Upgrade to Pro — share decks privately, control downloads, hide ads and more …

セキュリティインシデント事例とブロックチェーンモニタリング・分析サービスcatabir...

Nao Hanamura
February 27, 2019

セキュリティインシデント事例とブロックチェーンモニタリング・分析サービスcatabiraのご紹介 / Case of security incidents of cryptocurreny and introduction of blockchain monitoring and analysis service "catabira"

セキュリティインシデント事例とブロックチェーンモニタリング・分析サービスcatabiraのご紹介

Case of security incidents of cryptocurreny and introduction of blockchain monitoring and analysis service "catabira"

Nao Hanamura

February 27, 2019
Tweet

More Decks by Nao Hanamura

Other Decks in Technology

Transcript

  1. 創業時よりスタートアップ企業やエンジニアのための B2B SaaS を開発・運営。 2019年1月、ブロックチェーン特化型データアナリティクス・プラットフォーム catabira.com をローンチ。 社名である catabira (カタビラ)

    の由来は鎖帷子(くさりかたびら)。 •  設立 : 2015年8月4日 (2018年8月1日より現在の社名へ変更) •  代表取締役 : 池内 孝啓 •  本社 : 東京都新宿区 会社紹介:catabiraについて 2
  2. 池内 孝啓 / Takahiro Ikeuchi •  株式会社catabira 代表取締役 CEO • 

    きりんカルテシステム株式会社 技術 顧問 •  株式会社SQUEEZE 技術顧問 エンジニアバックグラウンドのボードメンバーでチームを構成して います 花村 直親 / Naochika Hanamura •  株式会社catabira 取締役 3 •  ソフトウェア企業を経た後、2016年より デロイトのエンジニアとしてデータ分析 やR&Dに従事。ブロックチェーンデータ の分析基盤構築や暗号通貨監査など を経験。 •  ITベンチャー数社を経て2011年に 株 式会社ALBERTへ入社。ECサイト向け 商品推薦システムの開発やデータ活 用クラウドプラットフォーム事業の立ち 上げなどに従事。執行役員として2015 年に東証マザーズ上場を経験後、独 立起業。
  3. •  2018: A Record-Breaking Year for Crypto Exchange Hacks(coindesk.com) https://www.coindesk.com/2018-a-record-breaking-year-for-crypto-exchange-hacks

    ハッキング被害はいまだに多く記録されており、インシデント事例 を見て今後の知見に変えたいと考えています 6
  4. 過去にセキュリティインシデントについて収集した事例では、基本 的な対応で防げたものもありました 2012೥ Aࣾ ໿15ԯԁ૬౰ͷ BTC 2016೥ Bࣾ ૯༬Γࢿ࢈ͷ໿ 12%ͷBTCʢֹۚ

    ͸ෆ໌ʣ 2016೥ Cࣾ ໿70ԯԁ૬౰ͷ BTC 2014೥ Dࣾ ෆ໌ʢ࠷େ386BTC ͱݴΘΕΔʣ ࣌ظ औҾॴ ඃ֐ֹ ߈ܸख๏ ϋοΩϯά ޙͷ݁Ռ औҾॴΛด࠯͠ɺ ࢒ΓͷࢿۚΛશ ͯސ٬ʹ෷͍໭ ͠ શֹΛސ٬ࢿ࢈ ʹอূ τʔΫϯͷൃߦ ͱ8ϲ݄͔͚ͯ ͷิঈ ഁ࢈ αʔόʔʹ৵ೖ͠ɺ ҉߸Խ͞Ε͍ͯͳ͍ ൿີ伴ͷόοΫΞο ϓΛऔಘ ग़ۚίʔυͷ੬ऑੑ Λ͍ͭͨ߈ܸ Ϛϧνγάͷ͏ͪ2 ͭΛ౪೉ τϥϯβΫγϣϯల ੑΛ͍ͭͨ߈ܸ 8 ࢀߟ) աڈͷൃදʮϒϩοΫνΣʔϯαʔϏεͷηΩϡϦςΟΛߟ͑ΔʯΑΓ https://speakerdeck.com/naomasabit/hurotukutiensahisufalsesekiyuriteiwokao-eru
  5. 9 2019年のE社の事例では、93時間に渡り76000個以上のアドレスから 流出しており、被害の事後対応が後手に回った可能性があります ߈ܸख ๏ Πϯγ σϯτ ݪҼ ඃ֐ͱࣄޙରԠ 1600万ドル(約17億5000万

    円)相当のETHとERC20トーク ン •  ハッキング開始から22 時間後にメンテナンスを 開始 •  ハッキング開始から43 時間後にハッキングの 発表 •  ハッキング開始から93 時間に渡り流出が完了 した •  2週間後、さらにハッキン グを受けた ඃ֐ֹ ࣄޙର Ԡ ߈ܸ •  多額資金のあるホットウォレットから資金 を盗難 •  その後、93時間に渡り数万のアドレスか ら盗難し続けた •  顧客も含む、数万の秘密鍵を保存してい るDBにアクセスしたと考えられる •  調査中であるが、外部犯行であれば モニタリングプロセスが動いておらず、 検知までに時間がかかった可能性が ある •  あるいは秘密鍵のバックアップがな く、検知後も対応ができなかった
  6. 時刻は全てUTC •  1月13日 pm13:30: ETH保管用ホットウォレットからETHが盗難された •  1月13日 pm13:35: トークン保管用ホットウォレットからERC20トークンが盗難され始 めた

    •  1月14日 am 5:49: トークン保管用ホットウォレットからのERC20トークン盗難が完 了した •  1月14日 am 5:58: 76,000アドレス以上の顧客アドレスから資金が盗難され始めた。 1月17日 am 11:58まで続く •  1月14日 pm 11:00: 取引所はメンテナンスを発表した •  1月15日 am 8:00: 取引所はセキュリティインシデントがあった事を発表した •  1月17日 am 11:58: 最後のハッキングが完了 インシデントのタイムラインは以下の通りであり、4日間に渡りハッ キングは行われたと調査されている 10
  7. Crypto Theft Incidents Timeline, Kyle S Gibson - Draft 1

    Feb. 26 2019 https://ja.scribd.com/document/400578578/Crypto-Theft-Incidents-Timeline-Kyle-S- Gibson-Draft-1-Feb-26-2019? fbclid=IwAR3Qotmmn6S41r1F6Ws_7tSs8Q7Vo6Wkk7O4GzmuaFIo4SJBtwZFzsMKSn8 その他、盗難や出口詐欺などを分類して、一覧をまとめているの ハッキング事例集なども公開されつつあります 14 ※信ぴょう性や正確性は個々の判断でお願いいたします
  8. CipherTrace社のAMLレポートが公開されており、脅威のトレンドなど も10種類が挙げられています 1. SIM Swapping An identity theft technique that

    takes over a victim's mobile device to steal credentials and break into wallets or exchange accounts to steal cryptocurrency. 2. Crypto Dusting A new form of blockchain spam that erodes the recipient's reputation by sending cryptocurrency from known money mixers. 3. Sanction Evasion Nation states using cryptocurrencies has been promoted by the Irania and Venezuelan governments. 4. Next-Generation Crypto Mixers Money laundering services that promise to exchange tainted tokens for freshly mined crypto, but in reality, cleanse cryptocurrency through exchanges. 5. Shadow Money Service Businesses Unlicensed Money Service Businesses (MSBs) banking cryptocurrency without the knowledge of host financial institutions, and thus exposing banks to unknown risk. 6. Datacenter-Scale Crypto Jacking Takeover attacks that mine for cryptocurrency at a massive scale have been discovered in datacenters, including AWS. 7. Lightning Network Transactions Enable anonymous bitcoin transactions by going "off-chain," and can now scale to $2,150,000. 8. Decentralized Stable Coins Stabilized tokens that can be designed for use as private coins. 9. Email Extortion and Bomb Threats Cyber-extortionists stepped up mass-customized phishing emails campaigns using old passwords and spouse names in 2018. Bomb threat extortion scams demanding bitcoin spiked in December. 10. Crypto Robbing Ransomware Cyber-extortionists began distributing new malware that empties cryptocurrency wallets and steals private keys while holding user data hostage. 15 ※技術自体の可能性を否定するわけではなく、悪用できる手法がありうるという点でトレンド技術を 記載していると理解している https://ciphertrace.com/wp-content/uploads/2019/01/crypto_aml_report_2018q4.pdf
  9. 国内研究会 CGTF •  Cryptoassets Governance Task Force (CGTF)は、正式な金融当局または自主規制 団体による検討に先立ち、 セキュリティ専門家と仮想通貨交換業者の関係者で、利

    用者・消費者保護のリスク管理のための安全対策基準の策定を目的として設立され た研究会です。 •  公式サイト https://vcgtf.github.io/ CGTFの投稿したインターネットドラフト •  「General Security Considerations for Cryptoassets Custodians」(公式サ イトに日本語版もあり) •  https://datatracker.ietf.org/doc/draft-vcgtf-crypto-assets-security- considerations/ 取引所、カストディアンのセキュリティ対策に関しては国内研究会 がまとめている文書が参考になります 16
  10. NISTからは「重要インフラにおけるサイバーセキュリティフレームワー ク」(CSF)が発表されており、catabiraサービスの役立つ可能性を見ます 25 識別(ID) 防御(PR) 検知(DE) 対応(RS) 復旧(RC) ॏཁΠϯϑϥͷαΠόʔηΩϡϦςΟΛվળ͢ΔͨΊͷϑϨʔϜϫʔΫɹ1.1൛ Framework

    for Improving Critical Infrastructure Cybersecurity Version 1.1(NIST) •  ࢿ࢈؅ཧ •  Ϗδωε؀ڥ •  Ψόφϯε •  ϦεΫΞηεϝϯτ •  ϦεΫ؅ཧઓུ •  ΞΫηε੍ޚ •  ҙࣝ޲্ٴͼτϨʔχϯ ά •  σʔληΩϡϦςΟ •  ৘ใΛอޢ͢ΔͨΊͷϓ ϩηε͓Αͼखॱ •  อक •  อޢٕज़ •  ҟৗͱΠϕϯτ •  ηΩϡϦςΟͷܧଓత ͳϞχλϦϯά •  ݕ஌ϓϩηε •  ରԠܭըͷ࡞੒ •  ఻ୡ •  ෼ੳ •  ௿ݮ •  վળ •  ෮چܭըͷ࡞੒ •  վળ •  ఻ୡ
  11. トランザクションや残高をダッシュボードに表示する事は内部統制や、 ガバナンスを強化につながり、「識別」項目に対応します 26 識別(ID) 防御(PR) 検知(DE) 対応(RS) 復旧(RC) ॏཁΠϯϑϥͷαΠόʔηΩϡϦςΟΛվળ͢ΔͨΊͷϑϨʔϜϫʔΫɹ1.1൛ Framework

    for Improving Critical Infrastructure Cybersecurity Version 1.1(NIST) ΨόφϯεʢID.GVʣ: ࣗ૊ ৫ʹର͢Δن੍ɺ๏཯ɺϦ εΫɺ؀ڥɺӡ༻্ͷཁٻ ࣄ߲Λɺ؅ཧ͠ɺϞχλϦ ϯά͢ΔͨΊͷϙϦγʔɺ खॱɺϓϩηε͕ཧղ͞Ε ͓ͯΓɺܦӦ૚ʹαΠόʔ ηΩϡϦςΟϦεΫʹ͍ͭ ͯ఻͍͑ͯΔɻ ID.GV-1: ૊৫ͷαΠόʔηΩϡϦςΟϙϦγʔ͕ɺ ఆΊΒΕɺप஌͞Ε͍ͯΔɻ ID.GV-2: αΠόʔηΩϡϦςΟ্ͷ໾ׂͱ੹೚͕ɺ ಺෦ͷ୲౰ऀͱ֎෦ύʔτφʔͱͰௐ੔ɾ࿈ܞ͞Ε ͍ͯΔɻ ID.GV-3: ϓϥΠόγʔ΍ਓݖʹؔ͢Δٛ຿ΛؚΉɺ αΠόʔηΩϡϦςΟʹؔ͢Δ๏ن੍্ͷཁٻࣄ߲ ͕ɺཧղ͞Εɺ؅ཧ͞Ε͍ͯΔɻ ID.GV-4: ΨόφϯεͱϦεΫϚωδϝϯτϓϩηε ͕ɺαΠόʔηΩϡϦςΟϦεΫʹରॲ͍ͯ͠Δɻ
  12. 異常なトランザクションをリアルタイムに検知する事は、「検知」のモ ニタリング項目に対応します 27 識別(ID) 防御(PR) 検知(DE) 対応(RS) 復旧(RC) ηΩϡϦςΟͷܧଓతͳ ϞχλϦϯά

    ʢDE.CMʣ: ৘ใγεςϜͱࢿ࢈͸ɺα ΠόʔηΩϡϦςΟΠϕϯ τΛࣝผ͠ɺอޢରࡦͷ༗ ޮੑΛݕূ͢ΔͨΊʹɺϞ χλϦϯά͞Ε͍ͯΔɻ DE.CM-1: ωοτϫʔΫ͸ɺαΠόʔηΩϡϦςΟͷ જࡏతͳΠϕϯτΛݕ஌Ͱ͖ΔΑ͏ʹϞχλϦϯά ͞Ε͍ͯΔɻ DE.CM-2: ෺ཧ؀ڥ͸ɺαΠόʔηΩϡϦςΟͷજࡏత ͳΠϕϯτΛݕ஌Ͱ͖ΔΑ͏ʹϞχλϦϯά͞Ε͍ͯ Δɻ DE.CM-3: ਓһͷ׆ಈ͸ɺαΠόʔηΩϡϦςΟͷજࡏ తͳΠϕϯτΛݕ஌Ͱ͖ΔΑ͏ʹϞχλϦϯά͞Εͯ ͍Δɻ DE.CM-4: ѱ࣭ͳίʔυ͸ɺݕ஌͞Ε͍ͯΔɻ DE.CM-5: ෆਖ਼ͳϞόΠϧίʔυ͸ɺݕ஌͞Ε͍ͯΔɻ DE.CM-6: ֎෦αʔϏεϓϩόΠμͷ׆ಈ͸ɺજࡏత ͳαΠόʔηΩϡϦςΟΠϕϯτΛݕ஌Ͱ͖ΔΑ͏ ʹϞχλϦϯά͞Ε͍ͯΔɻ DE.CM-7: ݖݶͷͳ͍ਓһɺ઀ଓɺσόΠεɺιϑτ ΢ΣΞͷϞχλϦϯά͕ɺ࣮ࢪ͞Ε͍ͯΔɻ DE.CM-8: ੬ऑੑεΩϟϯ͕ɺ࣮ࢪ͞Ε͍ͯΔɻ ݕ஌ϓϩηεʢDE.DPʣ: ݕ஌ϓϩηε͓Αͼखॱ͕ɺ ҟৗͳΠϕϯτʹ࣮֬ʹؾ ෇ͨ͘Ίʹҡ࣋͞Εɺςε τ͞Ε͍ͯΔɻ DE.DP-1: ݕ஌ʹؔ͢Δ໾ׂͱ੹೚͸ɺઆ໌੹೚ΛՌ ͨͤΔΑ͏ʹ໌֬ʹఆٛ͞Ε͍ͯΔɻ DE.DP-2: ݕ஌׆ಈ͸ɺ֘౰͢Δ͢΂ͯͷཁٻࣄ߲Λ ४ڌ͍ͯ͠Δɻ DE.DP-3: ݕ஌ϓϩηε͕ɺςετ͞Ε͍ͯΔɻ DE.DP-4: Πϕϯτݕ஌৘ใ͕ɺप஌͞Ε͍ͯΔɻ DE.DP-5: ݕ஌ϓϩηε͕ɺܧଓతʹվળ͞Ε͍ͯΔɻ ॏཁΠϯϑϥͷαΠόʔηΩϡϦςΟΛվળ͢ΔͨΊͷϑϨʔϜϫʔΫɹ1.1൛ Framework for Improving Critical Infrastructure Cybersecurity Version 1.1(NIST)
  13. 28 Contact Us! Landing Page & Mail Form Get Started

    with catabira! [email protected] https://www.catabira.com/ https://app.catabira.com/