テックビューロ株式会社が、同社が提供する仮想通貨取引所「Zaif」にて1月6日(土)夕方から7日(日)未明にかけてAPIキーを利用した不正取引および不正出金が行われ、また1月9日にも不正アクセスおよび不正出金が行われたと発表した。
同社の報告によれば、1月6日から7日未明にかけて合計102個のAPIキーが使用され、10名分のアカウントで合計37件の不正出金と、15名分のアカウントで合計137件の不正注文が行われた。使用された102個のAPIキーのうち18件が削除済みのAPIキーで、削除済みのAPIキーについては命令が実行されたものではなく、APIキーが無いエラーが返され、何も実行されていなかった。アクセス元は海外のホスティング会社のものと思われる4つのIPアドレスからの接続で、APIキーの漏洩経路の特定については同社内でのデータベースダンプの扱いを含め、あらゆる精査を行っているが、現時点では特定に至っていないという。ただし不正使用されたAPIキーの出金権限の削除などの各種対応により新たな不正取引および不正出金は観測していないとのこと。
1月9日(火)に報告された不正アクセスおよび不正出金は国内のIPアドレスからのアクセスで、特定のアカウントが狙われたり、連続的なものではないことを確認し、先のAPIキーの不正利用とは関連ないとの判断から同日14:00過ぎに出金処理を再開した。なお、再開に伴いユーザーごとに新しいアドレスへの出金は一旦停止している。
今後同社では今回と同様の事象の防止のため、APIキー利用の際にユーザーごとにIPアドレスホワイトリストを登録できるようにし、さらにAPIキーの不正利用について、IDS・IPSによる検知と防止を行うとしている。またユーザーに対し、新しいアドレスへ出金し出金画面でエラーが表示された場合は、同社サポートまで連絡するよう呼びかけている。