仮想通貨取引所Liquid(リキッド)、不正アクセスの最終報告

Liquid(リキッド)が不正アクセスの最終報告

仮想通貨取引所Liquid(リキッド)の運営元であるQUOINE株式会社が、2020年11月に発生した不正アクセスに監視、調査を進めた最終報告をした。

NEXTMONEYの特集記事「Liquid CEO、仮想通貨取引所のハッキング状況を説明」で報じたように、Liquidは2020年11月13日当時、同取引所が利用しているドメイン登録サービス「GoDaddy」内のアカウントに不正アクセスが確認された。その後、Liquidテクノロジー部門が中心となり、同社内の調査を実施した結果、2020年11月13日~11月14日の期間に同取引所ユーザーから届いた問い合わせメールの一部を第三者が不正に取得できる状態になっていたことが判明している。

Liquidによる第一報では、2020年11月13日~11月14日にメールを経由して問い合わせていたユーザーのメールアドレスおよび記載内容が流出した可能性があるほか、これとは別に、ユーザーのAPIトークンが不正取得された懸念があると発表していた。

当時Liquidでは、不正アクセスが確認されたことで、11月13日21時30分頃より、仮想通貨の入出金停止措置を講じていた。

第一報から2日後の11月18日に第二報を発表。さらに詳細な調査を続けた結果、コアドメイン名の1つを管理するドメインホスティングプロバイダーGoDaddy社にて、Liquidアカウントおよびドメイン登録情報が第三者によって変更されたことを報告している。

その後不正侵入を実行した第三者が、LiquidのDNS(ドメイン・ネーム・システム)レコードを変更。これにより、複数の内部メールアカウントを制御できるようになり、不正アクセスし、ユーザーの個人情報等にアクセスできるようになったと考えられると報告していた。

最終報告内容

Liquidでは、その後も継続してデータ格納業者の協力も含めた、綿密な社内調査と分析をした結果、次の内容を最終報告として発表した。

不正アクセスを受けた個人情報は、2020年11月13日までに口座開設や取引開始の作業時に入力した、ユーザーのメールアドレス、氏名、暗号化されたパスワード、APIキー等169,782件。

次に、不正アクセスを受けた可能性のある個人情報は、2018年10月までに本人確認プロセスのために提供したユーザーの身分証明書、セルフィー画像、住所証明等の本人確認書類28,639件。さらに、不正アクセスを受けた可能性のある情報は、ユーザーからLiquidへ送信したメール(対象期間:2020年11月13日(金)午前5時58分から2020年11月14日(土)午前1時39分)だった事を公式サイト上で発表した。

不正アクセスに対するLiquid 側の対策

2020年12月23日に、高度なセキュリティ機能を提供しているアカウント・ドメイン管理会社の移行を完了。2021年1月4日にはセキュリティ面で優位性のあるクラウド管理サービスへの移行を完了。これと同時に、社内での開発関係のセキュリティ管理プロセスの厳格化を実施したという。

なお、Liquidは最終報告と合わせ、公式サイトで次のように述べている。

システムリスク管理態勢についての改善を進めており、今後も安心してご利用いただけるよう体制を整備して参ります。

Liquid CEO、仮想通貨取引所のハッキング状況を説明

2020.11.19

ABOUTこの記事をかいた人

NEXTMONEY

NEXT MONEY運営です。 「話題性・独自性・健全性」をモットーに情報発信しています。 読者の皆様が本当に望んでいる情報を 日々リサーチし「痒いところに手が届く」 そんなメディアを目指しています。