実は恐ろしいZaifのAPIキー漏洩事件

APIキー漏洩事件とは、2018年1月にZaif取引所から漏洩したと思われるAPIキーを不正に利用され、仮想通貨の出金や不正注文がおこなわれた事件だ。被害額は公表されてないようだが、当時のレートで10億円を超えるのではないかと思われる。

1月6日から7日未明にかけて発生したAPIキーの不正利用、および1月9日に報告された不正アクセスおよび不正出金に関するご報告

事件は起きた

私はZaifを主に利用しており、よくチャットを覗いていたので事件が起きたことをよく知っている。ZaifにはVIPチャンネルという、特定の人にだけ開放される秘密のチャットルームが存在する。

いつものようにチャットを流し見していると、不穏な会話に気がついた。不正に取引がおこなわれ、仮想通貨の残高が減っていたり、勝手に出金されているというのだ。

VIPに招待される人達はヘビーユーザーが多いのだろうか。これが外部に知れて問題になったら大変だ。Zaifは潰れてしまう。その思ったユーザーは、こっそりCOMSAのテレグラムを通じて、朝山社長に報告したようだ。

被害者達

私はBot取引をメインにおこなっていたため、「Bot開発」というチャットルームに頻繁に出入りしていた。被害者はAPIキーが問題であることに気づいたのか、Bot開発ルームに集まりだした。みんな古くから利用していたユーザーだったようで、冷静に対応していた。

すぐにログイン履歴に不正なアクセスがないか確認をおこなったようだが、本人以外の履歴はなかったそうだ。そうなると、履歴に残らない方法として思い当たるのはAPIではないか、という話になった。

被害者の方は、Botを使った取引をおこなっていた方もいたので、技術的なことにもかなり詳しい方もいた。昔にAPIキーを発行して、そのことすら忘れていた方もいた。ただ、昔からのユーザーが多かったせいか知識もそれなりにあり、APIキーが盗まれたり、適当な管理で流出したようには思えなかった。

不正取引の方法

ZaifのAPIでは、売買・入出金までAPIからおこなうことが可能で、各権限は任意に設定できる。入出金まで許可していたユーザーは、APIを使って仮想通貨をそのまま出金されてしまったようだ。

一方、売買のみ許可していたユーザーは、カイカコイン（CICC）というあまり目立たない仮想通貨の売買をおこない、不正に価格を釣り上げたうえで、XEMやBTCに変換し、入出金を許可していたユーザーに資金を集めてから出金をおこなう、という巧妙な手口が使われた。

Zaifについてかなり詳しく、計画的な手口だったように思えてしまう。

その後

APIキーのIPアドレス制限や、出金時のセキュリティ強化がおこなわれたようで、少し遅すぎる改善となった。

また、被害にあわれた方については補償もおこなうということで、ひと安心といったところだろうか。しかし、5月1日現在いまだに補償はおこなわれていないようだ。

APIキーの不正利用で取引及び出金に遭われたお客様に対する対応方針について

被害者の方はツイッターで逐次報告しているようなので、興味がある方は覗いてみて欲しい。

被害者ツイッター