セキュリティインシデント事例とブロックチェーンモニタリング・分析サービスcatabiraのご紹介 / Case of security incidents of cryptocurreny and introduction of blockchain monitoring and analysis service "catabira"

Transcript

1. 1 セキュリティインシデント事例とブロック チェーンモニタリング・分析サービスcatabira のご紹介 2019/2/27 Naochika Hanamura

2. 創業時よりスタートアップ企業やエンジニアのための B2B SaaS を開発・運営。 2019年1月、ブロックチェーン特化型データアナリティクス・プラットフォーム catabira.com をローンチ。 社名である catabira (カタビラ)

   の由来は鎖帷子（くさりかたびら）。 •  設立 : 2015年8月4日 （2018年8月1日より現在の社名へ変更） •  代表取締役 : 池内 孝啓 •  本社 : 東京都新宿区 会社紹介：catabiraについて 2

3. 池内 孝啓 / Takahiro Ikeuchi •  株式会社catabira 代表取締役 CEO • 

   きりんカルテシステム株式会社 技術 顧問 •  株式会社SQUEEZE 技術顧問 エンジニアバックグラウンドのボードメンバーでチームを構成して います 花村 直親 / Naochika Hanamura •  株式会社catabira 取締役 3 •  ソフトウェア企業を経た後、2016年より デロイトのエンジニアとしてデータ分析 やR&Dに従事。ブロックチェーンデータ の分析基盤構築や暗号通貨監査など を経験。 •  ITベンチャー数社を経て2011年に 株 式会社ALBERTへ入社。ECサイト向け 商品推薦システムの開発やデータ活 用クラウドプラットフォーム事業の立ち 上げなどに従事。執行役員として2015 年に東証マザーズ上場を経験後、独 立起業。

4. 1.  最近のセキュリティインシデント事例の紹介 2.  最近のセキュリティに関連する参考ソース 3.  ブロックチェーンモニタリング・分析サービスcatabiraについて 4.  catabiraのセキュリティとの関連性 本日は最近のセキュリティインシデント事例とcatabiraのご紹介をさ せていただきます

   AGENDA 4

5. 5 最近のセキュリティインシデント事例の紹介

6. •  2018: A Record-Breaking Year for Crypto Exchange Hacks(coindesk.com) https://www.coindesk.com/2018-a-record-breaking-year-for-crypto-exchange-hacks

   ハッキング被害はいまだに多く記録されており、インシデント事例 を見て今後の知見に変えたいと考えています 6

7. 7 本発表に掲載している事例の内容につきましては、実際に起こったハッキングと、その 後発表された内容から被害、原因、その後の結果を推測した内容になります。 本事例集は特定企業に対して被害方法を断定するもの、また特定企業への意見を表 明するものではありません。ユースケースとしてあり得るセキュリティインシデントを抽 出することに主眼をおいたものです。 また推測内容は個人の見解であり、内容の判断は各自の責任でお願いいたします。 免責事項

8. 過去にセキュリティインシデントについて収集した事例では、基本 的な対応で防げたものもありました 2012೥ Aࣾ ໿15ԯԁ૬౰ͷ BTC 2016೥ Bࣾ ૯༬Γࢿ࢈ͷ໿ 12%ͷBTCʢֹۚ

   ͸ෆ໌ʣ 2016೥ Cࣾ ໿70ԯԁ૬౰ͷ BTC 2014೥ Dࣾ ෆ໌ʢ࠷େ386BTC ͱݴΘΕΔʣ ࣌ظ औҾॴ ඃ֐ֹ ߈ܸख๏ ϋοΩϯά ޙͷ݁Ռ औҾॴΛด࠯͠ɺ ࢒ΓͷࢿۚΛશ ͯސ٬ʹ෷͍໭ ͠ શֹΛސ٬ࢿ࢈ ʹอূ τʔΫϯͷൃߦ ͱ8ϲ݄͔͚ͯ ͷิঈ ഁ࢈ αʔόʔʹ৵ೖ͠ɺ ҉߸Խ͞Ε͍ͯͳ͍ ൿີ伴ͷόοΫΞο ϓΛऔಘ ग़ۚίʔυͷ੬ऑੑ Λ͍ͭͨ߈ܸ Ϛϧνγάͷ͏ͪ2 ͭΛ౪೉ τϥϯβΫγϣϯల ੑΛ͍ͭͨ߈ܸ 8 ࢀߟ) աڈͷൃදʮϒϩοΫνΣʔϯαʔϏεͷηΩϡϦςΟΛߟ͑ΔʯΑΓ https://speakerdeck.com/naomasabit/hurotukutiensahisufalsesekiyuriteiwokao-eru

9. 9 2019年のE社の事例では、93時間に渡り76000個以上のアドレスから 流出しており、被害の事後対応が後手に回った可能性があります ߈ܸख ๏ Πϯγ σϯτ ݪҼ ඃ֐ͱࣄޙରԠ 1600万ドル（約17億5000万

   円）相当のETHとERC20トーク ン •  ハッキング開始から22 時間後にメンテナンスを 開始 •  ハッキング開始から43 時間後にハッキングの 発表 •  ハッキング開始から93 時間に渡り流出が完了 した •  2週間後、さらにハッキン グを受けた ඃ֐ֹ ࣄޙର Ԡ ߈ܸ •  多額資金のあるホットウォレットから資金 を盗難 •  その後、93時間に渡り数万のアドレスか ら盗難し続けた •  顧客も含む、数万の秘密鍵を保存してい るDBにアクセスしたと考えられる •  調査中であるが、外部犯行であれば モニタリングプロセスが動いておらず、 検知までに時間がかかった可能性が ある •  あるいは秘密鍵のバックアップがな く、検知後も対応ができなかった

10. 時刻は全てUTC •  1月13日 pm13:30: ETH保管用ホットウォレットからETHが盗難された •  1月13日 pm13:35: トークン保管用ホットウォレットからERC20トークンが盗難され始 めた

    •  1月14日 am 5:49: トークン保管用ホットウォレットからのERC20トークン盗難が完 了した •  1月14日 am 5:58: 76,000アドレス以上の顧客アドレスから資金が盗難され始めた。 1月17日 am 11:58まで続く •  1月14日 pm 11:00: 取引所はメンテナンスを発表した •  1月15日 am 8:00: 取引所はセキュリティインシデントがあった事を発表した •  1月17日 am 11:58: 最後のハッキングが完了 インシデントのタイムラインは以下の通りであり、4日間に渡りハッ キングは行われたと調査されている 10

11. この時資金が動いた 当該取引所の被害にあったと思われるアドレスについて、12時間集 計でのETH出金額合計チャートは以下の通りです 11

12. ICO事例 •  ある取引所がICOを実施して調達した約13,000ETH（約3.4億円）以上を持ち去った •  関与していない著名人をウェブサイトに載せてICOを行うなどの事例がある 取引所事例 •  約900BTC(約6.6億円)の「ハッキングを受けた」として取引所、SNSなど連絡手段 を閉鎖した。本当にハッキングを受けた可能性もあるが、出口詐欺の可能性も疑 われている

    その他 •  ポンジスキームを走らせて流通していたプラットフォームが急に閉鎖した また盗難以外にも、Exit Scam（出口詐欺）もトレンドの脅威になっ ています 12

13. 13 セキュリティに関連する最近のデータソース

14. Crypto Theft Incidents Timeline, Kyle S Gibson - Draft 1

    Feb. 26 2019 https://ja.scribd.com/document/400578578/Crypto-Theft-Incidents-Timeline-Kyle-S- Gibson-Draft-1-Feb-26-2019? fbclid=IwAR3Qotmmn6S41r1F6Ws_7tSs8Q7Vo6Wkk7O4GzmuaFIo4SJBtwZFzsMKSn8 その他、盗難や出口詐欺などを分類して、一覧をまとめているの ハッキング事例集なども公開されつつあります 14 ※信ぴょう性や正確性は個々の判断でお願いいたします

15. CipherTrace社のAMLレポートが公開されており、脅威のトレンドなど も10種類が挙げられています 1. SIM Swapping An identity theft technique that

    takes over a victim's mobile device to steal credentials and break into wallets or exchange accounts to steal cryptocurrency. 2. Crypto Dusting A new form of blockchain spam that erodes the recipient's reputation by sending cryptocurrency from known money mixers. 3. Sanction Evasion Nation states using cryptocurrencies has been promoted by the Irania and Venezuelan governments. 4. Next-Generation Crypto Mixers Money laundering services that promise to exchange tainted tokens for freshly mined crypto, but in reality, cleanse cryptocurrency through exchanges. 5. Shadow Money Service Businesses Unlicensed Money Service Businesses (MSBs) banking cryptocurrency without the knowledge of host financial institutions, and thus exposing banks to unknown risk. 6. Datacenter-Scale Crypto Jacking Takeover attacks that mine for cryptocurrency at a massive scale have been discovered in datacenters, including AWS. 7. Lightning Network Transactions Enable anonymous bitcoin transactions by going "off-chain," and can now scale to $2,150,000. 8. Decentralized Stable Coins Stabilized tokens that can be designed for use as private coins. 9. Email Extortion and Bomb Threats Cyber-extortionists stepped up mass-customized phishing emails campaigns using old passwords and spouse names in 2018. Bomb threat extortion scams demanding bitcoin spiked in December. 10. Crypto Robbing Ransomware Cyber-extortionists began distributing new malware that empties cryptocurrency wallets and steals private keys while holding user data hostage. 15 ※技術自体の可能性を否定するわけではなく、悪用できる手法がありうるという点でトレンド技術を 記載していると理解している https://ciphertrace.com/wp-content/uploads/2019/01/crypto_aml_report_2018q4.pdf

16. 国内研究会 CGTF •  Cryptoassets Governance Task Force (CGTF)は、正式な金融当局または自主規制 団体による検討に先立ち、 セキュリティ専門家と仮想通貨交換業者の関係者で、利

    用者・消費者保護のリスク管理のための安全対策基準の策定を目的として設立され た研究会です。 •  公式サイト　https://vcgtf.github.io/ CGTFの投稿したインターネットドラフト •  「General Security Considerations for Cryptoassets Custodians」（公式サ イトに日本語版もあり） •  https://datatracker.ietf.org/doc/draft-vcgtf-crypto-assets-security- considerations/ 取引所、カストディアンのセキュリティ対策に関しては国内研究会 がまとめている文書が参考になります 16

17. 17 ブロックチェーンモニタリング・分析サービス catabiraについて

18. •  ブロックチェーン全体のデータ可視化 catabiraはブロックチェーンビジネスのためのデータアナリティクス プラットフォームで、可視化・モニタリング・分析機能を持ちます 18

19. アドレス登録画面 ユーザーはアドレスとチャートの設定を登録することで、トランザ クションや残高の可視化を行うことができます 19 チャート設定画面

20. 可視化の例として、残高チャートを作ることで、オペレーターは残 高が過剰、過小でないかなどの状態を判別できます 20 100ブロック毎のホットウォレット残高表示チャート

21. catabiraでは検知条件を設定しておく事で、アドレスに対応するブロック チェーン上のトランザクション・残高をリアルタイムに検知可能です 検知条件設定画面 検知に設定可能な条件 •  一定期間における出金額・出金数 •  一定期間における入金額・入金数 •  一定期間における残高の減少・残

    高の増加 •  出金先・入金先 検知アクションの設定画面（HTTPS / Webhookなど） 21

22. •  具体例：トークン取引の市場を可視化する事で、犯罪利用アドレスとの取引を識別する AMLに役立たせる catabiraではトランザクションの動きを可視化する事で、内部統制や ガバナンス強化にも役立てられる機能を開発しています •  具体例：保管用コールドウォレットからの出金を可視化する事で、定められたアドレスに だけ出金されているか、内部統制の強化に役立たせる 22 ʢ։ൃதʣ

    ʢ։ൃதʣ

23. 検知の具体例 •  異常な金額の出金指示を検知するため、出金額の閾値を設定し、閾値を超える出金 トランザクションが発生した時に通知を行う •  意図しない出金があった時、チェーンから出金された内容を社内サーバーにHTTPS でPOSTする事で、出金指示内容と突合し、検知できる •  犯罪利用されたアドレスなどを事前登録しておく事で、高リスクアドレスからの入金・ 出金を検知する（AML対応）

    •  内部統制施策として、1日の出金回数が限られたコールドウォレットについて、定めら れた回数を超えた出金を検知する catabiraではアドレスに対応するブロックチェーン上のトランザクショ ン・残高をリアルタイムに検知することが可能です 23 slackݕ஌ྫ

24. catabiraのセキュリティとの関連性

25. NISTからは「重要インフラにおけるサイバーセキュリティフレームワー ク」(CSF)が発表されており、catabiraサービスの役立つ可能性を見ます 25 識別（ID) 防御（PR） 検知（DE） 対応（RS） 復旧（RC） ॏཁΠϯϑϥͷαΠόʔηΩϡϦςΟΛվળ͢ΔͨΊͷϑϨʔϜϫʔΫɹ1.1൛ Framework

    for Improving Critical Infrastructure Cybersecurity Version 1.1(NIST) •  ࢿ࢈؅ཧ •  Ϗδωε؀ڥ •  Ψόφϯε •  ϦεΫΞηεϝϯτ •  ϦεΫ؅ཧઓུ •  ΞΫηε੍ޚ •  ҙࣝ޲্ٴͼτϨʔχϯ ά •  σʔληΩϡϦςΟ •  ৘ใΛอޢ͢ΔͨΊͷϓ ϩηε͓Αͼखॱ •  อक •  อޢٕज़ •  ҟৗͱΠϕϯτ •  ηΩϡϦςΟͷܧଓత ͳϞχλϦϯά •  ݕ஌ϓϩηε •  ରԠܭըͷ࡞੒ •  ఻ୡ •  ෼ੳ •  ௿ݮ •  վળ •  ෮چܭըͷ࡞੒ •  վળ •  ఻ୡ

26. トランザクションや残高をダッシュボードに表示する事は内部統制や、 ガバナンスを強化につながり、「識別」項目に対応します 26 識別（ID) 防御（PR） 検知（DE） 対応（RS） 復旧（RC） ॏཁΠϯϑϥͷαΠόʔηΩϡϦςΟΛվળ͢ΔͨΊͷϑϨʔϜϫʔΫɹ1.1൛ Framework

    for Improving Critical Infrastructure Cybersecurity Version 1.1(NIST) ΨόφϯεʢID.GVʣ: ࣗ૊ ৫ʹର͢Δن੍ɺ๏཯ɺϦ εΫɺ؀ڥɺӡ༻্ͷཁٻ ࣄ߲Λɺ؅ཧ͠ɺϞχλϦ ϯά͢ΔͨΊͷϙϦγʔɺ खॱɺϓϩηε͕ཧղ͞Ε ͓ͯΓɺܦӦ૚ʹαΠόʔ ηΩϡϦςΟϦεΫʹ͍ͭ ͯ఻͍͑ͯΔɻ ID.GV-1: ૊৫ͷαΠόʔηΩϡϦςΟϙϦγʔ͕ɺ ఆΊΒΕɺप஌͞Ε͍ͯΔɻ ID.GV-2: αΠόʔηΩϡϦςΟ্ͷ໾ׂͱ੹೚͕ɺ ಺෦ͷ୲౰ऀͱ֎෦ύʔτφʔͱͰௐ੔ɾ࿈ܞ͞Ε ͍ͯΔɻ ID.GV-3: ϓϥΠόγʔ΍ਓݖʹؔ͢Δٛ຿ΛؚΉɺ αΠόʔηΩϡϦςΟʹؔ͢Δ๏ن੍্ͷཁٻࣄ߲ ͕ɺཧղ͞Εɺ؅ཧ͞Ε͍ͯΔɻ ID.GV-4: ΨόφϯεͱϦεΫϚωδϝϯτϓϩηε ͕ɺαΠόʔηΩϡϦςΟϦεΫʹରॲ͍ͯ͠Δɻ

27. 異常なトランザクションをリアルタイムに検知する事は、「検知」のモ ニタリング項目に対応します 27 識別（ID) 防御（PR） 検知（DE） 対応（RS） 復旧（RC） ηΩϡϦςΟͷܧଓతͳ ϞχλϦϯά

    ʢDE.CMʣ: ৘ใγεςϜͱࢿ࢈͸ɺα ΠόʔηΩϡϦςΟΠϕϯ τΛࣝผ͠ɺอޢରࡦͷ༗ ޮੑΛݕূ͢ΔͨΊʹɺϞ χλϦϯά͞Ε͍ͯΔɻ DE.CM-1: ωοτϫʔΫ͸ɺαΠόʔηΩϡϦςΟͷ જࡏతͳΠϕϯτΛݕ஌Ͱ͖ΔΑ͏ʹϞχλϦϯά ͞Ε͍ͯΔɻ DE.CM-2: ෺ཧ؀ڥ͸ɺαΠόʔηΩϡϦςΟͷજࡏత ͳΠϕϯτΛݕ஌Ͱ͖ΔΑ͏ʹϞχλϦϯά͞Ε͍ͯ Δɻ DE.CM-3: ਓһͷ׆ಈ͸ɺαΠόʔηΩϡϦςΟͷજࡏ తͳΠϕϯτΛݕ஌Ͱ͖ΔΑ͏ʹϞχλϦϯά͞Εͯ ͍Δɻ DE.CM-4: ѱ࣭ͳίʔυ͸ɺݕ஌͞Ε͍ͯΔɻ DE.CM-5: ෆਖ਼ͳϞόΠϧίʔυ͸ɺݕ஌͞Ε͍ͯΔɻ DE.CM-6: ֎෦αʔϏεϓϩόΠμͷ׆ಈ͸ɺજࡏత ͳαΠόʔηΩϡϦςΟΠϕϯτΛݕ஌Ͱ͖ΔΑ͏ ʹϞχλϦϯά͞Ε͍ͯΔɻ DE.CM-7: ݖݶͷͳ͍ਓһɺ઀ଓɺσόΠεɺιϑτ ΢ΣΞͷϞχλϦϯά͕ɺ࣮ࢪ͞Ε͍ͯΔɻ DE.CM-8: ੬ऑੑεΩϟϯ͕ɺ࣮ࢪ͞Ε͍ͯΔɻ ݕ஌ϓϩηεʢDE.DPʣ: ݕ஌ϓϩηε͓Αͼखॱ͕ɺ ҟৗͳΠϕϯτʹ࣮֬ʹؾ ෇ͨ͘Ίʹҡ࣋͞Εɺςε τ͞Ε͍ͯΔɻ DE.DP-1: ݕ஌ʹؔ͢Δ໾ׂͱ੹೚͸ɺઆ໌੹೚ΛՌ ͨͤΔΑ͏ʹ໌֬ʹఆٛ͞Ε͍ͯΔɻ DE.DP-2: ݕ஌׆ಈ͸ɺ֘౰͢Δ͢΂ͯͷཁٻࣄ߲Λ ४ڌ͍ͯ͠Δɻ DE.DP-3: ݕ஌ϓϩηε͕ɺςετ͞Ε͍ͯΔɻ DE.DP-4: Πϕϯτݕ஌৘ใ͕ɺप஌͞Ε͍ͯΔɻ DE.DP-5: ݕ஌ϓϩηε͕ɺܧଓతʹվળ͞Ε͍ͯΔɻ ॏཁΠϯϑϥͷαΠόʔηΩϡϦςΟΛվળ͢ΔͨΊͷϑϨʔϜϫʔΫɹ1.1൛ Framework for Improving Critical Infrastructure Cybersecurity Version 1.1(NIST)

28. 28 Contact Us! Landing Page & Mail Form Get Started

    with catabira! [email protected] https://www.catabira.com/ https://app.catabira.com/