ShapeShift がデジタル通貨 23 万ドルを失う、内部関係者がセキュリティ情報をハッカーに売却

CoinDeskが入手した事件報告書によると、デジタル通貨取引所ShapeShiftは1か月の間に3件の盗難に遭い、23万ドル相当のデジタル通貨を失った。

ShapeShift は奇妙なセキュリティインシデントによりダウンし、取引所のサーバーに接続されたウォレットの資金が失われました。

ShapeShiftはその後、これは横領事件であったと発表した。

報道によると、この従業員は3月中旬にシェイプシフトから13万ドル相当のビットコインを盗み、解雇された後、取引所の機密セキュリティ情報を外部のハッカーに売却したという。 4月7日と4月9日には、さらに10万美元のビットコイン、イーサリアム、ライトコインが盗まれました。

報告書では、ハッカーが痕跡を隠すために取った対策も強調している。報告書には、ハッカーとシェイプシフトのCEO、エリック・ボーヒーズ氏との会話の詳細も記載されており、その中でハッカーは、解雇されたシェイプシフトの従業員が重要なセキュリティデータを彼に売ったと主張している。

シェイプシフトはサービスの再構築を余儀なくされ、4月20日に取引所を再開する予定であると報じられている。攻撃後、同取引所はトロントに拠点を置くコンサルタント会社レジャー・ラボと協力し、新たなセキュリティプロトコルを実装したと発表した。

「繰り返しますが、顧客の資金が盗まれたり危険にさらされたりすることはありません。シェイプシフトはすぐにオンラインに戻ります。コミュニティと顧客の皆さんの忍耐に感謝します」とボーヒーズ氏は声明で述べた。

盗難の詳細

報道によると、最初のハッキングは3月14日に発生し、ShapeShiftは315BTCを失った。同社はすぐに、この事件の首謀者は同社の従業員であると断定した。

翌日、ShapeShift は従業員を解雇し、ShapeShift は緊急にサーバーをより安全なハードウェアに移行しました。

しかし、盗難は止まりませんでした。 4月7日、ShapeShiftはさらに97 BTC（ビットコイン）、3,600 ETH（イーサ）、1,900 LTC（ライトコイン）を失いました。 2日後、ShapeShiftのウェブサイトがクラッシュし、さらに57 BTC（ビットコイン）と2,200 ETH（イーサ）が盗まれました。

報告書には次のように記されている。

「デジタルフォレンジック調査中に特定の攻撃の直接的な証拠は見つからなかったため、（捜査官らは）入手可能な事実を分析し、事実に合致する可能性のあるすべての攻撃ベクトルを特定した。攻撃者はインフラストラクチャを侵害できただけでなく、サーバーのIPアドレスを迅速に特定できたことも確認された。」

ハッカーは取引所に接近した際、ShapeShiftのオフィスのIPアドレスや取引所の管理インターフェースへのアクセス詳細などの機密情報を同社の元従業員から購入したと主張した。

次のステップ

同取引所は、従業員の把握やサーバーへのアクセス方法に関するセキュリティ情報の管理など、セキュリティ手順を改善したと述べた。ハッキング事件の後、ShapeShiftも正式にセキュリティ戦略を策定しました。

シェイプシフトは元従業員に対して民事訴訟を起こしたが、プライバシーを尊重するため訴訟の提起先は明らかにしていない。

元記事: http://www.coindesk.com/digital-currency-exchange-shapeshift-says-lost-230k-3-separate-hacks/
スタン・ヒギンズ
翻訳: 一晩おかゆ
出典（翻訳）：バビット情報（http://www.8btc.com/shapeshift-lost-230k）