Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

ビットポイントの暗号鍵管理

ビットポイントの記者会見の映像を見ていたのですが、調査中という事もあるので仕方がない事だとは思いますが、肝心の鍵暗号化鍵の管理について、回答が控えられていたのは少し残念でした。 

www.itmedia.co.jp

 

約30億円相当の仮想通貨不正流出を起こした仮想通貨交換業者のビットポイントジャパン(BPJ)は、16日に行った緊急記者会見の中で「ホットウォレットの秘密鍵の暗号化など、複数のセキュリティ対策を実施していたことを明らかにした。

(中略)

 流出した各仮想通貨のホットウォレットは「マルチシグ」に対応していた上、秘密鍵自身も暗号化していた。マルチシグは、送金の承認に複数の秘密鍵を必要とする技術。つまり、マルチシグに対応したホットウォレットから犯人が仮想通貨を盗み出すためには、必要な全ての秘密鍵を窃取しなければならない。

ITMedia記事より引用)

 

◆キタきつねの所感

まず思ったのが、7Payの記者会見よりは安心感がある会見だったという事。社長がほとんどメモも見ずに丁寧に質問に答えている部分は、小田社長の能力の高さを垣間見た気がします。(東大法学部→マッキンゼーの経歴を考えると当たり前なのかも知れませんが・・・)

 

記者会見の映像は、テレ東NewsさんがYouTubeにUPしていたので、こちらを拝見しました。

www.youtube.com

 

今回のビットポイント社の管理しているホットウォレットから仮想通貨が流出した件では秘密鍵が分散(マルチシグ)管理されており、更に秘密鍵は暗号化されていたと発表されています。

秘密鍵が解読されている(仮想通貨が流出している)という事は、「鍵暗号鍵(KEK)」が複号化されている事になります。

 

この点について気になったので、映像を見ていたのですが・・・記者さんも何度か突っ込みを入れているのですが、ビットポイント側は、そこを回答していません

日経XTECHゲン氏 30:45頃
「今回秘密鍵は暗号化していたという事ですが、具体的に鍵をどういう風に管理していたかについて、他にもマルチシグを採用していたという事ですが、そうすると分散した鍵は複数のサーバに保存していて、でホットウォレットなどで更にそれを暗号化していたという事で、更に暗号化していた鍵はどういう形で保存していたのか、その辺りちょっと詳しく教えて頂けますか」

小田社長
「はい、細かい点に関しましては、今回、セキュリティの関係に絡んでまいりますので、回答を差し控えさせて頂きたいと思うんですけど、今ご指摘頂いた点に関しましては、ご指摘頂きました通り、マルチシグ管理をしておりましたので、違うサーバで管理をしておったという所でございます。」

日経XTECHゲン氏

「その鍵を更に暗号化していたという事ですか」

小田社長
「その通りです。おっしゃる通りです」

日経XTECHゲン氏

「その鍵も秘密鍵で、基本的にはホットウォレットなのでオンラインで、どこかで管理していたと・・・」

小田社長
「はい。おっしゃる通りです

日経XTECHゲン氏

「それで、詰めるとそれが全て綺麗に揃って抜かれたという形で理解して・・・」

小田社長
「あの、今回ですね、要因を考えるとその可能性があるんじゃないかと考えております」

 

日経新聞スガ氏 44:42頃
秘密鍵の暗号化を解かれたという事態は想定してなかったという事でよろしいのかどうか」

小田社長
秘密鍵が流出されて、更にその秘密鍵の暗号化という点までは、ご指摘の通りですね、暗号化しておくことによって、仮にその秘密鍵が流出したとしても、使われないようにと設定しておりましたので、そこまでは対策が出来てなかったという所でございます。」

 

テレビ東京ウカイ氏 52:43頃
秘密鍵について何点か、システム上そこまで詳しくないのでちょっと教えて頂きたいのですけれども、秘密鍵が流出しても更にそれをロックをかけていたという事なんですけど、秘密鍵の流出自体も今回が初めてなんでしょうか」

小田社長
「はい、そうですね。秘密鍵の流出は今回初めてと考えております」

テレビ東京ウカイ氏
「で、それを解くためのものもセットで盗まれてしまったというのは、解くためのものというのはどういった形式のものなんですか、暗号のようなものなのか

小田社長
「はい、その点に関しましてはですね、今回の原因究明に関わる事でございますので、現段階では回答を差し控えさせて頂ければと存じます。」

テレビ東京ウカイ氏

「それは、その解き方をですね、ご存じな方は社内に何人くらいいらっしゃったんですか」

小田社長
「まぁその点に関しても、社内に何名かに関しましても、現段階では回答を差し控えさえて頂ければと存じます

 

仮想通貨のホットウォレットにおける鍵管理は、金融の世界とは違うのかも知れませんが、秘密鍵を暗号化する鍵(KEK)は、金融業界では、HSM(Hardware Security Module)で管理されているのが一般的かと思います。しかし、今回は分散されていた秘密鍵(仮想通貨の資産データ ※暗号化)と一緒に鍵暗号鍵(KEK)が漏洩しているとの話が出ていますので、鍵暗号鍵(KEK=複号鍵)の管理に大きな問題があったのは間違いないかと思います。

 

参考 その暗号モジュールは大丈夫? JNSA資料)

 

内部犯行でない場合は、ホットウォレット内、あるいはそこに繋がっているサーバ等(プログラム内)に鍵暗号鍵(KEK)がハッカーに窃取可能な状態で置かれていた可能性があるのではないでしょうか?

 

FIPS(CC)認定を受ける様なHSMを使っていて電子鍵が漏洩した事件というのは、ほとんど聞いたことがありませんので、想像にはなりますが、ビットポイント社は鍵管理という部分であまり良い管理をしてなかったのではないでしょうか。(※HSMを使うとスピード=可用性が落ちますので、その辺りが背景にあるのかも知れません)

 

 

 

余談です。今回の記者会見は、会場という意味では7Payのそれとは比較にならない位、よく考えられていたかと思います。規制ロープが発表者テーブルの左右にありましたが、これも小田社長の真横から写真を狙う・・といったカメラマンの行動を妨げる位置に配置されていました。質問者へのマイクもきちんと渡っていて、質問と回答が映像から聞き取りやすかったかと思います。危機管理広報という観点では良いセッティングだったのではないでしょうか。

f:id:foxcafelate:20190721170838p:plain

テレビ東京News-Youtube映像より引用

もう1つ気になった点ですが、ビットポイントのセキュリティ対策を調べていて、

初めての方へ【BITPoint】仮想通貨(ビットコイン)ならビットポイント

を調べていて、

f:id:foxcafelate:20190721184343p:plain

ビットポイントは『交換所ごとのセキュリティ対策を事前に確認する』事を推奨していますが・・・

 

セキュリティ対策でホームページにあがっていたのは、、、2要素認証など、顧客側のセキュリティ対策しか見つけられませんでした。。今回問題となったホットウォレットやコールドウォレット部分などは、見つけられませんでしたが、どこかに記載されていたのでしょうか・・・・。

f:id:foxcafelate:20190721184459p:plain

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

f:id:foxcafelate:20190721172340p:plain



 

更新履歴

  • 2019年7月21日PM(予約投稿)