DMMビットコインの不正流出（2024/5/31）

私は、暗号資産交換業者に対する内部管理態勢構築等のコンサルティングを行っています。2024/5/31に発生したDMMビットコインの不正流出について、情報を整理します。

１．発生事象の概要

• DMMが顧客資産を保管するアドレスから、4,502.9BTC（約482億円相当）が不正流出した

• 流出分は、調達により全額保証するとのこと

  • （出所） https://bitcoin.dmm.com/news/20240531_01

• 流出した資産の顧客/自社の割合は不明であるが、比較のため2023年3月末決算情報によると、自社約20億円、顧客預かり約310億円。価格水準は現在の約1/3倍であり数量を固定すると、現在価値は自社約60億円、顧客預かり約930億円に相当

  • （出所） https://bitcoin.dmm.com/koukoku/20230331.pdf

• 今回流出先アドレス(z)は、流出元アドレス(a)から過去に送付実績のあるアドレス(b)と類似している

  • 今回流出先(z)：　1B6rJRfjTXwEy36SCs5zofGMmdv2kdZw7P

  • 過去の送付実績(b)：1B6rJ6ZKfZmkqMyBGe5KR27oWkEbQdNM7P

• 不正流出トランザクションの特徴は以下の通り

  • 不正流出はBTCの1トランザクションのみ

  • 過去実績から(a)→(b)は1日1回13時頃に発生しているが、(a)→(z)も同時間帯（13:12）に発生

  • 手数料が0.1BTCであり、相場より極端に高額

  • (a)に保管されている数量全額流出しておらず、約350BTCが残っていた

  • （出所）https://explorer.btc.com/btc/address/3P8MfdM4pULv7ozdQvfwAqNF29zAjmnUYD

• 流出元アドレス(a)の使用開始時期

  • この特徴は、サービスローンチ2018年1月から観測されているが、(a)が使われ始めたのは、2024年4月から

  • その前は、別のアドレス(a')が使用されている

  • 2024/4/4に(a’)→(a)へ約4,700BTCが移転

  • 2024/5/31に(a)→(a’)へ不正流出の残りのBTCが移転（14:02）

  • (a')は2017年12月から使用開始されている

  • （出所）https://explorer.btc.com/btc/address/3Dhk8F6KYvMyqHN1r4kAT8t7SceK7yDjA4

暗号資産移転の履歴

２．発生原因

発生原因は調査中であるものの、金額規模から流出元はHot Walletであるとは考えにくいため、Cold Walletの可能性が高いと考える。Cold Walletからの不正流出は、本邦交換業者では初めてである。

特徴から推測されることとしては、以下が挙げられる。

• (a)アドレス生成時の秘密鍵の漏えい

• 2か月前のアドレス変更（または関連システム変更）に伴う脆弱性の混入

• 社内システム等のトランザクション情報の改ざんに加え、署名時のチェックにおいて検知できなかったもの

３．他の交換業者に求められる対応

DMMビットコイン以外の交換業者においても、本事象の対策が十分であるか点検を行うことが考えられる。Cold Walletに限らず不正流出の対応として、JVCEA「暗号資産交換業に係る利⽤者財産の管理等に関する規則」等を参照することで、網羅的な観点の点検を実施することが可能である。実際には、より実務的な対策案に照らした点検および課題対応の検討を行うことが考えられる。

本規則の抜粋：点検リストのサンプル

• 19条（流出等のリスクへの対応）

  • 暗号資産の流出等の原因となり得るリスクを、暗号資産の種別ごとに特定・評価する

  • 暗号資産の流出等を直ちに検知するために必要な内部管理体制及び流出等を検知した場合に検知内容を速やかに社内周知するための社内連絡体制を整備するとともに、流出等への対応として、⼆次被害の防⽌、被害にあった利⽤者への対応、関係者への報告等の措置を講じることができる緊急時体制を構築するためのコンティンジェンシープランを策定しなければならない

  • 暗号資産の管理に係るシステム等の変更が⾏われるときには、当該変更にあわせてコンティンジェンシープランの⾒直しを⾏い、変更後のシステムに適した対応⼿順を定めなければならない

  • 暗号資産の管理担当者に対し、漏えい時対応に係る訓練を実施し、当該事態が発⽣した場合には、速やかに⼿順を実⾏する準備が整っていることを確認しなければならない

• 20条（暗号資産の保管）

  • (1) ハッキングによる暗号資産の流出等を防⽌するため、単位時間あたりに外部送⾦する予想数量を著しく上回る数量をオンライン環境に保管しないようにすること。

  • (2) 管理する暗号資産の数量に応じて複数のウォレットを設置し、流出等のリスクを分散すること。

  • (3) 保管する暗号資産に関する最新のセキュリティ情報を⼊⼿し、保管上の対策

• 21条1項（秘密鍵の管理）：乱数⽣成器

  • (1) 使⽤する秘密鍵及びシード（秘密鍵の⽣成に⽤いる値をいう。以下「秘密鍵等」という。）の⽣成者に関する事項

  • (2) 秘密鍵等及びアドレスの⽣成⼿法の事前検証に関する事項

  • (3) 乱数⽣成器の仕様に関する事項

  • (4)乱数の保管量に関する事項

• 21条2項（秘密鍵の管理）：ウォレット

  • (1) 秘密鍵等の暗号化及び復号に関する事項 （暗号化⽅式及び暗号強度に関する事項を含む。）

  • (2) マルチシグネチャー⼜は秘密鍵の断⽚化に関する事項

  • (3) 秘密鍵等へのアクセス権に関する事項

  • (4) 秘密鍵等へのアクセスの検知及び記録に関する事項

  • (5) 暗号資産の移転時に使⽤するアドレスに関する事項

  • (6) ウォレットの機能の検証に関する事項

  • (7) 秘密鍵等の場所的分散管理及び組織的分散管理に関する事項（マルチシグネチャーに使⽤する秘密鍵⼜は断⽚化された秘密鍵の分散

• 22条（秘密鍵の利⽤）

  • (1) 秘密鍵等の管理担当者の認証に関する事項

  • (2) 秘密鍵等の使⽤環境に関する事項

  • (3) 秘密鍵等の管理担当者の適正性確認に関する事項

  • (4) 署名前の送⾦確認に関する事項

• 23条（管理担当者への権限付与等）

• 24条（セキュリティの点検）

• （出所） https://jvcea.or.jp/cms/wp-content/themes/jvcea/images/pdf/B08_jvcea202005.pdf

例えば、20条の(2)に照らすと、今回の事象は1アドレスから1トランザクションで約482億円相当が移転されている一方で、複数アドレスに分散して保管することで1度に全額移転されず被害金額を抑えられた可能性がある。

より実務的な対策案に照らした点検および課題対応の検討が必要な場合は、当社ホームページのお問い合わせフォームより個別にお問い合わせ下さい。

関連記事