました。

フィッシングメールが横行

GateHubが潜在的にリスクのある顧客に、資金をGateHub管理下のアドレスへ移動するよう依頼した後、GateHubを名乗る不審なメールがGateHubのユーザーに送られていることがわかりました。

このメールは明らかにフィッシングメールで、タイトルは「Critical Security Warning / Action Required – New Secured Wallets（深刻なセキュリティ警告/操作が必要です-新しい安全なウォレット）」という、いかにもGateHubから送られてきそうなものになっていました。

メールの内容も、お客様のXRP Ledgerの秘密鍵が盗まれる可能性があると警告し、表示してあるアドレスに速やかに資金を移動させるよう依頼するもので、送付先のメールアドレスが記載されていました。

またこのメールは「@ gatehub.com 」や「@ gatehub.net」というドメインから送られてきていました。

フィッシングメールの内容自体はGateHubが公式にアナウンスしている内容と一致しており、非常に信ぴょう性が高いと誤認されやすいものでした。

画像引用：GateHub support

このフィッシングメールへの対抗策としてGateHubでは、「GateHubから送られてきたメールかどうか」を確認してほしいとアナウンスしましたが、GateHubの本来のドメインも「@ gatehub.net」であるため、メールソフトが警告しない限り、区別することは非常に難しいでしょう。

GateHubでは、「GateHubが利用者の代わりにXRPアドレスを作成することはない」としているため、メールに送金先のXRPアドレスが書かれているときにはフィシングメールだと判断するべきでしょう。

最も安全に手続きするには、ご自身が利用している、信頼できる取引所の口座へXRPを移動することかもしれません。

盗まれたXRPの移動先

盗まれたXRPは、Freewallet.org、Changelly、Changenow、Kucoin、Huobi、Exmo、Hitbtc、Binance、Alfacashierなどの仮想通貨取引所や仮想通貨両替所に送付されています。

下記の画像は犯人が使ったとされるアドレスの送金履歴の抜粋です。

画像引用元：XRPSCAN

これを見ると、ChanegellyやCoinSwich、ChangenowにXRPが送付されていることがわかります。

この流出事件を分析しているThomas Silkjær氏によると、盗まれたXRPの総額は2320万XRPで約10億円となり、その半数以上の約1300万XRP (約5億円) が上記の取引所や両替サービスを通じて資金洗浄されたとのことです。

ただ6月7日に更新されたGateHubのブログでは、顧客の資産を回収するために上記の取引所に対して連絡を入れているとしています。

実際、犯人は仮想通貨両替所のChangenowを使って250万XRPを両替しようとしていましたが、50万XRP以上のトークンがChangenowによって凍結されました。

凍結されたXRPはGateHubへ返却される見通しです。

公式に発表されていないだけで、他の送付先の取引所においても、資金の差し止めが行われているのかもしれません。

なお、GateHubは被害にあったユーザーに対し、XRPが送付された取引所へ直接連絡することと現地の法執行機関に連絡することを勧めています。

GateHubについて

GateHubは2014年にイギリスを拠点に設立したウォレットサービス・プロバイダです。

リップル社が2016年に仮想通貨交換サービスRipple Tradeを終了した際には、GateHubを推奨ウォレットとして紹介するなど、リップル社とは関係が深い企業でした。

しかしその半面、GateHubに保管していた通貨が盗まれるといった被害がたびたび聞かれていました。

今回はあまりにも大きな被害額だったため気づきやすかっただけで、以前から二段階認証の管理情報がすでに盗まれていた可能性もあるのではないでしょうか。

まとめ

GateHubがXRPを流出させてしまった主な原因は、二段階認証の管理情報を盗まれたことです。

二段階認証の管理情報が漏れただけでなく、IDとパスワードが第三者に分かってしまうと、取引所に普通にログインできてしまいますので、取引所からすると正規の利用者がログインしているのと見分けがつきません。

それゆえに、取引所自身が漏洩に気づくことが難しかったのだと思われます。

利用者側がこのような攻撃を防ぐために気をつけるとすれば、取引所にログインしたときにログインメールを送付してくれるサービスがある取引所を利用するとよいかもしれません。

自身が取引所を使っていないのにログインメールが流れてきたときは、メールから即座にアカウントを凍結できます。

ただ、深夜などスマホの通知を切っているときだと気づきにくいという弱点もあります。

基本的な対策になりますが、パスワードを定期的に変えることなどが有効となるでしょう。

もし長期間パスワードを変更していないようであれば、今すぐにでもパスワードを変更することをおすすめします。