重要なセキュリティアドバイスについての更新(2019年6月)

原文:Important Security Advisory Update, June 2019

概要:顧客アカウントへの不正アクセスの試みが増えています。次の方法で、お客様のBitMEXアカウントおよび個人アカウントを保護してください:すべてのアカウントに対して2要素認証(2FA)を有効にし、そしてパスワードマネージャを使用してください。

セキュリティは、常にBitMEXの最優先事項です。だからこそ私たちは、顧客の資金を守るために、手動で複数の署名を持つコールド・ウォレットの設定を採用した最初のプラットフォームとなりました。私たちは常にセキュリティプロトコルを見直し、当社の基準を改善しています。当社はプラットフォームのセキュリティとお客様のセキュリティを継続的に改善しています。

2016年に、大規模なボットネットのセキュリティ情報再利用の攻撃を受けて、BitMEXで固有のパスワードを使用することの重要性を強調したブログ記事を公開しました。さらに、 「二段階認証」 または 「多要素認証」 と呼ばれる2FAを有効にすることを推奨しました。この2FAは、ログイン時のユーザー名とパスワードだけでなく、一意の時間ベースのトークンの入力も要求することで、アカウントにセキュリティ層を追加します。トークンは、Google AuthenticatorやAuthyなどのソフトウェアベースの認証アプリ内で携帯電話に保存できます。

アカウントを保護するには、強力な固有のパスワードを常に使用し、多要素認証およびパスワードマネージャと組み合わせて、常に強力で一意のパスワードを使用する必要があります。

最近では、顧客アカウントへの不正アクセスやその試みが増加しています。アカウントで2FAを有効にすることは、これらの攻撃から自分自身を保護するための最良かつ最も簡単な方法です。

さらに、我々は、経済的動機に基づく犯罪者が利用する洗練された手法及び戦術の継続的な増加を確認しています。その一例として、攻撃者が即座に引き出し要求を実行するのではなく、攻撃者が同じように制御している別のアカウントに対して故意に損失を与えることによって、口座から資金を引き出すことを観察しました。これらの攻撃の多くは事前に特定されており、この活動が検出されたときは排除し続けます。

アカウントの乗っ取りの際に繰り返し使用されている手法の一つは、アカウントへの不正ログインによって送信されるはずのBitMEXのメールログイン通知を無効にすることです。攻撃者は、引き出し許可を持つAPIキーを作成するために、侵害された顧客アカウントで二段階認証を有効にしようとする可能性もあります。ほとんどすべてのケースで共通しているのは、顧客が引き出し通知またはログイン通知などその他のアカウント関連のEメール通知を見ていない可能性があるということです。

我々は二要素認証やその他のログインアクセス機能の強制使用などの方法を確認しながら、次の変更を行いました。

  1. 設定によりログイン通知メールの送付が無効にできなくなりました。既存の通知設定にかかわらず、アカウントへのログインがあった場合にはメール通知が行われます。
  2. APIを介して作成された引き出し要求は、使用されたAPIキーが2019年6月10日午後8:00(UTC)より前に作成されたものでない限り、引き出しを確認する電子メールでの検証ステップを完了する必要があります。

これらの変更は、お客様のアカウント・セキュリティを向上させるためのステップですが、これが完全なソリューションではないことを認識することも重要です。二要素認証を有効にすることが最も推奨されます。

上記に加えて、BitMEXは我々の顧客が経験した全てのアカウント乗っ取りをレビューし、侵害されたアカウントに共通するいくつかの要因を特定しました。

  1. パスワードの再利用、またはBitMEXプラットフォームおよび顧客の個人的なメールアカウントから簡単に推測が可能なパスワードの使用
  2. 個人のメールアカウントが侵害され、パスワードのリセットを通じたアカウントの盗難
  3. お客様のコンピュータへのマルウェアの侵入、パスワードの盗難を経たBitMEXプラットフォームへのログイン

これらの攻撃に対抗するためには、警戒を保ち、セキュリティに対する規律あるアプローチを採用することが重要です。上記のすべてのシナリオでは、二要素認証を使用することでアカウントが侵害されるリスクが大幅に減少します。このことは、二要素認証にセキュリティ・キーが使用された場合、攻撃の100%がブロックできることを示した、Googleによる最近の調査でさらに強調されています。

我々はお客様に二段階認証を強制的に適用することを検討していますが、次のような優れたセキュリティ・プラクティスを採用することの重要性を改めて強調します。

これらの手順は、BitMEXアカウントだけでなく、機密情報を保存する個人アカウントでも実行する必要があります。

  1. 2要素認証を有効にする
    1. Google Authenticator Authy など、利用可能な多くの選択肢の1つを利用することをお勧めします 。
  2. 強固で一意のパスワードを使用し、 LastPass などのパスワードマネージャを利用する
    1. 強力なパスワードは、文字、数字、記号(@、#、$、%など)の組み合わせである10文字以上(および文字数が多いほど強力なパスワード)で構成されます。パスワードは通常大文字と小文字が区別されるため、強力なパスワードには大文字と小文字の両方の文字が含まれます。
    2. Facebook、Spotify、Instagram などのソーシャルメディアアカウントには、BitMEX取引アカウントや銀行アカウントと同じパスワードを使用しないでください。強固で一意の、アカウントごとに異なるパスワードをご使用してください。
  3. 既存のリスクを評価する
    1. HIBP のようなサービスを利用し、お客様のパスワードが第三者による侵害で漏洩したかどうかを確認してください 。
    2. お客様の残高がいくつであるかを確認するために定期的にアカウントをチェックしてください。
    3. アカウントの定期的な勘定調整(reconciliation)は、すべての取引がお客様によるものであることを保証する有用な方法でしょう。
  4. お客様の連絡先リストにsupport@bitmex.comを追加し、BitMEX からのメールが迷惑メールフォルダに届いていないことを確認する
    1. bitmex.comからの公式のメールをフィルタリングしていないことを確認してください。これらの連絡には、ログインおよび出金通知が含まれます。
  5. BitMEXサポートはお客様のアカウントのパスワードを要求しません

BitMEXでは、セキュリティを非常に重視しています。我々は、社内外でセキュリティ機能を進化させ続けていますが、セキュリティは最終的には個人の責任でもあります。オンラインアカウントにデジタル資金がある場合は、上記のようにアカウントの安全性/セキュリティを確保するための対策を講じることが重要です。

アカウントに異常が見られた場合は、すぐに BitMEX のサポートページにご連絡ください。