取引所 最新ニュース

BitMEXで顧客アカウントへの不正アクセス急増!ユーザーへ注意喚起!

投稿日:

 

 

世界一家賃が高いと言われる長江センター(長江集團中心:Cheung Kong Center)の45回に本社を構える仮想通貨取引所BitMEXが、顧客アカウントへの不正アクセスの試みが増えていることを公式サイトで発表し、ユーザーへ注意喚起しています。

 

 

BitMEXで不正アクセスが急増

 

 

香港に拠点を構えるHDR Global Trading Limitedが運営する仮想通貨取引所BitMEXが今月12日、公式ブログにて「重要なセキュリティアドバイスについての更新」と題し、ユーザーへ注意喚起をしています。

公式サイトでは、顧客アカウントへの不正アクセスの試みが増えているとしており、BitMEXアカウントおよび個人アカウントを保護するよう促し、新た得て二段階認証の徹底を薦めています。

 

報告では、アカウントの乗っ取りの際に繰り返し使用されている手法の一つは、アカウントへの不正ログインによって送信されるはずのBitMEXのメールログイン通知を無効にすることだと訴えています。

今回分かった手口は、不正アクセス者は即座に資金の引き出し要求を実行しておらず、不正アクセスを行い、ユーザーの別アカウントに対して故意に損失を与え、損失額を間接的に移動させて口座から資金を引き出す行動を確認し、これらの動きを阻止したと明かしています。

全ケースで共通していたのは、ユーザーが引き出し通知またはログイン通知など、アカウント関連メールを見ていない可能性が高いことも公表しています。

今回の動きを受けてBitMEX側は、ユーザーがログイン通知メールを無効にする事を禁止したほか、メールによる確認を要求しているという。

 

 

BitMEX の対抗措置とターゲットの共通点

 

 

顧客アカウントへの不正アクセス攻撃の増加を受け、BitMEXは二段階認証やその他のログインアクセス機能の強制使用などの方法を確認しながら、2点の変更を行っています。

 

●設定によりログイン通知メールの送付が無効にできなくなりました。既存の通知設定にかかわらず、アカウントへのログインがあった場合にはメール通知が行われます。
●APIを介して作成された引き出し要求は、使用されたAPIキーが2019年6月10日午後8:00(UTC)より前に作成されたものでない限り、引き出しを確認する電子メールでの検証ステップを完了する必要があります。

※引用元:BitMEX公式ブログ

BitMEX側が行ったこれらの対抗措置は完全ではないとしており、不正アクセス攻撃が行われたターゲットにはいくつかの共通点があることも明かしています。

●パスワードの再利用、またはBitMEXプラットフォームおよび顧客の個人的なメールアカウントから簡単に推測が可能なパスワードの使用
●個人のメールアカウントが侵害され、パスワードのリセットを通じたアカウントの盗難
●お客様のコンピューターへのマルウエアの侵入、パスワードの盗難を経たBitMEXプラットフォームへのログイン

 

 

不正アクセスに対する自衛手段について

 

 

BitMEXが取った攻撃に対する対抗措置と、不正アクセス攻撃を受けたターゲットの共通点を公式サイト上で明かした上で、ユーザーが攻撃に対抗するために警戒が必要と述べています。

 

攻撃には二段階認証を使用することでリスクが大幅に減少するとして、あらためて二段階認証の重要性を説いています。
これは、二段階認証にセキュリティキーが使用された場合、攻撃の100%がブロック可能だとGoogleの調査で明かされた事も記載されています。

今回BitMEXでは、ユーザーに対して二要素認証の設定を強く薦めていますが、さらにセキュリティを高めるために次の事柄の重要性を改めて強調しています。

要素認証の有効化
Google Authenticator (Google認証システム)や Authy(オウシー:二段階認証アプリ)などの利用を進める

強固なパスワード
LastPass(パスワード管理アプリ)などのパスワードマネージャーを利用する。
また、文字、数字、記号(@、#、$、%など)を組み合わせ、10文字以上かつ大文字・小文字を組み合わせた強力なパスワードを使用する。
さらにFacebook、Spotify、Instagramといったソーシャルメディアと同じアカウントはBitMEXアカウントはもちろん、銀行や各種金融機関のパスワードと同じものを使用しないこと。

リスク評価を行う
HIBP(Have I Been Pwned?)などのパスワード漏洩チェックサービスを利用し、自分のパスワードが第三者によって漏洩していないか確認する。

定期的な残高確認でのアカウンチェック
アカウントの定期的な勘定調整(reconciliation)は全取引が自分によって行われたものであることを保証する有効な方法のため、残高確認を定期的にチェックする。

連絡リストにBitMEXサポートを追加する
連絡先リストにsupport@bitmex.comを追加し、BitMEXからのメールが迷惑メールフォルダーに届いていないことを常に確認する
bitmex.comからの公式のメールにはグインおよび出金通知が含まれるため、フィルタリングしていないことを確認してください。

パスワードは教えない
セキュリティー重視のBitMEXからユーザーパスワードを聞くことはないため、パスワードを要求されても教えない。

 

 

※参考サイト
BitMEX公式ブログ「重要なセキュリティアドバイスについての更新」



-取引所, 最新ニュース
-,

Copyright© Crypto Go , 2019 AllRights Reserved.