しかし今回の事件の仕掛けが、「無限振り出し」にあったとすると、話はおかしくなる。
金が引き出されたのは、みずほ銀行の口座なのだ。
とすればセキュリティーが破られたのは、マウント社の金庫ではなくてみずほ銀行なのではないか。
みずほ銀行は、金を送り込んだ時に相手口座から受領確認を取らないのだろうか。
2日付の朝日新聞(via 阿修羅)には次のような記事がある。
安全性が高い銀行口座からハッカーが直接現金を盗み出すのは「技術的には考えづらい」と、顧客の一人でIT関連会社の峰松浩樹社長は指摘する。「『紛失』したコインの穴を埋めるために、顧客の現金で別のコインを買ったのではないか」と疑う。
たしかに、そうも考えられる。
と言うより、そう考えないと、みずほ銀行にとっては大変なことになる。
新聞がこの事件の報道に及び腰なのは、そのせいがあるかもしれない。
まぁいちおう、みずほの対応に瑕疵がなかったとして、仕掛けとしては次のような三角ベースが考えられる。
みずほは金を送る、犯罪者は受領確認を発行する。ところがこの受領確認がマウント社に転送されない。
おそらくマウント社のコンピュータはみずほからの受領確認転送を待って、ビットコイン残高を減らす仕掛けになっていると思われる。
したがってこのフィードバック回路がやられてしまうと、ビットコインの残高は減らない、ということになってしまう。
ただこのフィードバック回路を全面遮断すればたちまち、パンクしてしまう。
犯罪者のIDのみ、フィードバックを免れることができるように細工してあるのだろう。
だからといってみずほの責任が全くないとはいえない。端的に言えば、フィードバック情報が送りっぱなしになっていなかったか、情報を受け取ったという確認を取っていなかったのか?
これはセキュリティ・ホールというよりはシステム設計の問題になるだろう。
これも大変なことだ。責任はフィフティ・リフティになる可能性がある。
残る可能性は、マウント社のCEOに悪意があった場合だが、これについてはカナダの訴訟で明らかになっていくだろう。
金が引き出されたのは、みずほ銀行の口座なのだ。
とすればセキュリティーが破られたのは、マウント社の金庫ではなくてみずほ銀行なのではないか。
みずほ銀行は、金を送り込んだ時に相手口座から受領確認を取らないのだろうか。
2日付の朝日新聞(via 阿修羅)には次のような記事がある。
安全性が高い銀行口座からハッカーが直接現金を盗み出すのは「技術的には考えづらい」と、顧客の一人でIT関連会社の峰松浩樹社長は指摘する。「『紛失』したコインの穴を埋めるために、顧客の現金で別のコインを買ったのではないか」と疑う。
たしかに、そうも考えられる。
と言うより、そう考えないと、みずほ銀行にとっては大変なことになる。
新聞がこの事件の報道に及び腰なのは、そのせいがあるかもしれない。
まぁいちおう、みずほの対応に瑕疵がなかったとして、仕掛けとしては次のような三角ベースが考えられる。
みずほは金を送る、犯罪者は受領確認を発行する。ところがこの受領確認がマウント社に転送されない。
おそらくマウント社のコンピュータはみずほからの受領確認転送を待って、ビットコイン残高を減らす仕掛けになっていると思われる。
したがってこのフィードバック回路がやられてしまうと、ビットコインの残高は減らない、ということになってしまう。
ただこのフィードバック回路を全面遮断すればたちまち、パンクしてしまう。
犯罪者のIDのみ、フィードバックを免れることができるように細工してあるのだろう。
だからといってみずほの責任が全くないとはいえない。端的に言えば、フィードバック情報が送りっぱなしになっていなかったか、情報を受け取ったという確認を取っていなかったのか?
これはセキュリティ・ホールというよりはシステム設計の問題になるだろう。
これも大変なことだ。責任はフィフティ・リフティになる可能性がある。
残る可能性は、マウント社のCEOに悪意があった場合だが、これについてはカナダの訴訟で明らかになっていくだろう。
コメント