1月6日から7日未明にかけて発生したAPIキーの不正利用、および1月9日に報告された不正アクセスおよび不正出金に関するご報告

お客さま各位



先日よりお伝えしております、1月6日（土）夕方から7日（日）未明にかけてのAPIキーを利用した不正取引および不正出金が行われた件、ならびに1月9日に報告された不正アクセスおよび不正出金において、現時点で弊社側で判明している点についてご報告いたします。





（１）1月6日から7日未明にかけて発生した、APIキーの不正利用について

【被害の発生状況について】

9名分のアカウントについて、合計137件の不正注文が発行されたことを確認

※2018/01/10/18:30修正、公開時9名分としていましたが、15名分の誤りでしたので訂正いたします

合計102個のAPIキーが使用され、そのうち18件が削除済みのAPIキーであることを確認

削除済みのAPIキーについては命令が実行されたものではなく、APIキーが無いエラーが返され、何も実行されておりません。

使用されたAPIキーの最も古いものは 2014年8月7日に作成されたもので、最も新しいものは 2016年6月11日に作成されたものでした。

削除済みのAPIキーについては、2015年10月22日に削除されたものが弊社バックアップで確認できる最も古いものでした。なお、APIキーの削除については、データベース上で物理削除を行っております。

【アクセス元について】

【APIキーの漏洩経路の特定について】

【現在までの対応】

不正使用されたAPIキーの権限について、弊社にて出金権限を削除

不正利用を防止するため、APIキーの見直し・出金制限のお願いをブログおよびメールにてご連絡

万一のために、2016年6月12日以前に作成されたAPIキーにつきまして、弊社にて取引および出金権限を削除

また、2016年6月12日以前にAPIキーを作成されたお客様を対象に、メールにて上記内容をご連絡

当局および捜査機関へ連絡

該当するお客様に対してヒアリングを行うべく準備中

（２）2017年1月9日（火）に報告された不正アクセスおよび不正出金について

【発生状況について】

【現在までの対応】

調査のため1月9日午前11時すぎに仮想通貨の出金処理を停止

その後の調査により、この不正アクセスおよび不正出金については、国内のIPアドレスからのアクセスであり、特定のアカウントが狙われたものであること、また、連続的なものではないことを確認

上記調査により、この不正アクセスおよび不正出金は、APIキーの不正利用とは関連があるとは考えにくいと判断し、同日14時過ぎに仮想通貨の出金処理を再開

再開に伴いお客様に安心・安全にお使い頂くため、お客様ごとに新しいアドレスへの出金については一旦停止

（３）今後の弊社の対応と、お客様側での対応のお願い

【お客様側での対応のお願い】

【今後の弊社の対応】

APIキーを利用する際、お客様ごとにIPアドレスホワイトリストを登録できるようにいたします。

APIキーの不正利用について、IDS・IPSによる検知と防止を行います。

10名分のアカウントについて、合計37件の不正出金が実行されたことを確認対象期間と思われる2016年6月12日までに作成されたAPIキーは、復元したバックアップなどを含め約1000件程度と推測しています。海外のホスティング会社のものと思われる4つのIPアドレスからの接続を確認弊社内でのデータベースダンプの扱いを含め、あらゆる精査を行っておりますが、現時点では特定に至っておりません。ただし、下記対応により新たな不正取引および不正出金は観測しておりません。1月9日未明に不正アクセスおよび不正出金があったと連絡を受ける出金の際に新しいアドレスへ出金され、出金画面でエラーが表示された場合は、弊社サポートまでご連絡いただき、お客様の出金が「お客様のご意思によるもの」であること及び本人確認にご協力をお願いいたします。同様の事象を防ぐため以下の事項を実施致します。引き続き、該当ユーザー様との対話および調査をはじめ、捜査機関との連携を行い、事件を解決へすすめるべく努力し、今後の調査結果に基づいて、誠意をもって対応させていただきます。今後とも仮想通貨取引所 『Zaif』をよろしくお願いいたします。