仮想通貨取引所「Zaif」で、2018年1月6〜1月7日、1月9日にかけてAPIキーを利用した不正取引・不正出金が発生しました。
まず6日から7日未明にかけて、APIキーの不正利用により不正取引および不正出金が発生しました。不正取引・出金の対象となったAPIキーは、一番古いもので2014年8月7日、一番新しいもので2016年6月11日に作成されたものであるとのこと。合計102個のAPIキーが使用され、10名のアカウントで計37件の出金が実行されたほか、15名のアカウントで計137件の不正取引が実行されたそうです。
アクセス元については、海外の4つのIPアドレスからの接続ということまではわかっているものの、詳細の特定には至ってないようです。
一方、1月9日の不正アクセス・不正出金は、国内のIPアドレスからのアクセスとのこと。調査の結果、特定のアカウントが狙われたものだと判明し、APIキーの不正利用の可能性は低いようです。
これを受けて、同日14時すぎには出金処理が再開されました。ただし、新しいアドレスへの出金は一旦停止中とのことで、エラーが出た場合にはZaifサポートへ連絡が必要です。
今回の不正取引・出金における今後の対策として、Zaifはまず、APIキーの利用時にIPアドレスのホワイトリストをユーザーごとに登録できるようにしたほか、IDS・IPSによるAPIキーの不正利用の検知と防止を行っていくとのことです。
同社では、不正使用されたAPIキーの出金権限を削除。不正利用を防止するため、APIキーの見直し、出金制限に関する情報をブログ・メールにてユーザーに連絡しているという。2016年6月12日以前に作成されたAPIキーについても取引・出金権限を削除しており、削除対応後の不正利用などは確認されていないという。また、当局および捜査機関への連絡を実施したほか、ユーザーへのヒアリングも準備中だ。
また、Zaifの調査報告ではAPI不正利用の未然防止のため、APIを利用しているお客様側にも対策をお願いしています。
アカウントページ>各種サービス>開発者向けAPI より、
・使用していないAPIキーの削除
・APIキーの権限の見直し
アカウントページ>入出金と履歴>各仮想通貨の出金ページ より、
・仮想通貨の出金先アドレスの制限
テスト的に作成して現在は使用していないAPIキーは削除し、必要なAPIキーは権限を見直しておきましょう。
仮想通貨取引所「Zaif」に不正アクセス–10人が不正出金される – CNET Japan”
1月6日から7日未明にかけて発生したAPIキーの不正利用、および1月9日に報告された不正アクセスおよび不正出金に関するご報告 | Zaif Exchange
