脅しが暗転──バイナンスと「KYCハッカー」との交渉の内実:米CoinDesk報道

重要なポイント

  • ビナトフ・プラトン(Bnatov Platon)」という偽名で活動するハッカーは、2019年8月7日(現地時間)に仮想通貨取引所バイナンス(Binance)の顧客に関する情報をオンラインで公開する以前に、CoinDeskの記者と1か月におよぶやり取りを行なった。
  • そのやり取りの中でプラトン氏は、バイナンスから7000ビットコイン(BTC)が盗まれたハッキングに関与した人たちをハッキングしたとする主張。その内容を明かした。
  • プラトン氏は、自分の目的は利他的なもので、ハッカーたちに裁きを受けさせることを望んでいただけだと主張した。しかし、バイナンスの顧客データを公表しない約束の見返りに、事実上お金を要求していたようである。
  • プラトン氏とバイナンスは多くの交渉を行い、一度は合意に達したが、その後交渉は決裂したと言われている。CoinDeskはこれらの交渉の記録を入手した。

ハッカーがハッカーをハッキングするという複雑なゲームのような展開の中、「ビナトフ・プラトン(Bnatov Platon)」という偽名で活動する人物は、世界最大級の仮想通貨取引所バイナンス(Binance)の顧客についての情報を公表しないことの見返りに、何百万ドルものお金を獲得しようとした試みについての詳細をCoinDeskに提供した。

プラトン氏がバイナンスの本物の顧客の画像と情報だと主張するデータを、まずはオープンウェブサイト、次にメッセージアプリのテレグラム(Telegram)に投稿し始めたことで、同氏との1か月にもおよぶやり取りを通じて集められたハッキングについての情報は2019年8月7日(現地時間)、一般の目にさらされることになった。

世界最大の取引所においても顧客情報が安全に守られない可能性があるという考えは、業界の注目を集め、主要なニュースサイトやツイッターのインフルエンサーが素早くそのニュースを伝えた。

しかし、事態の全容は、最初に思われていた以上に複雑だ。

まず、この事態の根は深く、2019年5月に外部グループがバイナンスのユーザーアカウントに侵入し、7000ビットコイン(BTC)を盗んだ事件までさかのぼる。当時バイナンスは、いつも通り問題を公にし、事件を「ハッカーが多くのユーザーAPIキー、2FAコード、もしかしたら他の情報も獲得することができた大規模なセキュリティー侵害」の一環と説明した。

しかし、個人を識別できるようなユーザー情報が漏洩した可能性があるということは言及されなかった。

プラトン氏は、バイナンスの顧客情報が取得されたのはこの事件においてだと主張するが、自身はハッキングの犯人ではなく、ハッキングに関与したバイナンス「内部の人物」をハッキングしたと述べている。

一方のバイナンスは、顧客情報は2018年2月以降顧客確認(KYC)のために契約していた匿名の第三者企業から入手されたものだと主張する。

さらにCoinDeskは、漏洩した何百もの情報のうち、少なくとも2つはバイナンスに身元識別情報を提供した本物の顧客のものであることを確認した。CoinDeskが分析した画像の一つには細工が施されているが、写真に身元情報が写る人物は、漏洩が起きた頃にバイナンスにアカウントを作ったことを認めた。

CoinDeskとのやり取りの中でプラトン氏は、自分は「ホワイトハットハッカー」であると主張し、いくつかのコメントにおいて、情報の見返りにバイナンスに報奨金を要求していたことを示唆した。しかし、交渉は決裂し、プラトン氏とバイナンスの担当者は、プラトン氏が自分の保持しているデータをさらに説明するために300ビットコイン(BTC)を要求した、と報告している。

声明の中でバイナンスは、今回のニュースによってもたらされた「恐怖、不安、疑念」に対し次のように回答した。

「身元不明の人物が、バイナンスのKYCデータに類似した1万枚の写真を公表しない見返りに、300ビットコイン(BTC)を要求し、我々を脅してきた。この件に関しては、正当性と関連性の捜査を続けている」

CoinDeskは、さらなるコメントを求めてバイナンスに接触を行なった。

プラトン氏は、KYC情報を6万件保持していると主張している。

ここからは、交渉とその後の展開についてCoinDeskの取材によって明らかになったことをお伝えする。

資金の移動

CoinDeskとプラトン氏とのやり取りは、バイナンスの5月のハッキングで盗まれたビットコインの動きを報じ始めた7月に始まった。

バイナンスは当時、ハッキングに関して悪意のある人物たちが顧客のAPIと2ファクタコードを手に入れたと述べ、「その他の情報」も取得された可能性があるとした。

しかし、この件に対するプラトン氏の見解は異なっていた。同氏は、内部の人間が、多くのAPIを公開する手助けを行い、それによって顧客アカウントにハッカーが直接アクセスすることが可能になったと主張した。ハッカーたちは、アカウントにリモートアクセスするために利用されるコードであるAPIキーのリストをテキストファイルで保管し、プラトン氏はそのファイルを手に入れることができると主張した。APIキーをテキストファイルで保管することで、ハッカーたちは資金にリモートアクセスすることが可能になったという。

このファイルには、顧客のメールアドレスとアカウントのパスワードを含む「非常に重要な情報も含まれている」と、プラトン氏は述べた。リスクにされされているのは、バイナンスアカウントを2018年〜2019年に開設した顧客である。

この個人情報を利用して、ハッカーたちは1度に0.002ビットコイン(BTC)(約23ドル=約2440円)を即座に引き出すことを可能にする悪意のあるスクリプトを書いた。そのコードはブロックメイソン・クレジット・プロトコル(BlockMason Credit Protocol)という無名のトークンの買い注文を行い、それをビットコインに変換した。

そのコードは、CoinDeskでも検証したが、もはやオープンではなかったり、公開されていないAPIコールを使用して多くの機能を実行することもできた。しかし、サーバータイムのシンプルなリクエストである一つのAPIコールを試したところ、まだオープンであった。クローズされたAPIエンドポイントが削除されたのか、単に隠されているだけなのかは、はっきりとは分からない。

プラトン氏は、盗まれたコインは、最近ローンチされた仮想通貨取引所「ザ・ピット(The PIT)」の生みの親で、ビットコインソフトウェアウォレットプロバイダーのBlockchainがホストするウォレットに保管されていた、と主張している。

このウォレットからつながる跡を辿ることによってプラトン氏は、ハッカーたちがビットメックス(Bitmex)、ヨービット(Yobit)、クーコイン(KuCoin)、フォビ(Huobi)を通じで2000ビットコインをロンダリングし、1日に100万ドル(約1億616万円)相当ものビットコインを換金しようとしていたことを発見した。

ハッキングはどのように行われたのか

プラトン氏は、漏洩したと主張する6万件の顧客アカウントのうち、636のファイルをCoinDeskと共有した。同氏はメディアの関心によって、ハッキングの範囲の真相の公表をバイナンスに促し、ハッカーたちに裁きを受けさせることを期待していた。

バイナンスとしては、盗まれたビットコインは、自社の法人アカウントから盗まれたものであり、顧客に影響はないと発表。当時バイナンスは、ユーザーを保護するために預け入れと引き出しも一時停止した。しかし、漏洩したユーザー情報の範囲に関しては、秘密にされたままであった。

パスポートや運転免許証の画像、そして身分証を掲げたユーザーの実際の顔写真に加え、プラトン氏は画像と関連するメタデータのいくつかの例も提供した。

例えば、このコードは、あるユーザーが2018年3月20日にKYCを受けたことを示している。

"id": 1573211,
"userId": "25276308",
"front": "/IDS_IMG20180320/25276308_0_9416819.jpg",
"back": "/IDS_IMG20180320/25276308_1_7376587.jpg",
"hand": "/IDS_IMG20180320/25276308_2_4413070.jpg",
"auditor": "chenxiaozi",
"message": "",
"status": 1,
"createTime": "2018-03-20 08:12:33",
"updateTime": "2018-03-21 01:48:33",
"number": "s532557730580",
"firstName": "m[REDACTED]",
"lastName": "[REDACTED]",
"type": 2,
"sex": 1,
"country": "United States of America (USA)(美国)",
"email": "[REDACTED]@outlook.com",
"version": 1

さらにプラトン氏は、「内部の人間」によってバイナンスのサーバーに設置されたバックドアにアクセスするものとされるコードもCoinDeskに送った。そのコードの分析から、プラトン氏は正しいことが示された。

「これはAPIキー攻撃である可能性が非常に高い」と、ブロックチェーン開発企業のビジブルマジック(VisibleMagic)の最高技術責任者(CTO)、ヴィクトル・シュパック(Viktor Shpak)氏は言う。「どこかからAPIキーを収集してきたのだろう」

APIキーは、取引所やその他のアプリケーション内でのサービスを承認するために使用され、被害者の代わりに仮想通貨を購入したり、仮想通貨を実際に外部のウォレットに移動させるなど、ハッカーがあらゆることをするのを可能にする。

シュパック氏は、コードは具体的には、バイナンス内のバックドアを示していると述べたが、CoinDeskはこの機能や関連するAPIキーを通じてのアクセスを単独で実証することはできなかった。

  public static String getApiKey(String uri, String userId) {
        String time = "";
            time = get("https://www.binance.com/api/v1/time");
        Map<String, String> param = new HashMap<String, String>();
        param.put("userIderId);
        param.put("descpi" + JSON.parseObject(time).getString("serverTime"));
        return post(uri + "/exchange/mgmt/account/getApiKey", param);
    }

「内部の人物がAPIキーにアクセスするためにハンドラーを作成し、APIキーを収集して、ユーザーデータにアクセスし、よくできたツールキットを構築した可能性が高い」と、シュパック氏は述べる。

しかし、この情報を突きつけられたバイナンスの担当者は当時、「チームからの最新情報によれば、これらがバイナンスのKYC画像であるという証拠は現在存在せず、弊社のシステムプロセスに基づいた電子透かしも施されていない」と述べた。

プラトン氏の動機

CoinDeskとやり取りを続ける中、ハッカーたちに裁きを受けさせる(と同氏が主張するところの)多方面の取り組みの一環としてプラトン氏は、バイナンスの最高成長責任者(CGO)のテッド・リン(Ted Lin)氏にも連絡を取っていたという。

「私は個人的にバイナンスを、ハッカーを捕まえた世界初の取引所にしたかった。バイナンスの評判にとって非常に有益になる」と、プラトン氏は述べ、こう続けた。

「(リン氏に)内部の人間の詳細、外部の人間との連絡の詳細、そして写真といった、内部の人間に関する情報を持っていると伝えた。サーバー情報、身元、電話番号などの、ハッカーに関する詳細な情報も持っているとリン氏に伝えた」

プラトン氏がCoinDeskに提供したメッセージの中でリン氏は、ハッカーや内部の人間の逮捕、資金の回収につながる情報に対して報酬を支払うことに理解ある態度を示していた。

しかし、同じメッセージの中でリン氏は、プラトン氏が行なっている「FUD(恐怖、不安、疑念)キャンペーン」をはねつけた。

「前にも言った通り、我々は恐喝には応じない」とリン氏は述べた。CoinDeskとの以前のやり取りの中でプラトン氏は、自分は独立して裕福であり、バイナンスの3分の1の規模と同氏が言うところの仮想通貨取引所の運営者である、と主張していた。

プラトン氏はまた、金銭的な報酬には興味がないとも語った。「お金が必要な時は、取引所のあるアカウントの残高(ハッカーのもの)をハッキングすればいいだけのことだ。ハッカーのウォレットをハッキングすることで、600〜700以上のコインを簡単に回収することができる」と、プラトン氏は述べた。

「しかし、コインがロンダリングされ続け、跡を消すために移動されるのを見ながらも、まったく手を付けなかった」とプラトン氏は述べ、ハッカーに跡を追っていることがバレないようにしたかった、と主張した。

交渉決裂

目的は利他的なものという主張にも関わらず、CoinDeskは後に、プラトン氏とバイナンス担当者から、ホワイトハットハッカーとされるプラトン氏が、情報の見返りに、7月の取引価格でおよそ300万ドル(約3億1848万円)に相当する300ビットコインを50回の分割で要求していたことを知ることとなった。

しかし、交渉は途中で決裂した。最初にCoinDeskに接触してきてからわずか5日後の7月22日、プラトン氏はバイナンスとの交渉を止めた、と述べた。

「およそ1か月の交渉で、バイナンスは一銭も支払わなかった」と、プラトン氏は述べ、次のように続けた。「バイナンスとの交渉は決裂した」

そこから、プラトン氏とバイナンスとの交渉は、プラトン氏が獲得した顧客情報を放出すると脅迫する人質交渉へと暗転していった。

プラトン氏は、交渉が決裂した時にテッド・リン氏と交わされたとされる次のやり取りを提供した。

テッド・リン [2019年7月20日 19:54]
持っている情報をすでにメディアに流したようですね

テッド・リン [2019年7月20日 19:59]
あなたのFUDキャンペーンによってすでに損害が出てしまっとことを考慮すると、情報に対してあなたが要求していた報酬は非常に少なくなります。前にも言った通り、我々は恐喝には応じません。しかし、悪者たちを捕まえ、資金を回収することを可能にしてくれる有益な情報をあなたが持っているとしたら、犯人に関連する情報をより多く得たいと思っています。

プラトン [2019年7月21日 16:53]
以前にも言った通り、あなたたちからのお金は必要ありません。

プラトン [2019年7月21日 16:53]
もう取り決めから離脱しています。

プラトン [2019年7月21日 16:54]
あなたたちからの反応も期待していません。

プラトン [2019年7月21日 16:59]
しかし、ニュースが公表された時の内部の人間とハッカー達の反応はぜひ見てみたいです。繰り返しますが、あなたたちの反応には興味がありません。

テッド・リン [2019年7月21日 19:04]
ハッカーたちが捕まることを望んでいたと思っていましたが?

プラトン [2019年7月21日 19:11]
以前はそれを望んでいましたが、今はもうそうではありません。

プラトン [2019年7月21日 19:12]
身を引いて、傍観を続ける方が良いです。

テッド・リン [2019年7月21日 19:19]
ハッカーや内部の人間の逮捕、資産の回収につながる情報に対して報酬を支払うことにはいまだに関心があります。

テッド・リン [2019年7月21日 19:19]
そういったことを可能にするさらなる情報を持っているなら、教えてください。

テッド・リン [2019年7月21日 19:20]
交渉を止めると決断する前に、あなたが持っている情報のタイプを検証する作業を進めていました。

テッド・リン [2019年7月21日 19:21]
気が変わって、交渉を続けたくなったら教えてください。

テッド・リン [2019年7月21日 19:21]
協力に感謝します。

プラトン [2019年7月21日 19:28]
それなら、私に報酬を支払ってください。

「バイナンスと交渉をしようという決断は間違っていた」、とプラトン氏は言う。「彼らは正しい人たちではない。(中略)だから、すべてのデータを顧客たちに公表する。

確かにプラトン氏は、7月22日のバイナンスの担当者とのやり取りの中で、「私が現在興味があるのは、ハッカーたちとあなたの会社の内部の人間だ。ニュースが公表された時の彼らの反応をぜひ見てみたい」と述べている。

脅しは8月5日、現実のものとなる。プラトン氏は166人のKYC用の合計500枚の写真を含むドキュメントをアップロードした。「ガーディアンM(Guardian M)」の偽名を使って、オープンファイルのシェアリングサイトに公開した。

これに引き続き8月7日午前、身分証を掲げる個人の何百枚もの画像を含む2つ目のデータがテレグラムのグループに投稿された。

プラトン氏の説明はシンプルだ。正しいことをしていると思っているのだ。

「人々は『なんでKYCの写真を公開しているのか?』、『どうやって手に入れたのか?』と質問し続けてくる。KYCを公表している理由は単純だ。バイナンスで取引している人たちに警告を与えるためだ」と、プラトン氏は述べる。「もしお金が必要なら、公表せずにアンダーグラウンドで売っている」


Bnatov Platon @BnatovP 7時間前
バイナンスはこの事態を防ぐことができた。しかし防がなかった。

1万枚の写真に対して300ビットコインを要求?どれだけ多くの写真がチャンネルにアップロードされるか、バイナンスは注視し続ける必要がある。
多くの方法で、バイナンスに協力を申し出た。そして各ステップに対して、報酬として50ビットコインを要求した。 #BinanceKYC

Bnatov Platon @BnatovP 7時間前
どうやって写真を入手したかって?私に聞かないでくれ。バイナンスに聞いてくれ。
第三者業者から?冗談だろ。
フィッシングによって?ワオ、それが本当なら、私は確かにトップレベルのフィッシング技術を持っていることになる。#BinanceKYC

Bnatov Platon @BnatovP 7時間前
人々は「なんでKYCの写真を公開しているのか?」、「どうやって手に入れたのか?」と質問し続けてくる。

KYCを公表している理由はシンプルだ。バイナンスで取引している人たちに警告を与えるためだ。もしお金が必要なら、公表せずに、アンダーグラウンドで売っている。


プラトン氏はさらなるコメントの求めに応じておらず、情報の投稿を続けるのかも明らかにはしていない。CoinDeskはバイナンスに対してもコメントを求めた。バイナンスのコードを分析した開発者、ビジブルマジックのヴィクトル・シュパック氏に対して、ジョン・ビッグス(John Biggs)氏がマーケティングとビジネスにおいて協力した。

翻訳:山口晶子
編集:佐藤茂
写真: Image via Twitter. Header image and internal images via CoinDesk.
原文: An Extortion Gone Bad: Inside Binance’s Negotiations With Its ‘KYC Hacker’