二段階認証が破られ4000XRPを盗まれるという事件が起きました。

今回はこの件について私なりの考察をしてみます。

状況を整理

送金されたのは1/12日であり、4662.9XRPをBTCに替え、同日BTC送金されたようです。

送金をした犯人は、1/12 13:31にログインし、14:22に送金したことがわかります。ログインしてから送金までにかなりのタイムラグがあることがわかります。

ログイン時間から、犯人のIPアドレスは「163.43.30.192」であることがわかります。

犯人は「327M3j7TTT6dXFipiTqfdMWe1a1X2Y6qrC」に送金したようです。

ただしその先はおそらくmixingサービスを利用して送金記録をぐちゃぐちゃにしているため、どのアドレスに送金されたのかの追跡は難しいと思います。

IPアドレスを追跡

ログインしたIPアドレス(http://163.43.30.192)にアクセスしてみると、インターナルリンクというプロバイダのものであることがわかります。

この会社は、プロバイダ業務とVPN業務を展開しており、どちらかを利用してアクセスしたものだと思われます。

ただ、IPアドレスで検索してみると、最近の2chの書き込みが出てくることから、おそらく固定回線のものだと推測します。

2chの書き込み

検索だけでもこれだけ出てきます。

11/26から書き込みが確認でき、プロ野球のスレッドへの書き込みが続いていることから、同一人物が同じIPアドレスを使い続けていると見て間違いないでしょう。

また主に週末に書き込みがあることと、名前に「上級国民」がついているため、2chに課金しているようです。

PCの知識に長けており、プロ野球とSKE48が好きで、おそらく社会人であるということはわかります。

注目すべきは新丸子スレでしょう。

398 名前: 神奈さん 投稿日: 2018/01/10(水) 08:10:28 ID:ULVVJYeA [ 163.43.30.192 ]
ホットマンにまさかのイートインスペースが!!!

新丸子駅付近にほっとマンができたのは昨年12月1日です。このことから神奈川県川崎市付近に在住しているか、そこが馴染みのある場所なのではないかと推測します。

そして、Twitterのプロフィール情報によると、被害者は大阪府に住んでいるため、物理的には離れた距離になります。

どのように二段階認証を突破したのか

  • フィッシングサイトを用意し、被害者がサイト上で二段階認証の番号を入れた瞬間に本家にログインし、瞬時に送金をこなすプログラムを書いた

という説も考えられますが、記録をよく見るとXRPをBTCに替えた後、一度0.451BTCを送金しようとしてキャンセルし、0.691BTCを送金し直しているのが確認できますし、13:31にログインし、14:22に送金と約50分もの時間を空けていたことから、犯行にはかなりの猶予があったことがわかります。

コインチェックは送金時に再び二段階認証を求められるため、ログインから送金まで、犯人は被害者のスマホ端末をしばらく保有していた可能性が高いです。

被害者はXRPを盗まれた当時仕事中であり、犯行は固定回線からのログインであることから、職場の同僚、もしくは仕事関連の人間が被害者のスマホ端末を手に取り、ロックを解除し、PCを使って不正ログインを行った可能性が考えられます。

ただしこれはあくまで状況を元に考えた推測であり、被害者が仕事中もスマホ端末を肌身離さず持ち歩いていたのであれば根底から覆ります…。

いずれにせよIPアドレスが固定であり、至るところに痕跡が残っているため、警察とプロバイダの協力により犯人を特定することは可能だと思っています。

二段階認証は完璧ではない

二段階認証を付けないのは論外ですが、付けたとしてもセキュリティ的に完璧かといえばそんなことはありません。

おそらく一番簡単な突破方法は、スマホ端末のロックを解除する方法を何らかの方法で知り、隙を見計らって端末を盗むことです。

十分に気を付けましょう。

この件は解決して欲しいですし、続報が待たれます。

  • 国内取引所の開設はCoincheckをおすすめしております。
  • 海外取引所の開設はBinanceをおすすめしております。