ユーザー主義大好き。
コネマル(@conemaru_btc)です。
先日、Android版HB Walletにて、不正流出(盗難)が複数確認されました。
これを受け、HB Walletを運営するbacoor株式会社は即座に、注意喚起と対策を発表しました。
2018.5.25~2018.5.26
bacoor株式会社が、公式サイトにて複数の発表を行いました。
その内容の1つに、犯人の特定があり驚きました。
更に、ユーザー第一主義の対応も発表されているため、紹介します。
盗難被害概要(時系列)
2018.5.24
Android版HB Walletにて、盗難被害報告が複数あり、調査が行われました。
その後の流れは以下です。
同日
不正なapkをリリースしたログを確認し、犯人を特定した
2次被害を防止するため、リリース可能なユーザーを制限した
同日
ver1.5.2 正常なアプリケーションをリリースした
5.25
犯人とコンタクトを開始した
同日
犯人がEthereum及びトークンを弊社アカウントへ送信開始した
犯人がEthereum及びトークンを弊社アカウントへ送信完了した
犯人は既に特定され、盗難された通貨は、bacoor社指定のコールドウォレットにて保管されています。
盗難被害概要(状況)
被害を受けたアドレス数:13
Ethereum:924.0288582 ETH
Tronix:14829 TRX
計13アカウントから、約6110万円の被害額でした。
調査結果と犯人の証言を照合した結果と記載があったため、上記枚数は全て回収していると見て良いでしょう。
犯人は・・・
本件の犯人は、前任のHB Wallet チームリーダーです。
公式発表は以下の通りです。
HB Walletのチームリーダーは先日、交代しておりました。
犯人が退職する際には、api keyを保存している端末を返却させ、弊社にて初期化しておりました。
これにより犯人はGoogle Play Store Consoleのapi keyを所持していない状態になったものと判断しておりました。
しかしながら、犯人はapi keyを不正に所持しておりました。
このapi keyと独自に開発したアプリケーションを用いて、犯人はそのアプリケーションを遠隔でリリースしました。
じょかはあまり技術的なことは分かりません。
しかし本件の犯人は、当然社会人として、人間として信用を裏切る行為を行ったことは分かります。
HB Wallet及びbacoor社の信用失墜も間違いないと感じていました・・・この後の発表を読むまでは。
bacoor社の本気対応
本件により、HB Walletの危険性を感じた人は多いでしょう。
実際は13アカウントしか被害がなかったとはいえ、その13アカウントに自分が含まれなかったのは幸運でしかありません。
当然、違うウォレットに資産全移動を検討すべきです。
しかし検討するのは、下記内容を全て読んだ後でも遅くはありません。
犯人への対応
既に犯人は分かっており、身内でした。
既にbacoor社は、本件被害分を全て回収しています。
その上で、bacoor社は犯人を刑事告訴することを発表しています。
資産返却
被害のあった13アカウント保有者に対し、代表取締役 奥田氏が直接会いに行き、
誠意を持って全ての資産返却を行う旨を発表しています。
再発防止策
発表をそのまま記載します。
今回の事件について弊社が特に重大と受け止めている過失は以下の2点です。
本来であれば、前任チームリーダーが交代したタイミングで新しいapi keyを発行し、古いapi keyを無効にするべきでした。
今回、その処置を直ちに行わず古いapi keyを使い続けていたことが弊社の1点目の過失です。
現在、暫定対処といたしまして、アプリをリリース可能なGoogle Play Store Consoleのアカウントを制限いたしました。
また、不正なリリースが行われたことを速やかに検知できなかったことが弊社2点目の過失です。
この件の暫定対処といたしまして、リリースできるアカウントを制限した上で、そのアカウントに弊社が所有している端末以外からのアクセスがあった場合、即座に通知が来るように設定しております。
送金手数料補填
事件直後、Android版HB Walletから外部ウォレットに送金する際に、送信手数料(ETH)が足りない方に対し、bacoor社は送金手数料(ETH)を補填していました。
今回更に、補填対象を広げると発表しています。
補填対象者:
2018.5.22 20:39以降、Android版HB Walletからの退避の為にマイイーサウォレットなどの外部ウォレットへの送信手数料(ETH)を負担した方
補填内容:
送金時の送金手数料(ETH)を補填
条件:
送金先である外部ウォレットの、0xから始まるイーサリアムアドレスを提示(必須)
送金元であるAndroid版HB Walletの、0xから始まるイーサリアムアドレスを提示(可能である場合)
2018.5.2 20:39以降、ウォレット内に存在したいずれかの暗号通貨(仮想通貨)の90%以上を、Android版HB Walletからの退避の為に送信したことをbacoor社が確認
補填対象期間:
2018.6..30 23:59まで
その他:
送金先からHB Walletに通貨を戻す際の手数料は補填対象外
申告時は https://docs.google.com/forms/d/e/1FAIpQLSej4G633uXk6vntnaEgGXYo_R7tCsCzQGfye3kt3wbqzONT4Q/viewform にて必要事項を入力
良い対応だと思います
犯人の特定まで時間がかかっておらず、回収も終えているが故の対応かもしれません。
それでも、ユーザー主義の素晴らしい対応であると強く感じました。
ユーザーの求める情報を即座に発表し、HB Walletのツイッターアカウントでも常に注意喚起を行っていました。
事件終幕に向け、おそらく結構な額になる送金手数料も全負担です。
ユーザー主義を大切にする製品・会社は、愛され、信用され、最終的に生き残る。
今回の対応で、HB Walletは信じて良いコンテンツであると、じょかは感じました。
同じようなことが起こらないよう、適切な再発防止を行うとともに、常にリスク調査をお願いしたいです。
以上。
コネマル(@conemaru_btc)でした。
近日エアドロップ予定の御結びコインも宜しくお願いします。
bacoor社:Android版HB Walletにて発生している盗難被害の調査状況と再発防止策についてのご報告
bacoor社:Android版HB Wallet から資産を退避するために外部ウォレットへ送信する際の送信手数料(ETH)の補填について
コメント
犯人がすぐに特定できてよかった。
HBはPCウォレットの日本語対応頼むっス~
業界トップクラスの対応ですね!
ひどい話ですね。
hbウォレット 良いんだけど不安定なんだよな…画像消えて見えなくなるし…
真面目で素晴らしいですね。
やるな
そう言えば、HBウォレットの件はその後どうなったんですかねw