コインチェックのNEM流出事件に学ぶ
コインチェックのNEM流出事件の教訓
『良い人と信頼できる人は違う。自分の中で信頼する人の基準を作ろう。』
私が作った基準は「損得勘定なしに、長い期間一緒の時間を過ごせた人。」です。
立派な肩書や話のうまい人に惑わされず、『信頼する人の基準』に基づいて判断しよう。
立派な肩書や話のうまい人と話した時の、『自分が抱く好意的な感情』を
信頼する理由としてはいけない。
『良い人』とは、金銭のやり取り・保証人になる、プライベートに深く関わる事は
できるだけ控えよう。
少し残念ですが、私の中では、職場の同僚が『良い人』に分類されます…
コインチェックのNEM流出事件の概要
2018年1月コインチェックが運営する仮想通貨取引所「coincheck」が不正アクセスを受け、約580億円相当の仮想通貨「NEM」が流出した。 コインチェックは 「NEM」の流出が発覚した直後から、警察への情報提供を行っていたため、当初から事件性を確信していたものと思われる。また、この事件を受けて金融庁は全ての仮想通貨取引所に対し、注意文書を送付するとともに、コインチェックへの立ち入り検査を行うなど、大きな事件となった。
コインチェックは流出した「NEM」の補償及び流出原因に関する記者会見を行った。流出原因の概要は下記である。
・コインチェック社員に不審なメールが届く。
・コインチェックのシステムがウイルス(「mokes」「netwire」)に感染する。
・コインチェックのシステムが遠隔操作され「秘密鍵」が窃取される。
・ハッカーが遠隔操作で「秘密鍵」を用いて「NEM」を流出させる。
2018年4月に、コインチェックはマネックスグループ㈱の完全子会社となり、経営陣は刷新された。
2020年3月に、流出した「NEM」と知りながらBitcoinに換金して利益を得たとして、医師及び会社経営者が組織犯罪処罰法違反(犯罪収益収受)容疑で逮捕された。
なお、コインチェックのシステムをハックした犯人はまだ逮捕されておらず、逮捕された医師は「話せる事はない」と言い、ハッカーとの関係は明らかになっていない。
NEMが流出した最重要ポイント
NEMの流出は「コインチェック社員に不審のメールが届いた。」事を契機としている。不審メールにより、コインチェックのシステムはウイルスに感染し、「NEM」が流出する事になったためである。
情報セキュリティー業界では、特定の会社・人物にウイルス付きのメールを送付する事を標的型攻撃という。会社を対象とする、様々なセキュリティー脅威のなかで、標的型攻撃による機密情報の窃取が最も多い。標的型攻撃において、最も重要なのは、『ハッカーはどの様に標的を絞り込み、どの様にウイルスを送り込んでくるのか』である。この点が、情報処理推進機構が公表する『情報セキュリティー白書2019』に記載されているので、下記に転載する。
『 まず攻撃者は、事件の半年余り前からSNS 等を通じて同社のシステム管理権限を持つ技術者らを特定し、それぞれに対して偽名で交流を重ねていった。時間をかけて交流を重ねたことで技術者らから信用を得た攻撃者は、URLリンク付きの標的型攻撃メールを技術者らに送信し、技術者らはこれを疑うことなくクリックし、ウイルスに感染してしまったという。』
情報セキュリティー業界では、IT技術によらず、人的な脆弱性を利用して情報を窃取する手法を『ソーシャルエンジニアリング』と呼ぶ。コインチェックの『NEM』流出事件においても、システム管理権限を持つ技術者に対し『ソーシャルエンジニアリング』を行い、ハッカーを『信頼できる人物』と思い込ませることにより、ウイルスを送り込む事に成功した。SNSによっては、本名、勤務先や学歴・職歴を明記する仕様になっているものがある。これを見れば、ハッカーは容易に攻撃の標的を絞り込む事ができる。標的を絞り込んだら、ダイレクトメッセージを送り、直接会う機会を設けるのは、そう難しくはないかもしれない。仮に次の様なダイレクトメッセージを受け取ったら、少しは誘惑されるであろう。『●●と申します。26歳の女性です。私は、 金融庁総合政策局フィンテックモニタリング室の室長をやっていた ▲▲氏と共に、新しい仮想通貨取引所の開設準備をしております。仮想通貨取引のシステムについて情報交換をさせて頂きたいのですが、直接お会いしてお話させて頂く事は可能でしょうか。また、システム管理課の責任者を探しております。適任者がいらっしゃいましたらご紹介頂けますと幸いでございます。責任者の年収は1,500万円を想定しております。 』
ハッキングというと、非常に高度なIT技術により、PC・データサーバから情報が窃取されるというイメージがある。もちろんそういう面が強いのであるが、それよりも絞り込んだ標的対象に『ハッカーやウイルスメールが信頼できると思い込ませること。』が重要なのである。換言すると『特殊詐欺』と同じロジックなのかもしれない。詐欺師を銀行員と思い込ませれば、後は簡単なのである。
我々はSNSの使い方、SNSを通じて送られてくるメッセージへの対応について、コインチェック事件から学ばなければならない。
最後に
人を信頼する事はとても重要な事である。『他人を信頼しない人は、信頼されない人である。』という事も良く耳にする。但し、誰も彼も信頼して良いわけではない。という事は、コインチェックの『NEM』流出事件からも明らかである。自分の中の信頼できる人の基準を作り、信頼できる人か判断する事が重要である。
『信じる者は救われる。』、『人は信じる対象を欲しがる生き物であるため、宗教が繁栄する。』、『貨幣は信用の存在を前提とした、信用貨幣である。』信頼という抽象的なものは分かりづらいものである。信頼を理解する一助となればと思い、下記にカルロス・ゴーン氏の信頼に対する発言を記載する。『信頼とは2つの柱の上に成り立っています。1つ目は成果です。成果が上がらなければ信頼されません。2つ目は透明性です。成果が上がっていなくても、透明性があれば会社は信頼を得ることができます。何か問題があったら、それを明らかにして対応すること。何か過ちを犯したら、しっかり公表して対処する事。』
カルロス・ゴーン氏は、問題があったら、それを明らかにする、過ちを犯したらしっかり公表する人です。信頼できそうな人です(お話がうまい方には、くれぐれもご注意を。)。
