メアドをハックされて、ビットコインを盗まれた。二段階認証マジ大事。


メアドを乗っ取られて、ビットコインを盗まれました。

まさかこんな目に遭うとは。。。

 

FX関連のスラングで「おはぎゃー」という用語があります。
FXだと株と違って、(日本時間の)夜中も動いてますから、
起きたら思いっきり含み損が発生してたり、強制ロスカットされてたりすることがあり、そこからうまれた言葉です。

5月中旬から噂の仮想通貨、Bitcoinを始めて、ちょうど5月のバブルがはじける直前だったので、高い値段で買ってしまい、「しばらくは待つかー」と静観していた矢先。
別に胸騒ぎがしたわけでもないのに、朝、少し早く起きて、メールチェックをすると、Coincheckのパスワードがリセットされ、何故か勝手に手持ちのビットコインが売買された上に、あまつさえどこかへ送金されています。
パスワードリセットから、送金までわずか4分。

・・・・は?

なんじゃこりゃ、と確認しようにも、当然ログインできません。再度パスワードを再発行し、ログインするも、金がない。
最初3万、そのあと12万ツッコんで、総額15万くらい入れてビットコイン、リップル、ナムを買ってたんです。
で、12万くらいまで減っちゃって、前述の通り「ここは待ちかー」と様子をみてたんですが、
まずリップルとナムが売られて、その金でビットコインを購入、その後ビットコインをどっかへ送金。
で、手持ちの金額、975円。

なんですかこの罰ゲーム。
たしかに、面倒臭がって二段階認証してなかったのはまずかった。というか、まさかこんな目に遭うとは夢にも思わず、普通に油断してた。
つうか株ドットコムも二段階認証ないんだけど、大丈夫か?

にしても・・・あ、メールのパスワードか。
仕事とかメインで使ってるメアドとは別に、会員登録用で使ってるメアドがあるのですが、パスワードをリセットされてる所をみると、メールのパスワードをハッキングされたっぽい。メールの乗っ取りです。
もう8年くらい前に設定したのですっかり忘れてたけど、確認してみたら、たしかに脆弱なパスワードだった。。。
とりあえずCoincheckのカスタマーセンターに連絡。待ってる間に、メアドのパスワードを変更。
6:57に連絡したんですが、営業時間10時からなのに、9:28に返信をくれました。偉いぞ!!

取り急ぎお客様のアカウントにて以下の制限と対応をさせて頂きました。

・取引及び送金の制限対応
・強制ログアウト対応(不正アクセス者のログアウト)

弊社にて不正利用の調査を実施し、調査結果をご報告いたしますのでいましばらくお待ちください。

とのこと。
まあ、もう送金のしようがないけどね!!!( ゚∀゚)アハハ八八ノヽノヽノヽノ \ / \/ \

さらに10:36に追加のメールがきて、

このログイン、送金依頼についてお客様の覚えがない場合、
第三者がご登録のメールアドレス、パスワードを取得したのちログイン、
また操作をした可能性がございます。
同時に、ご利用のメールアドレス自体のパスワードも不正に取得され
メールの受信、閲覧等の操作をされた可能性もございます。

その場合「不正アクセス行為の禁止等に関する法律」に反する可能性が高いため、
警察等にご相談することをおすすめいたします。

また、今後も不正利用の可能性がございますので、
現在はアカウントでの取引、送金を制限させていただいております。

(中略)

またメールアドレス自体が第三者によって乗っ取られている可能性も考えられますので
メールアドレスの変更も推奨いたします。

送金先の特定に関しまして、
仮想通貨の特性上、通貨がCoincheck外部へ送金された場合は
送金先をお調べすることが出来かねてしまいます。

弊社では不正ログイン防止に向けて最善を尽くしておりますが、
第三者よって当該メールアドレス、またパスワードが知られてしまった場合、
それによって生じたユーザー様への被害に関しては、責任を負いかねてしまいます。
誠に申し訳ございません。

アハー。
まあそうですよね。
とりあえず不正アクセスに関する届出について:IPA 独立行政法人 情報処理推進機構にメール。
あ、そういえばIPAからは今の所、何の返事もないです。

警察に行ってきた

「不正アクセスの被害にあった」と警察に電話。いちおう話は聞いてくれて、「証拠をもってきてくれ」という話になったので、昼飯ついでに警察署行ってきました。
刑事課です、わーお。

とりあえず不正取引やCoincheckとのやりとりのメールを印刷して持参。
あとで確認したら、通されたのは取調室ではなくて「相談室」だったそうです。残念ながらカツ丼はもちろん、お茶も出ませんでした。
刑事も名乗らなかったんだけど、何なのさヽ(`Д´)ノ

アラサーくらいの日に焼けた精悍なイケメン刑事が対応してくれました。
左手の薬指に指輪してたので、「そりゃそーだよなー、警察官でイケメンなんて、引く手あまただろなー。殉職する可能性あるけどそれはそれで保険金入るし」と思ったわけではありませんが、そんなにパソコンとか詳しい方ではないそうだったものの、それなりに真面目に話を聞いてくれました。
僕が起きた時間を証明するために、iPhoneの目覚ましアプリの記録も印刷して持って行ったんですが、「こんなことできるんですか、凄いですね」と妙に食いついてたので、スマホも詳しくなさそう。

仮想通貨で、リップルが、ナムが、といってもわからないだろうから、「FXで米ドルや人民元を買ってたんだけど、日本円に変えられて、第三者に送金された」とたとえて説明。いちおうわかってもらえたらしい。
ログインしたIPアドレスもわかってるんだけど、プロバイダの契約者や、使っていたパソコンがわかっても、「誰がやったか」までは特定が難しく、誤認逮捕の恐れもあると弱腰。弁護士を通してればいいのかもしれないけど、12万程度の被害だと、弁護士費用も高く付くし、なんかもうね。

とはいえ、ノート2ページ分にメモをしてくれ、「生活安全課に詳しい人がいるから」と担当自ら呼びに行ってくれたものの、どうにもパソコン詳しい方、忙しいらしく、捕まらず。
結局、こういう場合って、被害届を出すのは僕ではなくて、webサービス側だそうで(たしかになんかそんな事を聴いた覚えがある)、「記録は残しておきます」ということで聞き取り終わり。まともに話を聞いてくれただけでも、少し気が晴れました。

サーバーにも連絡してみた

その後、「メールのパスワードが辞書攻撃受けたってことだろうけど、鯖側はそのIPをロックしたりしないのか?」と思い至り、サーバーへ連絡。
ログの一部を送ってくれたんだけど、なんと、6月初旬に、1日で30件ほど攻撃していた模様。その後音沙汰なく、犯行直前にログインに成功。
特定回数ログインに失敗すると、その接続元IPを拒否するようにはしているそうだけど、30回だと許容範囲内。
たぶんログイン成功後、Coincheckからのメールが来てるのを見て、ビットコインの不正送金を思いついたんだと思われます。

余談だけど、よく暗合化zipを送って、その後パスワードを送るけど、あれもメール見られてたら意味ないよね。
TwitterやslackのDMやFacebookのメッセで送った方が安全そう。もちろん、TwitterやslackのDMの通知がメインのメールとは別なのが前提だけど。

まとめ

・パスワードは簡単なものにしちゃダメ、絶対。
・メールがハックされると、わりと終わる。
・二段階認証マジ大事。特に金が関わるサービスだとマジ洒落ならん。

お仕事募集してます

と、ネットで泣き言言ってましたら、お仕事頂けました。ありがとうございますありがとうございます。
7月一杯はそちらで忙しくなりそうなのですが、引き続き定期契約のお仕事は募集しております。
お知らせの更新などの簡単なhtmlの修正・ページの追加から、WordPressのカスタマイズなどありましたら、ぜひご相談ください。パスワードの扱いについては今回の件で懲りましたので、非常に丁重になりますのでご安心ください:(;゙゚’ω゚’):