ぷろぐら×でざいん

Zaif のAPIキー不正利用について

Zaif のAPIキー不正利用について

Zaif のAPIキー不正利用について

ZaifのAPIキー不正利用された

今後もこういった事件は増えて行くのではないでしょうか。メール、ユーザー名、パスワード、APIキーの扱いは本当に気を付けなければならないと思います。
現状、AWS(Amazon Web Service)のアクセスキーやシークレットキーを狙ったbotが常にGithub上を動き続けていると言われています。そのように悪意のあるエンジニアは各取引上のAPIキーを取るようなbotを走らせていても不思議ではないと思います。
Github以外にもソースコードをアップロードできるプラットフォームは沢山あり、それら全てのサービスについて同じことが言え、エンジニアの方々は益々一層の注意が必要になってきますね。銀行口座からの送金とは違い、暗号通貨・仮想通貨の送金は利便性が向上した分、匿名性が上がった分、危険性が増したと言えると思います。


APIキーはパブリックに置かない

開発者の基本的なことかも知れませんがAPIキーは絶対にパブリック権限の場所にアップロードしてはいけないですね。私も一回自分自身のAWSアカウントをGithubにパブリックであげてしまい、その後1時間以内に不正アクセスされてしまいました。
多分このようなbotにはAPIキーを取得した際にはそのキーを利用して、キーのアカウントのウォレットから別のウォレットに送金するように自動スクリプトが書かれているはずです。仮にクラウド上のサーバーからbotが動いていた場合は被害者の方は泣き寝入りするしかないとは思います。


APIキーは人が見える場所に置かない

当たり前のことですが、重要な情報は人の目に見える場所に置かないことを推奨します。
特にウォレット関連の情報を参照している時はその画面を開いている状態でPCを放置しないなど、小さな習慣が大切ですね。ウォレットは自身の財布の中身を晒している状態と同じですし、そのウォレットに送金機能が付いている場合は盗んで下さいと言っているようなものです。


取引上側の対応

仮に今回の件が取引所からの流出ならば、ある程度の対応が必要になるでしょう。ただ今回の場合はユーザーの過失の可能性があるので、まぁー取引所がどう誠意的に対応するかは気になりますね。ただ、このような事態を想定した開発が必要になるかもですね。APIキーで全てが行えるのではなく、二段階認証を設けるなど…利便性とセキュリティーの高さはトレードオフですね。二段階認証はセキュリティーがとても高いと思っていますが、とても面倒臭い時もあります、また、今の2FA用の端末が壊れた際の対応など…同時に考えることが増えますしね。


あとがき

今年から上記のようなインシデントが急増して行くとは思います。去年の比にならないほど、暗号通貨・仮想通貨市場への個人の参入が増えて行くと私は思っています。そうなった時の少しでも今まで自分には関係ないと思っていたIT関連のセキュリティー、リテラシーが同時に向上していけば良いなーと思っている今日この頃です。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください