[ブレヒロ]ブロックチェーンゲームがハッキングされた!

スポンサーリンク

こんにちは。先日メールのパスワードがどこからか漏洩し、そこからアカウント乗っ取りやクレジットカード不正利用など数々の被害に遭っているタクロス(@KTacross)です。

いや、本当に勘弁してほしい!

資産も知名度もない自分が犯罪に巻き込まれるなんて、全く想定していませんでした…。

ということで今回はアカウント乗っ取りから仮想通貨流出、ブロックチェーンゲームやクレジットカードの不正アクセスまでの流れをまとめさせて頂きました。

1. 仮想通貨のウォレットから残高が消えた日

最初の異変に気付いたのは9/21のこと。

普段ブロックチェーンゲームを楽しんでいるアカウントのウォレット残高に異変がありました。

1ETHほど入れていたはずのウォレットの残高が2000円以下になっている…。

今思えばこの時に仮想通貨の流出被害に遭っていたのですが、もともとの残高がちょうど1ETHほどだったため、ETHと書かれた下に表示された現在価格が残高の本来の表示と勘違いし、「一瞬盗難にあったかと思いましたよね」とツイートしています。

ウォレットからの仮想通貨イーサリアムの出入りについてはEtherscanに全て記録されているので、後から履歴を辿ってみると…。

9/15に0.94ETHほどが移動させられているのがしっかりと記録されていました。

その結果、ウォレットのETH残高は綺麗にゼロとなってしまっています。

ETHの移動にはGas feeという手数料がかかり、手打ち入力ではゼロにすることができないはずなので、これはBotを利用した引き出し行為なのではないかと予想されます。

しかし上記のようにウォレットの表示バグだと思い込み、自分の残高が減ったことに気付いていなかった僕はパスワード変更などの対策を何も行わず、時間だけが経過していきました。

2. ブレヒロのアセットが勝手に売りに出される

次に異変が起こったのは10/8のことです。

ブレヒロApp by tokenPocket

ブレヒロApp by tokenPocket
開発元:TOKEN POCKET INC.
無料
posted withアプリーチ

毎朝通勤途中に電車でスタミナ消費しているブロックチェーンゲーム、ブレイブフロンティアヒーローズにログインしてみたところ…

いつも使っているチームのキャラクターが消えていなくなっている…!?

プライム(月齢課金)の期限が切れたせいでチームの登録がリセットされたのかな?…と思い所持しているアセットのページに向かいますが、レベル上限まで上げたはずのキャラクターが6体ほど見当たりません。

しかも、Epicなど価値がありそうなものから順に6体!

さらにTwitterのタイムラインを眺めていると…

アセット販売情報を伝えるツイートに、見覚えのあるユニットが!!!

これ俺のじゃん!!!

よく見るとゲームから外部販売サイトOpenseaに送ったと思われる手数料分が、ゲームの残高から減っている…!!

幸い他のアカウントに転送してから売りに出されたわけではなく、僕のアカウントから直接売りに出されていた&まだ誰にも買われていなかったため、慌てて販売キャンセル+ゲームに戻す作業を行い資産を失わずに済みましたが、気付くのが遅かったら安く売り払われているところでした。

きっとETH化した後に9月と同じく引き出すつもりだったのでしょう…。

3. ゲームアカウント凍結&復旧まで

寝ぼけてアセットを売りに出すわけもないし、これは明らかに何者かによる不正アクセスだと思った僕はすぐにブレヒロの運営会社double jump.tokyoのブレヒロカスタマーサポート連絡をとります。

まずは利用していたブレヒロアカウントの一時凍結。

さらに同じウォレットを使用していたマイクリ運営にも別途連絡を取り、そちらのアカウントも凍結となりました。

マイクリApp - My Crypto Heroes

マイクリApp – My Crypto Heroes
開発元:TOKEN POCKET INC.
無料
posted withアプリーチ

マイクリにはハッキング被害はありませんでしたが、毎日通勤時間に楽しんでいたブロックチェーンゲームのアカウントが突如2つも凍結となる羽目に。

その後はカスタマーサポートの連絡に従って最寄りの警察署に被害を報告し、ゲーム側には特別に、新たに作成したウォレットへの移行手続きを行って頂きました。

Twitterでフォロワーの方から情報を頂いたのですが、以前他にも同じような被害に遭われた方がいらっしゃったようで、その方も状況をまとめられており、今回の対応にあたって非常に参考となりました。

4. ブレヒロ異変後も不正アクセスは続く

ブレヒロ以外にも不正アクセスの被害は続きました。

次に異変があったのはブレヒロのアセットが売りに出された翌日のことです。

仕事中、やけに携帯電話に着信があると思ったら…

仮想通貨大手取引所、Binanceやコインチェックにアクセスしようとした認証コードが送られてきていました。

幸い自分の携帯電話番号を二段階認証に設定していたのと、上記取引所のウォレットには大した額の仮想通貨を置いていなかったため、被害はありませんでした。

さらのその数時間後、普段利用しているメール(Hotmail)に対してMicrosoftアカウントチームから通知が続々と届きました。

内容を見るとパスワードの変更、登録していた電話番号の削除などが行われている内容で、そんなことには身に覚えがなかった僕は自分でアカウントにアクセスしようとしました。

…しかしその時はすでに遅し。

自分が使っていたメールのパスワードや電話番号などが誰かに変更され、セキュリティコードを受け取るメールアドレスも知らない誰かのものに変更させられており、逆に自分が本人確認できなくなりログイン不可となってしまいました。

Microsoftのサポートセンターに連絡をとり対応を求めましたが、現時点でもアカウントを取り戻すことができていません。

さらにはTwitterやFacebookのアカウントにアクセスしようとした形跡が見られたり、クレジットカードの会社から不正なカード使用があったと連絡があったりと、その後もハッキング被害は続いています。

5. どうしてこうなった?

今回不正アクセスの対象となったゲームや仮想通貨ウォレット・クレジットカードには同一のメールアドレス・パスワードを使用していました。

思い起こすとブロックチェーンゲームに興味を持ち始めた最初の頃に、ゲームのキーチェーンやパスワードをメールに記載して送信したことがあるような記憶があり、犯人は何らかの手で僕のメールのパスワードを割り出した後、メールボックスに残っていたキーチェーンで僕のブレヒロアカウントに侵入し、イーサリアムを引き出したりアセットを売りに出したりしたのではないかと考えられます。

あの時メールでパスワードを送っていなかったら、こんなことにはなっていなかったはず…。

そんなことを考えても肝心のメールには既に犯人の手によってアクセスできなくなってしまいましたし、大学時代からずっと使い続けてきた僕の私的なメールのやり取りは全て犯人に見透かされてしまっています。

今回一番大変だったのは、被害に遭ったメールアドレスを使用してきた多くのサービスの登録情報を全て変更しなければいけなくなったことです。

銀行口座、クレジットカード、SNS、サブスク、WindowsやAppleのアカウント、等々…。

パスワードやキーチェーンの取り扱いには細心の注意を払わなければいけないことを、今回身をもって痛感しました。とほほ…。

6. まとめ

いかがでしたか?

クレジットカードの不正利用でも自分と同世代の男性が好むブランドの商品を購入した履歴が報告されており、犯人は東京都品川区在住ということもアクセス履歴から分かっています。

…しかしそこまで情報があっても、仮想通貨の匿名性や個人情報の保護により、自分で犯人を割り出すことは難しく、盗まれた1ETH(記事執筆時点では4万7千円相当)が戻ってくる見込みはありません。

警察にも相談しましたがその後の進展の連絡はなく、こちらとしては待つしかない状況です。

僕も被害に遭うまでは自分にはハッキング被害は関係ないものと考えていました。

大した金額を注ぎ込んでもいない、その界隈で有名でもない僕のアカウントにアクセスするような輩はいないに決まっていると、考えていました。被害に遭うまでは。

しかしどうやら犯人は僕が思っているよりすぐ近くにいるようです。

そして被害にあったことで、もしかしたら以前オフ会でお話したり、SNSで関わった誰かが犯人かもしれない、と思わずにはいられないことが、いちばん苦しいです。

ブレヒロのアセットをOpenseaに出品できるハッカーなんて、かなり限られているはずですからね…。

願わくば今回のような被害がこれ以上でないように、僕のこの記事が少しでも皆さんの注意に繋がればと思っています。

Twitterで大騒ぎする僕に助言をくれた皆様、そしてお忙しい中個別の対応をしてくださったブレヒロの松谷プロデューサーはじめdouble jump.tokyoのサポートの皆様に、改めて感謝いたします。

  

タクロスは ブロックチェーンゲームの ハッキングについての きじを とうこうした!

1ポイントの けいけんちを かくとく!

Total exp:154  To next Lv:96

仮想通貨
スポンサーリンク
スポンサーリンク
シェアする
スポンサーリンク
Quest Blog

コメント

スポンサーリンク
スポンサーリンク
スポンサーリンク