FTXのサイバーセキュリティは笑えるほど悪かった

記事のソース

かつて愛されていた仮想通貨取引所であり、昨年 11 月に金銭的な不正行為に見舞われて倒産した FTX は、顧客のデジタル資産の保護についてあまり気にしていないようです。

実際、同社の最新の破産報告書は、ジムビームを振り回す猿と堕落したローマ皇帝の間のクロスのように財政を管理することに加えて、不名誉な暗号取引所が想像できる最悪のサイバーセキュリティ慣行をいくつか持っていたことを明らかにしています.

ええ、この会社はハッキングを求めているだけです。そして、もちろん、そうしました。

昨年 11 月、同社が連邦破産法第 11 章による破産を宣言してから 24 時間も経たないうちに、前のリーダーである Sam Bankman-Fried (または SBF) が CEO を辞任して間もなく、同社は大規模なデジタル強盗に見舞われました。 4 億 3,200 万ドルの資産、まだ行方不明のデジタル キャッシュの束でオフになっています。

当時、ハッキング事件は、すでに壮大なたわごとサンデーに加えて、より悪いニュースのように見えましたが、今ではエピソードのコンテキストがもう少しあります.確かに、非常に基本的なデジタル保護を確立するために会社が完全に失敗したことを広範にレビューする月曜日のレポートは、会社が以前にハッキングされなかった理由を不思議に思わせるコミックの傑作です.

「FTXグループは、暗号資産を保護するための基本的で広く受け入れられているセキュリティ制御を実装できませんでした。顧客との取引を委託されたビジネスのコンテキストでは、それぞれの失敗はひどいものでした」と報告書は述べています。ここでは、これらの失敗に関する要点をいくつか紹介します。

FTXにはセキュリティスタッフがいませんでした

数百億ドルの暗号資産を保護する任務を負っている企業であるにもかかわらず、FTX には専任のサイバーセキュリティ スタッフがいませんでした。なし。実際、同社はわざわざ CISO (最高情報セキュリティ責任者) を雇って会社のリスクを管理することはありませんでした。代わりに、彼らは会社のソフトウェア開発者のうちの 2 人に依存していました。報告書によると、彼らはセキュリティの分野で正式なトレーニングを受けておらず、セキュリティの優先順位付けとは相容れない仕事をしているということです。レポートには次のように記載されています。

FTX グループには、独立した最高情報セキュリティ責任者はおらず、そのような役割の責任を果たすことを任された適切なトレーニングや経験を持つ従業員もおらず、サイバー リスクの評価、セキュリティ管理の実施、またはサイバー インシデントへのリアルタイムの対応のための確立されたプロセスもありませんでした。 ..他の分野の重要な統制と同様に、FTX グループはサイバーセキュリティ統制の優先度を大幅に下げ、無視しました。これは、本質的に、FTX グループの事業全体 (資産、インフラストラクチャ、および知的財産) がコンピュータ コードとテクノロジで構成されていることを考えると驚くべき事実です。 .

確かに、多くのテクノロジー企業はサイバーセキュリティに関して人員不足に苦しんでいますが、それは、ユニコーンまたはスタートアップであり、有能な人材を雇うための人員や資本がない場合にのみ許されます.内破の数日前には、FTX は 320 億ドルもの価値があると報告されていました。言うまでもなく、彼らは男を雇うことができたと思います。

FTXはコールドストレージをほとんど使用していません

FTX が行ったもう 1 つの非常にばかげたことは、ユーザーの暗号資産をコールド ストレージに保管しなかったことです。これは、ほとんどの暗号交換が遵守すると主張する標準的なセキュリティ慣行です。

一般に、暗号資産は 2 つの別々の方法で保管できます。インターネットに接続されたソフトウェア ベースのアカウントである「ホット ウォレット」。 「コールド ストレージ」は、オフラインのハードウェア ベースのストレージです。コールド ストレージは安全であると考えられていますが、「ホット ウォレット」は、ウェブにリンクされているため、ハッキングされる可能性があり、ハッキングされる可能性があるため、リスクが高くなります。

一般的な通念によると、企業はアカウントの流動性を維持するために必要なだけの仮想通貨をホット ウォレットに保管し、残りの仮想通貨はコールド ストレージに保管する必要があります。しかし、FTX はそうしませんでした。代わりに、レポートは、顧客の資産の「ほぼすべて」をホットウォレットに保管していると述べています。

FTXは、コールドストレージの方が安全か何かを知りませんでしたか?いいえ、適切な制御を実装するにはあまりにも愚かであるよりも悪いことに、取引所のリーダーシップはあまりたわごとを与えていないようです.

「FTXグループは、慎重な仮想通貨取引所がどのように運営されるべきかを間違いなく認識していました。なぜなら、サードパーティからコールドストレージをどの程度使用しているかを説明するように求められたとき、嘘をついたからです」と報告書は述べ、FTXの幹部が使用した多くの例を挙げています。 SBF を含め、ユーザーの資産をコールド ストレージに保管していると主張しました。ある例では、同社は投資家に、業界のベストプラクティスに従って、少量の仮想通貨をホットウォレットに保管し、残りは「地理的に分散されたエアギャップ暗号化されたラップトップにオフラインで保存されている」と語った.しかし、報告によると、これは単なるでたらめでした。

代わりに、レポートが指摘しているように、「FTXグループは、「規制により使用が義務付けられている」日本を除いて、「FTXグループはコールドストレージをほとんど使用していませんでした」.

秘密鍵が暗号化されていない

FTXの覗き見が行ったもう1つのまったくばかげたことは、クライアントの機密暗号化キーとシードフレーズをプレーンテキストドキュメントに保存し、明らかにスタッフがアクセスできるようにすることです.

暗号では、キーまたはシード フレーズは、ユーザーの個々のウォレット内にアクセスするためのパスワードです。業界標準では、暗号化された情報を暗号化して、詮索好きな目から保護することを暗号交換に強制しています。そうではありません。FTX では、数千万ドル相当のウォレットを開くことができる鍵が暗号化されずにプレーンテキストで保持され、AWS に転がっていたようです。

報告書によると、これは一般的に組織化されていないセキュリティへのアプローチの一部であり、「FTX.com、FTX.US、および Alameda によって使用される秘密鍵とシード フレーズは、FTX グループのコンピューティング環境のさまざまな場所に保管されていました。さまざまな安全でない方法を使用し、統一された手順や文書化された手順を使用せずに、まとまりのない方法で行われます。」

FTX ギャングは実際には MFA を使用していませんでした

SBF と彼の愉快な流行に敏感なグループは、多要素認証の「効果的な使用を強制できなかった」ようです。多要素認証は、オフィスで働くほぼ全員が知っている非常に基本的な Web セキュリティの形式です。最近発表された報告書は、仮想通貨取引所のリーダーシップが「最も広く受け入れられている ID およびアクセス管理 (「IAM」) に関連する制御でさえ、適切な方法で実装できなかった」と述べています。これには、業界のベスト プラクティスであると広く考えられている MFA とシングル サインオン サービスの使用の失敗が含まれていました。

そして、はるかに！

FTXが犯したと思われるセキュリティ過失の陽気な宝石は他にもたくさんあるので、あごを床に落としたい場合は、レポート全体を読むことをお勧めします.