Monappyのモナコイン盗難も被害者へ全額補償！なぜ流出したの？

かにたまです。

9月1日、モナコイン（Monacoin）のウォレットサービスである「Monappy」のモナコインが盗難された事件が起こり、現在、閉鎖中になっています。

どうして盗難されたのか？被害状況や現状、犯人について等を記事にします。

Monappyのモナコイン盗難の経緯
Monappyのモナコインが盗難された原因
なぜ仮想通貨をホットウォレットで管理しているのか？
被害状況は？
盗難の被害者全員に全額補償へ
犯人は18歳の少年、逮捕される
最後に

Monappyのモナコイン盗難の経緯

【重要】Monappyへの攻撃についてのご報告を掲載いたしました。この度はユーザーの皆様をはじめご関係者の皆様に、多大なるご迷惑をおかけしていますことを深くお詫び申し上げます。https://t.co/wLhL0kBuqn
— Monappy@monacoin (@_monappy_) 2018年9月1日

昨日の2018年9月4日段階で「Monappy」のホームページ上は上画面のように表示され、サービスが一時停止となっていました。

モナコイン盗難の経緯の詳細は「こちら」をご覧下さい。

Monappyのモナコインが盗難された原因

「Monappy」にて、ホットウォレット（※）でモナコインを管理していたからです。ホットウォレットとはインターネットに繋がっている財布のことで犯人にアクセスされるとハッキングされるからです。

※ウォレット全残高の54.2%を保管しているコールドウォレット内のモナコインについては不正出金はありませんでした。

どうやって盗難したの？ということですが、検証の結果、原因は高負荷時におけるギフトコード機能の不備を利用した悪意ある攻撃によるものということです。

2018年8月27日から2018年9月1日にかけて、攻撃者と見られる複数のユーザー（同一人物の可能性があります）がギフトコードを大量に発行。

同8月29日から9月1日にかけて外部受け取り機能（ログインせずにギフトコードを受け取れる機能）を利用してギフトコードを受け取る際、高い頻度でリクエストを行うことで一つのギフトコードに対し複数回の送金が行われてしまったとのことです。

（なお、この件につきましてメールアドレスやパスワードなどユーザー情報などの流出は確認されておりません）

詳細は「こちら」

なぜ仮想通貨をホットウォレットで管理しているのか？

コインチェック流出事件しかり、今回の事件といい、なぜホットウォレットでモナコインの暗号通貨を管理しているのでしょうか？

それは仮想通貨は電子データのやりとりであり、売買や移動の際、必ずネットに繋ぐ必要があり、コールドウォレットからホットウォレットに移動させる手間が面倒なのでそのままホットウォレットで管理しているのです。

電子のデータであるために売買や送金の際は必ずネットに繋ぐ必要があり、繋いでる間は、当然ハッキングされるリスクがあります。

被害状況は？

・対象者は7735人

・総額93078.7316MONA（1MONA＝160円換算で1489万2597円相当）

・メールアドレスやパスワードなどユーザー情報などの流出は確認していない

盗難の被害者全員に全額補償へ

このたびMonappyの運営を引き継がせていただくことになりました！
暗号通貨黎明期から業界を支えてきたMonappyの運営引き継ぎ先として選んで頂けたこと大変光栄です。今後、Monappyファンの皆様と一緒にさらにサービスを盛り上げていきたいと思いますので、叱咤激励の程どうぞ宜しくお願い致します!!!
— IndieSquare (@Indie_Square) 2018年7月18日

Monappyの運営は、今後はIndieSquareさんが引継ぐことが決定しています。（現在は引継ぎの最中のようです。）

prtimes.jp

IndieSquareは、「くりぷ豚」というブロックチェーンゲームを配信中です。

I just published “MonappyにおけるMonacoinの不正出金につきまして” https://t.co/amOH8Kbqcm
— IndieSquare (@Indie_Square) 2018年9月3日

不足残高の補填に関しましては引継ぎの最中であったことから旧運営者側とも協議し利用者の方々の救済を第一優先として、旧運営者側の自己資本を持って全額を補填に充てることと致しました。本件の原因箇所の修正と検証ののち、機能を制限した上で可及的速やかに出金処理が出来ますよう再開致します。

モナコインが盗難された被害者全員に全額補償される予定とのことです。

犯人は18歳の少年、逮捕される

2019年3月14日にMonappyのモナコインを盗難した犯人が逮捕されました。

宇都宮に住んでいた18歳の少年ということです。

盗難した手法としては、更新ボタン連打でサーバーに高い負荷をかけて誤作動を起こすというサイトの脆弱（ぜいじゃく）性を突いた犯行です。

「F5（更新）アタック」といわれている手法ですね。

なお、逮捕されたのかというとブロックチェーン上に記録が残っていたからです。

Group-IBより

コインチェック巨額流出事件の犯人が北朝鮮のハッカーという件

日本国内で記憶に新しいコインチェックの巨額流出事件。先日、北朝鮮のハッカーが犯行に関わっていた事がわかりました。しかもあの有名な北朝鮮のハッカーグループだったこともあり、記事にしたいと思います。

先日、交換業者「コインチェック」で約580億円相当の仮想通貨NEM（ネム）が盗まれたのも北朝鮮のグループによる仕業だと発表されました。

北朝鮮に犯人がいることが逮捕を難しくしますが、Monappyの犯人は国内にいた少年だからこそ逮捕が比較的はやかったのです。

最後に

モナコインは2018年5月13～15日にもセルフィッシュ・マイニング攻撃（Block withholding attack）を受け、被害額は推定9万ドル（990万円）に及びました。

モナコインは現状では仮想通貨取引が盛んな国である日本の国産通貨として最も有名な通貨であり、何かと狙われやすいようです。

手間はあるものの、やはり、仮想通貨は長期保有するのであれば自分で管理するに越したことはありません。

それにしても管理会社は手間からマウントゴックスしかり、コインチェックの流出事件から何も学んでおらず流出事件が続いていますね。

仮想通貨を管理するのであれば、セキュリティには力を入れて欲しいところです。