ビットコイン取引所マウントゴックスは先月、匿名のハッカーが偽造ビットコイン(BTC)を使用し、わずか30分でビットコイン価格を17.50ドルから1セントまで下落させたと明らかにした。マウントゴックスのサポート責任者アダム・バー氏によると、ハッカーは6月19日に侵入した管理者アカウントにアクセスし、同社の取引データベースを操作して200万BTCの偽造ビットコインを作成したという。
ハッカーは、侵害したアカウントに約100万ドルの偽造現金を送金しました。大量のビットコインがMt.Goxシステムに流入した後、オンライン通貨の価格は暴落し、買い漁りが起こりました。最終的に、ハッカーはサイトのセキュリティ対策が作動して取引が停止される前に、本物のビットコイン2000枚を盗み出しました。
Mt.Goxは、今回の攻撃でユーザーアカウントが侵害されたことはないと述べ、盗まれたビットコインは同社費用負担で補償すると約束した。バー氏は、偽造ビットコインと現金は「Mt.Gox内にのみ存在していた」と述べ、他の取引所のウォレットに移して利用することはできなかったと付け加えた。
ビットコインは、通貨の偽造を防ぐために公開鍵と秘密鍵のシステムを採用しています。仮想ウォレットでビットコインを売買するには、そのビットコインが本当に自分のものであることを証明するために、正しい秘密鍵(基本的に非常に長い数字)が必要です。取引の相手側は、あなたの公開鍵を必要とします。しかし、バー氏によると、Mt.Goxはリアルタイム取引を行う際に、各ユーザーのビットコインと現金残高を追跡するシンプルなデータベースを利用して取引を行っています。公開鍵と秘密鍵の設定は、ビットコインが取引から引き出され、ユーザーのウォレットに移された後にのみ機能します。
ビットコインシステムは匿名性を保証しますが、ユーザーのウォレットは追跡可能です。Mt.Goxは、盗まれたビットコインを特定するために必要な番号を競合取引所に提供し、犯人が不正に得た利益を現金化できないようにしています。同社は法執行機関にも通報していますが、警察が捜査を行うかどうかは不明です。Mt.Goxは日本に拠点を置いています。
SQLインジェクションの疑い
Mt.Goxのユーザーデータベースが最近オンラインで流出し、同社は匿名のハッカーが流出した情報を利用して管理者アカウントにアクセスしたと疑っています。盗まれたデータベースには、メールアドレス、ユーザー名、暗号化されたパスワードが含まれていました。データベースの盗難方法は不明ですが、Mt.Goxはハッカーが6月下旬に同社が発見したネットワークのSQLインジェクションの脆弱性を悪用したと考えています。
典型的なSQLインジェクションは、悪意のあるハッカーが、名前や住所などを入力するウェブフォームなどのテキストフィールド入力ボックスにコードを入力できるようにするものです。適切な予防措置が講じられていない場合、ウェブサイトのサーバーがコードを実行し、ハッカーがサイトのデータベースにアクセスできるようになります。当初、Mt.Goxは、「[Mt.Gox]のシステムの監査担当者」のコンピュータが侵害されたことをきっかけに、データベースがオンラインに流出したのではないかと疑っていました。
今すぐパスワードを変更してください
暗号化を使用しているにもかかわらず、Mt.Goxは、6月19日の価格暴落後にパスワードを変更していないユーザーに対し、直ちにパスワードを変更するよう警告している。
「ユーザーと一般の人々は、ハッシュ化された(暗号化された)パスワードが解読される可能性があることを認識すべきです。実際、多くのユーザーのより単純なパスワードが解読されています」と、Mt.Goxの親会社Tibanne, LLCのCEO、マーク・カルプレス氏は声明で述べています。Mt.Goxのユーザーは、同じパスワードを使用している他のオンラインアカウントのログイン情報も変更する必要があります。
Mt.Goxは、将来同様のデータ漏洩を防ぐため、ユーザーのパスワードにSHA-512暗号化技術を導入したと発表した。また、管理者が取引データベースを簡単に編集できないようにシステムを変更したとバー氏は述べた。
データ漏洩以来、マウントゴックスは、同社が想定していなかった膨大な量の取引を処理するため、システムの再構築に奔走している。
「当社の時代遅れのシステムは、ビットコインが1セント数セントの価値しかなかった時代に趣味で構築されたものです」と、同社は声明で述べています。「毎日数百万ドルもの取引を安全に処理できるフォートノックスのような存在を目指して構築されたわけではありません。…新サイトの立ち上げは、ユーザーの皆様がサービスに抱く正当な期待を上回るものになると確信しています。ビットコインコミュニティの皆様の信頼を再び得られることを願うばかりです。」
最新のテクノロジー ニュースと分析については、Twitter で Ian Paul (@ianpaul) および Today@PCWorld をフォローしてください。
