コインチェックからのNEM流出 発表された調査結果の疑問点（楠正憲） - エキスパート - Yahoo!ニュース

コインチェックは3月8日、仮想通貨流出問題について会見で今後の対応を発表した（写真：ロイター/アフロ） コインチェックは3月8日、同社からのNEMの流出について発生原因の調査結果を発表した。発表によると従業員の端末がマルウェアに感染し、遠隔操作ツールによってNEMのサーバー上で通信傍受を行い、NEMの秘密鍵を窃取した上で、窃取した秘密鍵を利用して外部の不審通信先にNEMを不正送金したという。調査結果の詳細をレビューしないことには分からないことも多いが、どうにも釈然としない疑問点が残る。 なぜ端末がマルウェアに感染しただけで本番システムに入れたのかまず従業員の端末がマルウェア感染したとして、なぜ本番システムに侵入できたのだろうか。コインチェックのシステムはAmazon Web Serviceを利用しているが、AWSではシステム管理者権限を持つユーザーについて、多要素認証を使うことが推奨されて

[mkusunok]

なぜ端末がマルウェアに感染しただけで本番システムに侵入できたか、NEMウォレットの秘密鍵を窃取した犯人がなぜ小出しに出金したのか、発表された調査結果から浮かび上がる謎を検証しました

[kamei_rio]

仮想通貨についてはよく分からないけど、前半については基本だよなーと

[suzx]

まず(前半部分)、金融基幹系システムの基本の基本がまずできていないのではなかろうか・・・というお話。後半部分(APIや監視系の実装や管理)も含めて、業界全体で踏み込んだ検証と再発防止に向けた取り組みが必要。

[mztnex]

"私たちはいまだにMtGOX事件についての詳細を知らず、教訓を得られていない。（中略）業務の再開に当たっては事件の詳細と再発防止策について、外部から検証できるレベルで明らかにされることを期待したい"

[fuzafuza]

今後のセキュリティ構成組むのに参考になる

[hhooggee]

いやいや秘密鍵の流出以外考えられないでしょう/わざわざ残りの小額を盗むために8時間後に再度侵入したとしたら犯人がアホすぎる

[vanbraam]

これ読んで思ったのは,業務改善命令云々の前に,取引所にセキュリティ基準を設けて監査する法制度が必要なのではという事;Internetの世界には既存の法が適用されない/されるべきではないと考える人々がいるが,根拠薄弱

[hr-tachikawa]

これはめちゃくちゃ参考になる。

[masudaK]

結局具体的にどうだったのかが今ひとつ見えてこない

[honeybe]

おっしゃることは最もだがそれが出来てればこんな事態には…。という印象。

[paradisemaker]

ほんとこれなんだよね