スポンサーリンク

Monappy、サーバー上のほぼすべての仮想通貨モナコインが盗難被害

Monappy、サーバー上のほぼすべての仮想通貨モナコインが盗難被害

 

あまり良くない仮想通貨ニュースで残念でなりません。kekekeです

スポンサーリンク

記事を読んでみてちょっと誇大表記に見えるタイトルだということが分かる

仮想通貨Monacoin(モナコイン)のウォレットサービス「Monappy」は9月1日、同サービスのホットウォレット内のモナコインが盗難されたことを公表した。サーバー上のほぼすべてのモナコインが盗難されたとのこと。ただし、Monappyでは同サービスの全残高の50%以上はコールドウォレットで保管しており、コールドウォレット内のモナコインについては影響がないという。

Monappyでは外部からの攻撃により盗難されたと考えており、本稿執筆時点でサービスを停止し、攻撃の詳細について調査中とのこと。なお、メールアドレスやパスワードといったユーザー情報の流出は確認されていないが、本事案を理由にメールや電話、郵便などでユーザー情報を確認しない意向であることを明らかにし、不審な問い合わせに対しての注意喚起を行っている。

仮想通貨Watchより引用

サーバー上という表現はあまりよろしくない。実際はホットウォレット上のモナコインが全て盗難にあった可能性と書くべきではなかろうか。

コールドウォレットも実質的にはサーバーな訳で…これだとタイトルだけさらっと読んだ人はやっぱり仮想通貨は危ないんだって思いかねない。

加えてMonappyは仮想通貨交換取引所でもない。日本のメディアはどうしても仮想通貨にネガティブな印象を植え付けようとしてるように感じるのは私だけだろうか。

 

Monappyの公式回答

Monappyへの攻撃についてのお詫びとお知らせ (2018年9月2日 午前4時40分更新)

いつもMonappyをご利用いただきありがとうございます。

この度、弊サイトに対して外部からの攻撃が発生し、調査の結果ホットウォレット内のMonacoinが盗難されていることが判明いたしました。
全残高の54.2%を保管しているコールドウォレット内のMonacoinについては影響はありませんでした。
詳細な攻撃の内容に関しては現在サービスを停止して調査を進めております。
ユーザーの皆様をはじめ、ご関係者の皆様に多大なるご迷惑をおかけしていますことを深くお詫び申し上げます。

なお、本件についてはblock withholding attackなどによるものではないと思われることを確認しました。
本文章の初版において誤解を招く表現をしてしまっていたことをお詫び申し上げます。

1. 発覚の経緯
2018年9月1日午前11時、今回とは別件の攻撃に関する注意喚起を受けたのを期に改めて調査したところ、サーバ上にあるホットウォレットがユーザの残高に対して不足していることを確認しました。
この件を受けてすぐにサーバを切断し確認作業を行っておりましたが、調査の結果ほぼすべてのMonacoinが盗難されていることが判明しました。
2018年9月2日午前1時、検証の結果攻撃に至った原因が高負荷時におけるギフトコード機能の不備であることを確認いたしました。

従来よりセキュリティ対策としてサーバへのアクセス制限、各種の脆弱性テストなどを実施しておりましたが、今回の攻撃を許してしまう結果となってしまいました。誠に申し訳ございません。
現在も攻撃の内容について調査を行っております。

なお、この件につきましてメールアドレスやパスワードなどユーザー情報などの流出は確認されておりません。

2. 攻撃の経緯
2018年8月27日から2018年9月1日にかけて、攻撃者と見られる複数のユーザーがギフトコードを大量に発行しました。
同8月29日から9月1日にかけて外部受け取り機能(ログインせずにギフトコードを受け取れる機能)を利用してギフトコードを受け取る際、高い頻度でリクエストを行うことで一つのギフトコードに対し数回の送金が行われてしまい、今回の攻撃に至りました。

MonappyからMonacoinを送信する際は、monacoindという別のサーバ上のアプリケーションと通信する仕様になっています。
この通信がタイムアウト等で失敗した場合はサーバダウンなどで送金に失敗しているとみなして、取引をロールバックする仕様となっていました。
また、ギフトコードの処理に関してはデータベースのトランザクション機能等を利用しており、本来同じギフトコードを二重に使用することはできないようになっていました。
しかし、高負荷状態でギフトコードを連続して使用しようとした場合、通信を受け取ったmonacoindの応答に時間がかかり、サイト側ではタイムアウトとなってロールバックされたあとにmonacoind側では送金が行われていました。
この結果、一つのギフトコードから複数回送金されたものと考えられます。
また、この攻撃に際し少額のMonacoinを大量に送付しておくことでcoind送信時の負荷を増大させようとする試みも確認しました。

現時点で推測される攻撃の流れについては上記の通りです。今後も引き続き調査を進めて参ります。

3. 原因
上記の通り、悪意あるユーザのギフトコード機能を悪用した攻撃が直接の原因となります。
また、当方の平時のモニタリング体制の不備、テストや確認の不備などが根本的な要因と認識しております。

6. ご注意のお願い
・本件の対応を理由に、Monappyからメール・電話・郵便等でメールアドレスやパスワードなどをお伺いすることはありません。
・本件に関するメールにファイルを添付してお送りすることはありません。
・monappy.jp以外のドメインにてmonappyのメールアドレスやパスワードを入力させることはありません。
不審なメールなどには十分ご注意いただくようお願いいたします。

Monappy公式サイトより抜粋

どうやら前もって攻撃者はサーバーの穴を探してた様子。この辺りでアクセス遮断をできれば良かったのだが明確な攻撃と判断するには情報が乏しい。

ただこのパターンは負荷テストで状態異常の遷移を考えればテスト段階で抽出出来たようにも思える。ただし、商用で行うようなサーバーの試験であり、一般ユーザーが善意で提供したりするサーバーではどのように構築するものか私には分からない。

 

まとめ

この記事に関してあえて記載したのは二次被害を防ぐためである。本件に関しあなたのだけ復旧するからモナコインのアドレスを教えて欲しいなどといったメールが来ても無視することだ。それは詐欺被害者を更に罠にかけるような手口だ。

一見当たり前のようなことだが実際に被害にあった人は多かれ少なかれ混乱しており、正常な判断ができない状態だ。もし、この被害にあった友人や知人がいたら声をかけてあげてほしい。

 

おしまい。

 

 

タイトルとURLをコピーしました