ゆらりんDAYS【はてな別館】

ゆらりんです。好きな言葉は「ゆとり」です。日々忙しい兼業主婦がゆるっとした日常を送るための、努力の軌跡です。

【仮想通貨】BitZeny Walletのパスワードが盗まれた?不正ログイン問題でWalletを変えたお話。追記あり。

こんにちは!ゆらりんです。

 

仮想通貨本体の記事を書く前に、次々と問題が勃発する仮想通貨業界です。

 

私も、問題というか、ちょっと信じられない出来事に遭遇しました。

 

今回は、ワタシ一押しの草コイン、BitZenyの公式ウォレットからパスワードが流出したときの話です。

 

 

▼BitZenyのマイニングの話はコチラから。

 

yuralin.beautifullady-nico.com

 

 

 

BitZeny Walletに不正ログイン問題、勃発。

発端は、マイニングしたBitZenyを送って貯めていたBitZeny Walletからの、このツイート。

 

 

「不正ログインって…?でも私には関係ないよね~」なんて軽く思っていたところ、ワタシのところに以下のようなメールが届きました。

BitZenyオンラインウォレットより緊急のご連絡
受信トレイ
x

BitZeny Wallet <support@bitzeny.jp>
3月1日 (2 日前)
To 自分
 様

お客様のIDとパスワードの組み合わせが流出している可能性があり、
パスワード変更をお願いいたします。
不正な送信を防ぐため、パスワードを変更するまで送信ができない
ようにしています。パスワード変更後に送信できる状態になります。

ログイン時にアカウントがロックされていてログインできない人は、
本メールを返信ください。ロックを解除いたします。


詳細につきましては現在調査中です。


※メール確認が済んでいない方にもお送りしています。
 BitZenyオンラインウォレットをご利用でない方はお知らせください。

-----
BitZeny Wallet
support@bitzeny.jp

 

え?どういうこと?

 

きちんとセキュリティソフトも入れて更新もしているし、定期的にウイルスチェックなどもしてるし、特に仮想通貨関係はパスワードも使い回ししないように気をつけてるのに…

 

と思いました。

 

念のため、サイトを確認すると、ロックされています。

 

詐欺ではないと思うのですが、念には念を入れてサポートに直メールしたところ、下のような返答で「IDとパスワードの組み合わせの流出の可能性」を確認できました。

BitZeny Wallet
3月2日 (1 日前)
To 自分
ロックを解除しました。
現段階では流出の可能性があるという感じです。


お客様のIDとパスワードの組み合わせが流出している可能性があり、
パスワード変更をお願いいたします。
不正な送信を防ぐため、パスワードを変更するまで送信ができない
ようにしています。パスワード変更後に送信できる状態になります。

詳細につきましては現在調査中です。

-----
BitZeny Wallet
support@bitzeny.jp

 

早速、パスワードを変更、ほっと一息つきました。

 

追加のメールが届いた...

パスワードを速やかに変更し、「ふう、やれやれ…これで安心ねっ。」と思っていたところ、このツイートをみて、愕然。

 

 

 

これ、パスワードが流出したワタシも危ないってこと…?とおののいていたところ、ワタシのところにもメールが届きました。


BitZeny Wallet
20:52 (17 時間前)
To 自分

調査の結果、現状パスワードを変えて頂いていますが、それでも対策が
不十分で、一旦ウォレット内のコインを早急に別のウォレットへ移して
いただくことが必要という判断に至りました。対象となるのは全ユーザー
ではなく、下記の問題が発生した一部のユーザーです。
該当しているユーザーに本メールをお送りしています。

流出経路は未だに分かっていませんが、コインを不正に送信されている
ユーザーを調べたところ、何らかの原因で、過去に生のパスワードを
サーバーへ送信してしまったことのあるユーザーであることが分かりました。

 
以下、いろいろと原因や対策が書いてあるのですが、「これ以上の情報流出を避けるのにご協力」するということで割愛します。
 
 
こうなると、これ以上BitZeny Walletに預けておくのは心配…
 
 

BitZeny WalletからCriptBridgeへ。BitZenyを送信!

そこで、以前念のため解説しておいたCriptBridgeのアカウントへBitZenyを送信。

f:id:nico100project:20180303153932p:plain

 
これまでにマイニングした108ZNYをすべて送ろうとしましたが、これは「トランザクションが大きすぎます」と失敗。
キリが良いところで100ZNYにしたところ、うまく送信できました。
 
CriptBridgeのアカウントでも、100ZNYの入金が確認できています。

f:id:nico100project:20180303153631j:plain

 
はじめて送信してみましたが、5分かからずに着金していました。
なくならなくて、よかった~。
 
 
でも、もともとBitZeny Walletを利用していたのは、CriptBridgeをはじめとする海外取引所のWalletに不安を覚えていたからであって、何となく本末転倒な気がしています…。
 
 

★2018/3/5追記 マイニングしたBitZenyも、ちゃんとCriptBridgeに届きました~

今までBitZeny Walletを送信先にしていたマイニング分のBitZeny。

今回のことを受けて、送信アドレスをCriptBridgeに変更しました。

 

一晩たって確認したところ、ちゃんと受信できているようで一安心です。

f:id:nico100project:20180305110209j:plain

 

★2018/3/5追記~結局ニーモニックも流出してました...

と安心してゆっくり寝ていた2018/3/4朝、のんびりと朝のひと時を過ごしながらメールをチェックしていると…
 
身に覚えのない送信履歴がたくさん!!!

f:id:nico100project:20180305110830j:plain

 
これ、ほんの1時間あまりの間の送信通知です。
送信アドレスはすべて同じ。
 
至急、BitZeny Wallet運営に問い合わせたところ、以下のようなメールをいただきました。

f:id:nico100project:20180305111048j:plain

 
さらに、運営側から以下のようなメールが届きました。

f:id:nico100project:20180305111150j:plain

 
もちろん、ただちにアカウントは破棄しました。
 
その後、怪しい送金履歴のメールは止まりましたので、運営が何か手を打ったものと思われます。
 
 
ワタシの8ZNYには手を付けられてませんので実害はないのですが、自分のアカウントが詐欺かなにかの温床になっているというのは、あまり気持ちの良いものではありません...
 
 

今後の対策~BitZeny対応のハードウェアウォレット、出ないかなあ?

ということで、今回は一応事なきを得たBitZeny WalletのID・パスワードの流出騒動ですが…
そして、今回の件に関しては、完全にBitZeny Wallet側の問題ということなのですが...
 
一応ユーザー側として安全に仮想通貨を利用するための今後の対策についてちょっと考えてみました。
 

1 ID、パスワードは使いまわししない、Webに保管しない

これ、当たり前ですが、意外とできていない方、多いのではないでしょうか?
何を隠そう、ワタシもその一人です。
 
 
仮想通貨関係はさすがに使いまわししないようにしていますが、サイト閲覧用のパスワードは同じものを使用し、さらにブラウザに保存までしてました…
 
 
使いまわしをしていると、一つ流出したら同じパスワードを使用しているほかのものまで不正利用されてしまいます。
 
 
わたしたちの日常にWebがあるのが当たり前になり、昔はきちんと管理をしていた方でも、ちょっと最近パスワードの管理がルーズになっている、ということはないでしょうか?
 
 
自分で管理をするのが大変なら、信頼できるセキュリティソフトでパスワードを管理するという方法もあります。
 
 
ワタシは、主に仮想通貨の管理で利用しているノートPCが6年前のものであり、スペックが微妙で、普段愛用しているカスペルスキー セキュリティ が重くてほとんど使い物にならなかったので、【アバスト】30日間無料体験版、返金保証付き を利用しています。
 
 
セキュリティソフトに任せると、自分はラクできますよ~
 
 

2 本当はハードウェアウォレットがほしいけど、BitZenyは対応してません。

一応、今のところ比較的安全度が高いのがハードウェアウォレットだとされています。
 
残念ながら、現在市販されているLedger NanoS 暗号通貨ハードウェアウォレットTrezorともに2018年3月現在では、BitZenyにはまだ対応しておりません。
 
これはとても残念な話なので、そのうち対応になることを祈ります。
 
 

まとめ

どこか他人事と思ってみていたID、パスワード流出が自分にも起こり、とても驚いています。
 
 
自分の大切な資産を守るためなので、どれだけ対策をしてもしすぎることはないと思うし、対策をしていてもダメなこともあるということを学びました…
 
 
これからも、きちんとIDやパスワード、ニーモニックフレーズなど、大切なデータをきちと保存したいと思います。
 
 
 
Ledger Nano S(レジャーナノエス) 
 
 
 
 ▼マイニングよりも手がたく仮想通貨に投資したい方へ。積み立てという方法もありますよ。