情報セキュリティの脅威はすぐそこに

「仮想通貨不正流出事件」という対岸の火事

今月はテックビューロが運営する「Zaif」が不正アクセスを受け、約67億円相当の仮想通貨が不正に出金された事件が大きく話題になりました。
大規模な仮想通貨の不正出金事件としては、今年1月のコインチェック事件以来となります。

今回のZaifの事件ではテックビューロ側からの情報公開が不十分で不適切という指摘も上がっており、発生・発覚から10日ほど経ってもその詳細はそれほど明らかになっていません。
今年に入って3度目となる金融庁からの業務改善命令を受けており、再三に渡ってセキュリティや運用体制に関する指摘を受けていたにも関わらず、今回の流出事件に至っており、もはや「金融庁もキレてる」としか言いようがない状況です。

詳細が明らかになっていない中で、原因や再発防止策について外野から論じるのは気が早いかもしれませんが、この半年以上の間に事件発生を防ぐ分水嶺が複数あったことは見逃せないポイントです。
ひとつは1月のコインチェックにおける流出事件が発生し、その経緯や対応が明らかになっていく中で、テックビューロがこれを対岸の火事とせず自分たちの体制に同様の問題がないかを確かめることは十分にできたはずです。
またこの事件を踏まえて金融庁が各仮想通貨取引所の運営会社に対する検査を行い、テックビューロは3月と6月に業務改善命令を受けていますが、この際の指摘や改善計画を適切に履行していれば状況は大きく違ったような気がしてなりません。
世間で起きた事件に対して過剰な反応をする必要は必ずしもないかもしれませんが、コインチェックの事件の際は「仮想通貨業界全体としての体制の不備や認識の甘さ」が叫ばれたこともあり、テックビューロとしてももっと真摯に向き合っても良かったのではないかと感じざるを得ません。

警察庁の統計によると、2018年上半期のサイバー犯罪の総件数としては微減で、特にインターネットバンキングにまつわる不正送金は減少傾向があるようです。
代わりに仮想通貨にまつわる不正送金件数が3倍に増えています。金額としてはコインチェック事件があったため爆発的な増え方をしていますが、それ以外にもユーザ側のIDやパスワードが他のサービスと同一のものだったことによるというシンプルな不正アクセス事案が増えているようです。
銀行などの金融機関ではワンタイムパスワードや多要素認証の導入が進んだことにより対策が進みましたが、ターゲットが、まだ管理が甘い仮想通貨に向かってきたという証左と言えそうです。

一般のユーザができることは、盛んに言われるように自分が使うIDやパスワードの管理を徹底するしかないかもしれません。
一方で業者がやるべきことも当たり前のセキュティ対策を当たり前のようにやる、そのための体制を構築するということに他なりませんが、それ以前に対岸の火事を対岸の火事として傍観するのではなく、そこから我が身を振り返る姿勢がそもそも大事というのは、意外と気づかないものなのでしょうか。