仮想通貨取引所ZaifのAPIキーに不正アクセス - 不正な取引や引出が発生
同社では、不正利用されたAPIキーの出金権限を削除。悪用されたAPIキーの漏洩経路について調査を進めているが特定には至っていない。2016年6月までに作成された「APIキー」は約1000件ほどで、対象となる利用者に対してメールで報告するとともに、取引や出金に関する権限を削除した。
また1月9日にも、不正アクセスによる不正出金が行われたことを同社では確認している。国内のIPアドレスを発信元としたもので、特定のアカウントを標的としており、APIキーの不正利用との関連性は低いとしている。
今回の問題を受けて、同社ではAPIキーを利用する場合は、利用者ごとにIPアドレスのホワイトリストが設定できるよう対応を進めるほか、IDSやIPSによる対策を講じる。さらにあたらしいアドレスへの出金を一時停止する措置を実施しており、本人確認を強化した。
利用者に対しても、「APIキー」の権限を見直したり、使用していないものを削除することや、出金先アドレスを制限するなど対策を実施するよう呼びかけている。
(Security NEXT - 2018/01/12 )
ツイート
関連リンク
PR
関連記事
警察庁が開発した「Lockbit」復旧ツール、複数被害で回復に成功
「LockBit」にあらたなリークサイト - ブランド回復に躍起
国際作戦で「LockBit」の一部関係者を逮捕 - 復号鍵など押収
暗号資産交換業者への不正送金対策を強化 - 金融庁ら
セキュリティ相談、前四半期比46.9%増 - 「偽警告」が倍増
「glibc」の脆弱性「Looney Tunables」、悪用に警戒を
「CODE BLUE」カンファレンスが開幕、1100人以上が参加 - 法律やブロックチェーンの講演にも注目
3Qのセキュ相談、前四半期比約27%減 - 「不正ログイン」は過去最多
ランサム被害、中小企業が6割弱 - 暗号化しない脅迫も
国際連携でボットネット「QakBot」が解体 - 展開済みマルウェアに注意を