GMOコインからメールがやってきた
なにげなく、iPhoneでメールを確認していると、
Eメールアドレス及びパスワードの不正利用被害のおそれのあるお客さまへお送りしています
GMOコイン?
あっ暗号通貨(仮想通貨)の販売所か。
ずいぶん前につくって、入金等もせず放置したままだ。
ん、不正利用被害のおそれのあるお客さまへお送りしますってなんだろ。
物騒なことが書いてある。
とうとう僕も、サイバー犯罪に巻き込まれ元年が始まったということか。
でも、最近じゃまったく珍しくもなんともないほどサイバー犯罪は日常の光景になってしまった。
使っていないとはいえ、不正送金の踏み台に使われるのはたまったもんじゃない。
対応せねば。
JVCEAってなんだろ?
■目的
当協会は、資金決済法第2条第8項に規定する仮想通貨交換業者が行う同条第7項に規定する仮想通貨交換業の適正な実施を確保し、並びに仮想通貨交換業の健全な発展及び仮想通貨交換業の利用者の保護に資することを目的としています。
要は仮想通貨業者の業界団体。
仮想通貨の事件も地味にまとめてみた。
僕自身あまり詳しいわけではないが。
やっぱりMTGOX(マウントゴックス)インパクトは強い。
Binance(バイナンス)ってのも聞いたことある。
発生年月 | 交換所 | 国 | 被害額概算(単位:円) | 対象通貨 |
---|---|---|---|---|
2011年7月 | MTGOX | 日本 | 約330万円 | ビットコイン(BTC) |
2011年10月_ | Bitcoin7 | アメリカ | 約550万円 | ビットコイン(BTC) |
2012年9月_ | bitfloor | アメリカ | 約2750万円 | ビットコイン(BTC) |
2012年11月_ | BitMarket | ポーランド | 約2860万円 | ビットコイン(BTC) |
2013年5月_ | Vircurex | 中国 | 約5.5億 | ビットコイン(BTC)/テラコイン(TRC)/ライトコイン(LTC) |
2013年11月 | nputs.io | オーストラリア | 約1.3億円 | ビットコイン(BTC) |
2013年11月 | BIPS | デンマーク | 約1.1億円 | ビットコイン(BTC) |
2013年11月 | PicoStocks.com | デンマーク | 約6.6億円 | ビットコイン(BTC) |
2014年2月 | MT.GOX | 日本 | 約114億円 | ビットコイン(BTC) |
2014年10月 | poloniex | アメリカ | 約5500万円 | ビットコイン(BTC) |
2014年10月 | Cryptsy | アメリカ | 約9.9億円 | ビットコイン(BTC) |
2014年10月 | mintpal | イギリス | 約2.2億円 | ヴェリコイン(VRC) |
2014年10月 | bitpay | アメリカ | 約2億円 | ビットコイン(BTC) |
2014年10月 | mintpal | イギリス | 約1.7億円 | ビットコイン(BTC) |
2015年1月 | Bitstamp | イギリス | 約48億円 | ビットコイン(BTC) |
2015年2月 | 796Exchange.com | 中国 | 約2,500万円 | ビットコイン(BTC) |
2015年2月 | BTer.com | 中国 | 約1.9億円 | ビットコイン(BTC) |
2016年8月 | Bitfinex | 香港 | 約77億円 | ビットコイン(BTC) |
2017年4月 | YAPIZON | 韓国 | 約5.8億円 | ビットコイン(BTC) |
2017年4月 | YouBit | 韓国 | 保有額のおよそ2% | ビットコイン(BTC) |
2017年12月 | nicehash | スロベニア | 約76億円 | ビットコイン(BTC) |
2018年1月 | CoinCheck | 日本 | 約580億円 | ネムNEM(XEM) |
2018年2月 | BitGrail | イタリア | 約210億円 | ナノコイン(Nano(XRB)) |
2018年4月 | Coinsecure | インド | 約3.6億円 | ビットコイン(BTC) |
2018年6月 | Coinrail | 韓国 | 約44億円 | プンディ(NPXS)、アトミックコイン (ATC)、エヌパー(NPER) |
2018年6月 | Bithumb | 韓国 | 約35億円 | ビットコイン(BTC)イーサリアム(ETH)あわせて11通貨 |
2018年9月 | Zaif | 日本 | 約70億円 | ビットコイン(BTC)ビットコインキャッシュ(BCH)(MONA) |
2019年1月 | Cryptopia | ニュージーランド | 約17億円 | イーサリアム(ETH) |
2019年3月 | DragonEX | シンガポール | 約6.6億円 | ビットコイン(BTC)を含む19種類の通貨 |
2019年3月 | Biki.com | シンガポール | 約1,350万円 | 詳細不明 |
2019年5月 | Binance | マルタ共和国 | 約44億円 | ビットコイン(BTC) |
2019年7月 | BITPoint | 日本 | 約35億円 | ビットコイン(BTC)、ビットコインキャッシュ(BCH)、イーサリアム(ETH)、ライトコイン(LTC)、リップル(XRP) |
GMOコインから来たメールはフィッシング?
送信先のメールアドレスもなりすましではないようだ。
リンクはふまずにソースでリンク先を確認したところ、GMOコインのURLだった。
国内捜査機関?
警察庁とか、公安警察とかそういうことなのだろうか。
あえて遠回しな表現になっているが。
日本国内では、マネーロンダリングについては犯罪収益移転防止法という法律に基づいて目を光らせている。
決算手段のPaypalについても、日本で「寄付」機能を使うことができないのも
できないのもこの手の規制が絡んでいるからだろう。
決算手段のPaypalについても、日本が「寄付」機能を使うことができないのも
できないのもこの手の規制が絡んでいるからだろう。
仮想通貨は完全に匿名にはならないが、ロンダリングにいっちょ噛まされるケースが
増えている。
攻撃ツール?
別のサイトのサービスで使っているメールアドレスとパスワードの組み合わせを使って
組み合わせが有効かどうか、というようなことをありとあらゆるサイトでできるソフトウェアや暗黒サーバアプリがあると聞いたことがある。
ブルートフォースアタック、リバースブルートフォースアタックとか聞いたことないだろうか。あれを実現できるようだ。
フレームワークやデータベースの脆弱性をついて、情報を搾取されるのも多い。
-
ブルートフォースアタックとは?実験から分かる危険性と有効な4つの対策
ブルートフォースアタックはどれほど危険なのか?ブルートフォースアタックの有効な対策は?安全を確保するために今すぐできることは?この3つの疑問にお答えするためのブルートフォースアタックに関する情報をまと ...
続きを見る
-
セキュリティアナリストのつぶやき
続きを見る
-
Webアプリケーションフレームワーク - Wikipedia
続きを見る
日本の場合は脆弱性はこのあたりで情報公開される。
-
https://jvndb.jvn.jp/ja/contents/2019/JVNDB-2019-001008.html
続きを見る
アカウントの流出元はどこなのだろう
セキュリティの甘いECサイトからの流出が多いと思う。
とはいえ、有名所のサービスからも流出している。
有名所のサービスであろうとなんだろうと、あなたの大切な情報漏れているかどうか、
それを知ることができるサイトを紹介しよう。
HaveIBeenPwnedの紹介
自分のつかっているメールアドレスから、あなたのアカウント情報が
悪い奴らに漏れている可能性があるかどうかを確かめることができるサイトである。
HaveIBeenPwnd(意訳:私はやられちゃったの?)だ。
これってメールアドレス収集しているサイトじゃないか! と思う方に注意喚起。
そのように判断される場合、サイトにアクセスしてメールアドレスを入力しないこと。
忠告はしましたよ。
ちなみ、僕の場合は、メインのメールアドレスで流出したものは
- Adobe (2010年代?流出)
- Dropbox(2012年ごろ流出)
そして、最大規模の流出
要約:
"Breach"は、意図せず公衆にデータを晒してしまった事件事故を意味する。
(注:だいたいBreachを使う場合はだれかから攻撃を受けて情報漏洩したような事件)
2019年1月のCollection #1というパスワード流出キャンペーン。
ハッキングフォーラムで確認。
流出したものは27億のレコード、
そのレコード中にはユニークなメールアドレス7.73億件が含まれている。
漏れた情報はメールアドレスとパスワード
どのサービスか漏れたかというのはわからない。
ちなみにCollection#1って名前の由来は、MEGAっていうアップローダのフォルダ名。
このアップローダ自体はまっクロということではないが悪用されることは多いらしい。
そのCollection#1って名前のフォルダに、ファイルサイズ87GB超のデータが入っていた。
その後、#2〜#5までの続編つき。
トロイハントってマイクロソフトの人はCollection#1について説明を加えている。
-
Troy Hunt: The 773 Million Record "Collection #1" Data Breach
続きを見る
-
Microsoft Regional Directors
The Microsoft Regional Directors program recognizes industry professionals for their cross-platform ...
続きを見る
-
Have I Been Pwned: Check if your email has been compromised in a data breach
Have I Been Pwned allows you to search across multiple data breaches to see if your email address or ...
続きを見る
国内のセキュリティインシデントに詳しいpiyokango氏も記事にしている。
-
2019年1月のデータリーク「Collection #1」をまとめてみた - piyolog
2019年1月17日、オーストラリアのセキュリティ研究者 Troy Hunt氏は大規模なデータリーク「Collection #1」が公開されていると連絡を受け、このデータの解析結果を報告しました。ここ ...
続きを見る
僕が暇があればチェックしているセキュリティジャーナリストBrianKrebs氏も記事として紹介している。
ブライアンクレブス氏は、悪い奴らから"SWATting"という嘘の凶悪犯罪(銃器で立てこもり、爆弾を仕掛けたとか)を警察へ通報するという、
超危険ないたずら(というか相手の生命を奪いかねないほどの行為)で実際、警察官に自宅訪問されている。
場合によっては、SWATの名のとおり重武装した警察官が突撃してくるのだ。
クレブス氏は、事前に地元の警察に相談していたので事なきをえたようだが。
-
773M Password ‘Megabreach’ is Years Old – Krebs on Security
My inbox and Twitter messages positively lit up today with people forwarding stories from Wired and ...
続きを見る
パスワードを変更してみる
ログインしてパスワード変更するだけ。
定期的に変更するのは僕は意味がないと思っている。
二段階認証はどうするか
GMOコインの場合、二段階認証は
- アプリ(Google Authenticator)
- SMS
- 電話
Google Authenticatorはアプリを間違えて消してしまうと、
面倒なことになるので僕はSMSを使うことにした。
これを機にパスワードの使いまわしのリスクを考える
パスワードマネージャーの導入
エクセルとかメモ帳とかに書いておけばいいじゃないかと僕もはじめは思っていた。
お察しの通りパスワードなんて覚えてられない状況になっていったのだった。
- ネットを使ったサービスが爆発的に増加
- ネットサービスでIDとパスワードが求められるようになってくる
- IDはメールアドレスであることが多く、面倒くさいのでパスワードを使いまわしてしまう
- サービスによっては、一定の期日が立つとパスワード変更を強制される。変更の際、またパスワードを考えなくてはならない
- 使いまわしをやめようとするも、パスワードをメモ帳やらエクセルでまとめていくと膨大な量になっていく
- しかもスマートフォンの発展で、スマートフォン対応のネットサービスも当然増える
- 先につくったパスワードメモどうしよう スマホで使うとしても面倒だ クラウドストレージで共有とか考えたけど、そのストレージが…本末転倒
トロイハント氏が紹介していた1PasswordとかLastPassとか、シマンテックとかのパスワードマネージャーとかいろいろある。
僕は、たまたまお得キャンペーンか何かをやっていたパスワード管理ツール
『Dashlane』を使っている。
以来、かれこれ2年ばかり使い続けている。
ダッシュレーンの特徴は
- 登録しているサイトのログインページにたどり着くと、自動でログインIDとパスワードを入力してくれる
- Dashlaneのアプリから、ログインページを呼び出してログインすることもできる
- 自動で新しくパスワードを生成することができる(文字数、使う記号なども好きなものを設定可)
- クレジットカード・銀行口座情報を支払い情報として保存できる
- セキュリティ危険なパスワードの変更を提案してくれる
- IDやパスワードがダークネットで流出しているとお知らせしてくれる
- パソコンとスマホ(iOS/Android)とパスワードの共有が可能なこと
- VPNがつかえる(公衆Wifiで便利)
『Dashlane』を利用する方法
パソコンは公式サイトで「Dashlaneを無料で取得」というボタンをクリックすればソフトウェアをダウンロードでき、インストールする。
スマホの場合は、アプリストアでDashlaneと検索窓に入力すれば、アプリをダウンロードできる。
アカウントを作成するのだが、メールアドレスの入力と
マスターパスワードというものを作成する。
マスターパスワードは鍵束箱の鍵の役割だ。
つまりマスターパスワードが漏れてしまうと…
いうまでもなく全部のIDパスワードが流出する。
とはいえないところがパスワードマネージャソフトのいいところ。
Dashlaneには2段階認証がついていたりする
マスターパスワードが漏れた場合であっても、
普段とは異なる環境でアクセスしようとした場合、二段階認証が発動するようだ。
自動入力・自動保存
先に書いてしまったが、自動入力はログイン対象のページにあるID欄パスワード欄に
自動的に登録している内容を転記して、ログインまで行ってくれるすぐれものだ。
パソコンの場合はブラウザの拡張機能をONにしておくとパスワード生成と自動保存機能が働く。
Dashlaneにはブラウザの拡張機能がある。
たまに、自動保存機能がうまくいかないことがある。
その場合はDashlaneのアプリケーションから新規登録を行わなければならない。
FaceIDに対応
iPhoneのDashlaneアプリはFaceIDに対応していたりする。
マスターパスワードを入力しなくていいのは便利ではあるが、
やっぱり使う側の好み次第。
『Dashlane(ダッシュレーン)』の料金体系
個人プランと法人(ビジネス)プランがある。
Dashlaneの個人プラン
無料とプレミアムプランの大きな違いとしては、保存できるパスワードと使用可能なデバイス数だ。
パスワード総数が多い場合は、プレミアムプラン(月額3.33ドル)一択だ。
『Dashlane(ダッシュレーン)』を使ってよかったこと
無料でも十分使える機能がある
LastPassもいいが、Dashlaneのいいところは無料でもそこそこ機能が充実している。
他のパスワード管理ツールは始めから機能が制限されすぎている。
Dashlaneの場合は無料の場合、パスワード保存数と使用デバイス数の制限ぐらいだ。
アラートで情報漏えいに事前に気付くことができる
ダークウェブ(Torでしか見れることができないネットのこと)などの
自分が知らないところでパスワードが侵害されている場合は
警告の通知があらわれる。
そして、すぐにパスワード変更をすることができる。
今回のGMOはお知らせなし。
『Dashlane(ダッシュレーン)』を使って不満な点
- 自動入力でログインIDとパスワードを入力すると、見当違いの欄にIDやパスワードが入る
- IDが入らない パスワードだけしか入らないサイトがある
- サイト登録が重複する場合がある(だいたい自分の操作間違い)
登録サイトのログインページでは、IDやパスワード欄にカーソル移動すると、
入力するパスワードがポップアップして現れる。
重複登録で困るのは、候補となるパスワードがどちらかわからなくなることだ。
Dashlaneに限ったことではないかもしれない。
まとめ パスワードマネージャーと二段階認証で身を守ろう
パスワードの使いまわしをやめるだけでも違うが、
二段階認証だとさらに防御力アップは間違いない。