へっぽこシステムエンジニアがコインチェックのセキュリティ対策を読み解く!

こんにちは。エッジです。

今でこそセミリタイヤして、無職になっていますが、前職は某社のシステムエンジニアでした。セキュリティは専門外ではありますが、システム構成などでは多少知識があります。

昨日、コインチェックのプレス発表「仮想通貨NEMの不正送金に関するご報告と対応について」を読んでいて、セキュリティ対策のところが初歩的な内容が多くて、対策前はどんな状況だったのかと逆に心配になっちゃいました。コインチェックは社外から遠隔(リモート)で社内ネットワークに接続できる環境だったようなので、厳しく制限が必要です。


一方、一般の方々には専門用語が多くて、分かりにくいという意見もあります。

詳細には書かれていないプレス発表なので、憶測を含みますが、補足説明を試みます。

(1)ネットワークの再構築

当社は、本事案を踏まえ、当社の社内ネットワークの再構築を実施しています。新ネットワークにおいては、外部ネットワークから社内ネットワークへの接続に対する入口対策を強化するとともに、社内ネットワークから外部ネットワークへの接続に対する出口対策においても多層防御を行います。また、当社内部におけるアクセス制限や、外部からのアクセス制限を強化し、外部からのサイバー攻撃の防御と監視を行ってまいります。

入口対策は外部ネットワークから社内ネットワークへのアクセスへの対策、逆に出口対策は社内ネットワークから外部ネットワークへのアクセスへの対策となります。図にすると次のような感じです。

社内ネットワークと社外ネットワークの接続点を1つにしておけば、そこに集中的にセキュリティ対策を講ずれば良いので、効率的です。逆にネットワークの接続点が複数あったり、管理もされていないとセキュリティもへったくれも無い状況です。1点接続が重要!

具体的な内容が書かれてありませんので、推測になりますが、入口対策としてはIPSを設置したものと想像されます。

IPSは不正アクセスの自動検知とネットワーク遮断を自動でしてくれる機械です。パソコンのウィルス対策ソフトのように常に最新の不正アクセス方法(シグネチャー)を更新して、ハッキングに備えてくれます。さらに、IPSを使って、24時間365日監視してくれる外部機関があります。なんでも自前でやるのではなくて、頼るところは専門的な外部機関に頼る必要があります。

出口対策は最近増えてきたサンドボックス型装置と呼ばれる特殊な機械もあります。

例えば社内のパソコンがウィルスに感染して、外部のハッカーと不正接続をしたというケースの場合、社内ネットワーク→社外ネットワークへの通信なので、入口対策ではなくて、出口対策が必要になります。

サンドボックス型装置があれば、社内ネットワーク→社外ネットワークの不正な通信を検知することができます。今回のNEM流出事件ではマルウェア感染が原因ということなので、これは導入しておきたいところです。

コインチェックは1ヵ月ほどで検討から対策を終えており、かなりの突貫工事であったと思われます。もし私の想像レベルの対策をしたとすれば、驚異的なスピードです。

(2)サーバーの再設計及び再構築

当社は、本事案を踏まえ、サーバの再設計及び再構築を行っております。サーバの再設計及び再構築に当たっては、セキュリティ対策の強化のため、各サーバ間の通信のアクセス制限の強化、システム及びサーバの構成の見直しを実施しています。特に、機密性の高い重要情報については、暗号化等の方法により管理を強化して、安全性の高い管理を行うことといたしました。今後は、サーバに対してペネトレーションテストを定期的に行うこと等により、定期的に安全性の検証を行い、再発防止に努めてまいります。

サーバ間の通信は基本全て遮断で、本当に必要なものだけを許可するような形にするべきです。サーバがウィルスに感染しても、秘密鍵が格納されているサーバにアクセスできなければ、被害は防げるかもしれません。必要なものだけを許可する、つまり仮想通貨のホワイトリストみたいなものです。

「ペネトレーションテスト」は聞きなれない言葉だと思います。セキュリティ攻撃診断と言えば多少分かりやすいでしょうか。サーバに対して、ホワイトハッカー(機械の場合もあり)がハッキングを試みて、脆弱性が無いかを検査するものです。

新しい脆弱性が出てきたり、新たなハッキング手法が発明されたりするので、毎年行う必要があります。

(3)端末のセキュリティ強化

当社では、業務に使用する端末を新規に購入し、既存端末と入れ替え、端末がマルウェア等に汚染されている潜在的なリスクを排除しています。また、今後の利用にあたっては、上記(1)のファイアウォールに守られた新規ネットワーク上の安全な経路を利用してまいります。
その他、端末認証の強化、社内ネットワークに接続できる端末の制限を行うなど、端末のセキュリティについても強化しています。

これが一番びっくりしたのですが、以前はリモート接続はどうしていたのだろうか・・・と心配になりました。

社内ネットワークに接続できる端末の制限なんて、当たり前のことです。これが制限されていないのなら、セキュリティ担当者は何をしていたのかと憤激ものです。

よくあるのは社内ネットワークに接続できる端末(パソコン)にだけ、証明書をインストールして、その証明書で認証を行うというものです。

(4)セキュリティ監視

当社は、本事案のような外部からの不正アクセス対策として、社内におけるモニタリングの強化に加えて、金融系システムセキュリティ及びサイバーセキュリティ対応に関する外部専門機関によるセキュリティ監視を実施することにより、万が一、外部からの不正アクセスによって、社内ネットワークに侵入を許した場合にも、被害の発生や拡大の防止を図ってまいります。

(1)ネットワークの再構築のところでも書きましたが、24時間365日監視を続けることは社内で要員を抱えるのではなくて、外部の専門機関に委託するべきです。

(5)仮想通貨の入出金等の安全性の検証

サービス再開に向けて、当社は、コールドウォレットへの対応等、安全に入出金等が行える技術的な検証を順次進めております。後記6のとおり、サービス再開に必要な技術的な安全性等が確認した仮想通貨から順次、一部サービスを再開いたします(ただし、BTCは当初より売買を停止しておりません)。なお、これらの対策につきましては、金融系システムセキュリティ及びサイバーセキュリティ対応に関する実績のある外部専門家の確認・検証も経たうえで実施しております。

ここは読者の皆様がお詳しいところだと思います。コールドウォレット対応がメインですね。

エッジが思うことw

だいたいセキュリティ事故が無いと、セキュリティに対する投資を怠りがちです。記者会見において、投資の優先順位を問うような質問がありましたが、経営判断としてセキュリティに対する投資は優先順位が低い会社が一般的に多いです。

今回のNEM流出事件によって、コインチェックのセキュリティレベルは飛躍的に高まり、おそらく他の取引所よりも高いレベルになったのではないかと推測しています。他の取引所も他山の石として、セキュリティ対策を強化して欲しい、それが仮想通貨業界の発展に寄与するものだと思います。

BINANCEにおいて、不正に取得されたAPIキーで売買された時、自動検知システムが動作して、出金を止めたそうです。


セキュリティの教科書には出てこないような不正検知システムです。事業内容や運用形態に応じて、不正検知システムを作らないといけないので、コインチェックもがんばって欲しいと心から応援しています!

シェアする

  • このエントリーをはてなブックマークに追加

フォローする