Liquid(リキッド)が不正アクセスの最終報告
仮想通貨取引所Liquid(リキッド)の運営元であるQUOINE株式会社が、2020年11月に発生した不正アクセスに監視、調査を進めた最終報告をした。
2020年11月13日に発生した当社利用のドメイン登録サービスにおける不正アクセスにつきまして、最終報をお知らせページに掲載いたしました。https://t.co/V3nnbqtjMB
— QUOINE Japan 公式 (@QUOINE_Japan) January 20, 2021
当NEXTMONEYの特集記事「Liquid CEO、仮想通貨取引所のハッキング状況を説明」で報じたように、Liquidは2020年11月13日当時、同取引所が利用しているドメイン登録サービス「GoDaddy」内のアカウントに不正アクセスが確認された。その後、Liquidテクノロジー部門が中心となり、同社内の調査を実施した結果、2020年11月13日~11月14日の期間に同取引所ユーザーから届いた問い合わせメールの一部を第三者が不正に取得できる状態になっていたことが判明している。
Liquidによる第一報では、2020年11月13日~11月14日にメールを経由して問い合わせていたユーザーのメールアドレスおよび記載内容が流出した可能性があるほか、これとは別に、ユーザーのAPIトークンが不正取得された懸念があると発表していた。
当時Liquidでは、不正アクセスが確認されたことで、11月13日21時30分頃より、仮想通貨の入出金停止措置を講じていた。
第一報から2日後の11月18日に第二報を発表。さらに詳細な調査を続けた結果、コアドメイン名の1つを管理するドメインホスティングプロバイダーGoDaddy社にて、Liquidアカウントおよびドメイン登録情報が第三者によって変更されたことを報告している。
その後不正侵入を実行した第三者が、LiquidのDNS(ドメイン・ネーム・システム)レコードを変更。これにより、複数の内部メールアカウントを制御できるようになり、不正アクセスし、ユーザーの個人情報等にアクセスできるようになったと考えられると報告していた。
最終報告内容
Liquidでは、その後も継続してデータ格納業者の協力も含めた、綿密な社内調査と分析をした結果、次の内容を最終報告として発表した。
不正アクセスを受けた個人情報は、2020年11月13日までに口座開設や取引開始の作業時に入力した、ユーザーのメールアドレス、氏名、暗号化されたパスワード、APIキー等169,782件。
次に、不正アクセスを受けた可能性のある個人情報は、2018年10月までに本人確認プロセスのために提供したユーザーの身分証明書、セルフィー画像、住所証明等の本人確認書類28,639件。さらに、不正アクセスを受けた可能性のある情報は、ユーザーからLiquidへ送信したメール(対象期間:2020年11月13日(金)午前5時58分から2020年11月14日(土)午前1時39分)だった事を公式サイト上で発表した。
不正アクセスに対するLiquid 側の対策
2020年12月23日に、高度なセキュリティ機能を提供しているアカウント・ドメイン管理会社の移行を完了。2021年1月4日にはセキュリティ面で優位性のあるクラウド管理サービスへの移行を完了。これと同時に、社内での開発関係のセキュリティ管理プロセスの厳格化を実施したという。
なお、Liquidは最終報告と合わせ、公式サイトで次のように述べている。
システムリスク管理態勢についての改善を進めており、今後も安心してご利用いただけるよう体制を整備して参ります。