Bitmexでメールアドレス流出とツイッター乗っ取りが発生

画像引用：Bitmex

香港に拠点があり、世界の仮想通貨取引所の中でも大きな実績と信頼があるBitmexで、登録者のメールアドレスが流出する事件がありました。

また流出後にはBitmexの公式Twitterが乗っ取られる事件も起きています。

この事件の詳細と、万が一の被害を防ぐためにとるべき方法などについてご説明しましょう。

発端となったBitmexからのメールアドレス流出

2019年11月1日、大手仮想通貨取引所Bitmexから利用者のメールアドレスが大量に流出しました。

現時点で分かっていることは、今回のメールアドレス流出は外部からのハッカーなどによって流出したものではなく、Bitmexからニュースレターを送信しようとした際の誤操作が原因のようです。

この件に対し、Bitmexは同社ブログ内でコメントを発表しています。

画像引用：Bitmex blog

ブログのコメントは「ユーザーに影響を与える電子メールのプライバシー問題に関する声明」（Google翻訳）と題されたもので、以下のように記述されています。

私たちのチームはすぐに問題を封じ込めるよう行動し、影響の範囲を理解するための措置を講じています。

引用：Bitmex blog Google翻訳　

Bitmexの誤操作とは

Bitmexはどのような誤操作をしてしまったのでしょうか。

徐々にその原因が明らかになってきています。

Bitmexから正式な発表があったわけではありませんが、COINPOSTやCOINTELEGRARHジャパンなどによると、ニュースレターを送信する際に宛先もしくはCCに全員のメールアドレスを入れて送信してしまったようです。

ご存知のようにメールを送信する際、宛先つまり「TO」や「CC」に複数のメールアドレスを入れて送信すると、相手からは自分以外の誰に送っているのかが分かるようになってしまいます。

他の誰に送っているのかを分からないようにするには「BCC」で送る必要があり、そうすれば相手からは自分以外の誰に送られているのか、確認することができません。

つまりあちこちのニュースで出ている情報が正しいとすると、今回のメールアドレス流出は人為的なミスということになります。

今回のような事案回避のためのメールシステムは？

利用者へのメール送信で、他の利用者の個人情報やメールアドレスが流出してしまうのは、大手企業などでも度々起こっているようです。

ただ今回流出したメールアドレスは仮想通貨取引所に登録しているメールアドレスであり、今後資産流出などにつながらないとも限りません。

本来このようなメールを送信するのであれば、ASP型メール配信システムもしくは同報配信するための専用メールソフトを利用するべきです。

これまでBitmexからのメール送信ではこのような事態になっていなかったことから、今回のニュースレター配信に限っては、上記のメールソフトなどを利用せずに送られた可能性が考えられます。

アドレス流出の影響は

今回のメールアドレス流出に伴って、Twitterではおよそ3万以上のアドレスに影響しただけでなく、パスワードも200以上が発見されたなどの書き込みがあります。

画像引用：TheMask Twitter

だから私は私のデータベースの1つで、bitmexメールでクイック検索を実行し、私はかなりのヒットを得ました（クリアテキストパスワード）
パスワードを見つけた人にメールを送るべきだと思いますか？

引用：TheMask‏ Twitter Google翻訳

これはあくまでもTwitter上の書き込みであり真偽のほどは分かりませんが、多くの人の間で関心が高まっていることは間違いなく、悪用される可能性も十分ありうるということです。

BitmexのTwitterも乗っ取られる

メールアドレスを流出させてしまったBitmexでは、同日Twitterが乗っ取られる事態が発生していました。

しかも「ハックされました」「あなたのビットコインを持って逃げなさい。出金できる最後の日です」と書き込みされています。

そのツイートは現在削除されていますが、その当時のものを保存しているTwitterがあります。

画像引用：Larry Cermak Twitter

アドレス流出で今後考えられる被害

ではメールアドレスが流出してしまったことで、今後考えられる被害にはどのようなものがあるのでしょうか。

メールアドレスが第三者に知れ渡ってしまったことで考えられるのは、そのアドレスを利用したフィッシング詐欺があります。

有名企業を語ったメールなどを送り付け、URLをクリックさせるなどの手口で口座番号や暗証番号などを奪い取るフィッシング詐欺には注意が必要です。

そしてもうひとつ懸念されるのが不正ログインです。

上で書いたように、Twitterでパスワードを見つけたと書き込みされているほどですから、BitMEXにログインすることはたやすいかもしれません。

そのためBitMEXのユーザーは、二段階認証設定や新規にアカウントを作るなどの対策が必須となります。

またログインしやすくなるのはBitMEXだけではありません。

他の仮想通貨取引所にもログインしやすくなるケースがあります。

特に仮想通貨取引においては、ひとりが複数の取引所にアカウントを持っているケースが多いため、BitMEXと同じアドレスを使っている場合には注意が必要です。

なおBINANCEはBitMEXと同じアドレスを使っている利用者に対して注意を喚起するとともに、メールアドレス変更方法をインフォメーションしています。

画像引用：Binance Twitter

BINANCEと同様に、OKExとZaifでもやはりメールアドレスの変更を勧めています。

影響を受け、同じメールログインのOKExアカウントを持っている場合、セキュリティ上の理由からメールを変更することをお勧めします。 この期間中は、メールの変更リクエストが優先されます。

引用：OKEx Twitter Google翻訳

他社にて、大規模な登録メールアドレスの流出がございました。Zaifと他の取引所でメールアドレスを併用されている場合、下記ご参照のうえ変更いただくことを強く推奨致します。また、二段階認証につきましても設定をお願い申し上げます。

引用：Zaif Twitter

今後のBitMEXの対応に期待

仮想通貨取引所のセキュリティ対策がいくら進んできたとしても、実際には人間が関わっていることであり、完全に人為的なミスをなくすのは非常に難しい問題です。

特に今回のメールアドレス流出は、情報を見ている限りではメール送信の際のミスであり、人為的ミスであることはほぼ間違いないでしょう。

ただし利用者にとってメールアドレスの流出は大きな問題です。

現時点で、メールアドレス流出で何らかの被害があったという報道は見受けられませんが、今後何かの被害が出てくるかもしれません。

その場合、BitMEXはどう対応するのでしょうか。

2019年5月8日、ハッカーによってBINANCEから7,000BTCが流出する事件がありました。

この時BINANCEのジャオ・チャンポン（通称CZ）CEOは、流出発表のわずか4時間後にインターネットで視聴者からの質問に対応しています。

その際、被害状況や今後の対応策など、その時点で分かる限りのことを説明しました。

その結果、7,000BTCがハッキングされたにもかかわらず、BINANCEの素早い対応や補償について好感度が上がったのでしょう、BINANCEの独自トークンBNBが大きく値上がりしたことがありました。

つまり、人によるミスは完全に防ぐことができないにしても、そのミスをどうやってカバーするのかが重要だということです。

すなわちBitMEXが今回の流出に対し、今後どのように対応していくのかが重要であり、問われているわけです。

まとめ

BitMEXのメールアドレス流出に関して、現時点で分かっていることをご説明しました。

流出したメールアドレスによって、今後何らかの被害が出てくる可能性は十分考えられるため、BitMEXに登録をしている方は念のため二段階認証設定や新たにアカウントを作り直してください。

またBitMEXに登録しており、同じメールアドレスで他の仮想通貨取引所にも登録している方は、二段階認証の設定をするか、可能ならメールアドレスを変更してください。

さらに上記の人にはフィッシングメールが今後送られて来る可能性があります。

不審なメールや身に覚えのないメールには対応せず、すぐに削除するようにしてください。

メールアドレス流出の二次被害を確実に防ぐため、必ず実行してください。