なるほど!をお届けする仮想通貨情報メディア

  • BTCBTC

    364,862円

  • ETHETH

    9,522.2円

  • ETCETC

    404.71円

  • LTCLTC

    2,670.2円

  • BCHBCH

    9,117.5円

  • XRPXRP

    32.430円

  • LSKLSK

    0.0000円

  • XEMXEM

    6.8908円

Monappyからモナコイン盗難!|事件の顛末やMonappyの概要まで徹底解説

2018年9月1日、仮想通貨Monacoin(モナコイン)のウォレットサービスである「Monappy」は、同サービスのホットウォレット内のモナコインが盗難されたことを公表しました。サーバー上のほぼすべてのモナコインが盗難されたとのことで物議を醸しています。こちらの記事では事件の顛末や盗難の手口について紹介するとともに、そもそもMonappyとは何なのかといった疑問にもお応えしていきます。

2018年9月1日、Monappyからモナコインが盗難されたことが発覚

先述の通り、2018年9月1日にMonappyの運営から報告があったところによると同サービスからモナコインが盗難されたとのことです。Monappyでは同サービスの全残高のうち50%以上をコールドウォレットで保管しており、こちらについては影響が無かったとのことですが、ホットウォレット内のモナコインについてはサーバー上のほぼ全てが盗難されたとのこと。公式Twitterアカウントからは以下のようなツイートがされました。

 

外部からの攻撃による盗難の可能性が濃厚であるとし、Monappyは9月1日時点でサービスを停止し攻撃の詳細について調査を行っていました。なお、メールアドレスやパスワードといったユーザー情報は流出していない模様であり、本件を理由としてユーザー情報を聞き出そうとするような不審な問い合わせに対して注意喚起を行いました。

日付は変わって9月2日の午前3時、Monappyは再び発表を行いました。それによると、同サービスホットウォレット内にあるほぼすべてのモナコインが盗難された件につき、原因はblock withholding attackが原因ではなくMonappyのギフトコード機能の不備を悪用した攻撃であったとのこと。ギフトコードの不備とは、高負荷時に1つのギフトコードに対して複数回の送金が行えてしまうというものです。

 

事件の詳しい経緯

発覚のしたのは2018年9月1日午前11時。Monappyは別件の攻撃について注意喚起を受けており、それに関して改めて調査を行っていたところ、サーバ上のホットウォレットがユーザの残高に対して不足していることが判明。判明してすぐにサーバを切断し確認作業を行ったところ、ほぼすべてのMonacoinが盗難されていることが判明したとのこと。更なる調査の結果、2018年9月2日午前1時、攻撃の原因が高負荷時におけるギフトコード機能の不備であることが判明しました。

攻撃の経緯ですが、2018年8月27日から2018年9月1日にかけて、アタッカーと思われる複数のユーザーがギフトコードを大量に発行。8月29日から9月1日にかけて、外部受け取り機能(Monappyにログインせずにギフトコードを受け取れる機能)にてギフトコードを受け取る際に非常に高い頻度でリクエストを行い、結果一つのギフトコードに対して数回の送金が行われてしまったことから盗難が起こった模様です。

モナコイン盗難の詳しい手口

Monappyからモナコインを送信する際は「monacoind」という別サーバ上に存在するアプリケーションと通信を行います。このmonacoindとの通信がタイムアウト等の原因で失敗した場合、送金に失敗しているとみなし取引をロールバックする仕様となっています。

ギフトコードを処理する際、本来同じギフトコードを二重に使用することはできないような仕様になっていました。しかし高負荷状態においてギフトコードを連続して使用しようとした場合に、通信を受け取ったmonacoindの応答に時間がかかることからサイト側ではタイムアウトとなってロールバックが起きる一方で、monacoind側では送金が行われるという事情が起こっていました。この結果、一つのギフトコードから複数回の送金が行われてしまい、攻撃が成立してしまいました。

攻撃に際して、少額ずつのモナコインを大量に送付しておくことでmonacoind送信時の負荷を増大させようと試みていることも確認されたとのこと。これが本当ならば悪意を持った攻撃という線が強いです。今後もMonappyは調査を続けていくとのことです。

「ホットウォレット」と「コールドウォレット」とは

今回被害にあったのはホットウォレットであり、コールドウォレットは無事でした。ではこの2つの違いは何なのでしょうか。

仮想通貨を保管しておく場所、つまりウォレットには大きく分けて2種類存在します。それがこの「ホットウォレット」と「ゴールドウォレット」です。

コールドウォレットのコールドには「凍る」という意味があります。凍っている、つまりネットから離された状態のウォレットのことを指します。ネット上に仮想通貨を保管するとハッキングの被害に合う可能性は常に付きまといますが、ネットから切り離しておけばひとまず安心です。代表的なコールドウォレットとしてはハードウォレットがありますが、物自体の紛失や破損、ウィルスの感染には引き続き気をつける必要があります。

一方、ホットウォレットはネットに繋がったままの状態のウォレットを指します。過去にハッキングを受けたコインチェックのネムもホットウォレットで保管されていました。ホットウォレットは送金などが即時に行え機動性に長けていますが、ハッキングの危険は高まります。うまく使い分けていくことが大切です。

そもそもMonappyとは

今回、攻撃の被害にあったモナコインのウォレットサービスであるmonappyですが、そもそもどのようなものなのでしょうか。一言で言うと、仮想通貨モナコインを使って遊べるサイトであり、その機能にはフリマ、投げ銭、お絵かきシェアサイト、SNSなどがあります。

monappyで遊ぶためには仮想通貨のモナコインを保持している必要があります。monappyでは他のSNS同様、日記を書いたり呟いたり絵をアップロードすることができます。それを見て良いと思った人がモナコインを投げ銭として投げてくれるかもしれない、というサービスなのです。

既存のSNSでは良い投稿をしてもそれが直接収益に繋がることはありませんでしたが、投げ銭によって面白いコンテンツ自体に価値を持たせることができるのです。投げ銭としての利用を主眼とするコインは世界を見渡すと他にもありますが、monappyで使用できるのはモナコインのみです。では、そもそもモナコインとはどんなコインなのでしょうか。

そもそもmonappyで使えるモナコインってどんな通貨?

モナコインは、巨大掲示板2ちゃんねる(現5ちゃんねる)が発祥の国産の仮想通貨で、同掲示板で使用されるアスキーアートの「モナー」をモチーフにしたコインです。「わたなべ氏」という人物によって作られました。作られた背景からもわかる通り、同人的な文化に非常に強く根付いた仮想通貨です。2013年末に公開されており、当初はLitecoin(ライトコイン)と同じシステムを利用していましたが、現在までにバージョンアップを繰り返して独自の姿へと変化してきました。

モナコインの特徴として、日本円で購入する人が殆どなのでビットコインの乱高下があっても価格が左右されにくいこと、根強いファンが楽しみながら普及させようとしており、愛されているコインです。ザイフ、ビットフライヤーなどの取引所で購入することができます。

monappyで出来ること

純国産で同人的文化に根付いたコイン「モナコイン」を使用して遊べるmonappyですが、具体的にどんなことができるのか紹介していきたいと思います。

モナコインでショッピングが出来る

monappyでは、モナコインを通貨として使って買い物をすることができます。お買い物カゴのアイコンをクリックすると出品一覧を見ることができます。monappy上でモナコインを使って購入できる商品は誰が出品しているのかと言うと、「公式」と「ユーザー」がいます。

公式が出品しているのはなんとmonappy自体の経営権。価格は1000000MONAとなっています。購入すると法人化の上で株式が譲渡されるようです。お金に余裕のある人は買ってみると楽しいかもしれません。一方でユーザーが出品する商品はもっと多岐に渡ります。その内容はギフト券、SNSアイコンの作成請け合い、仮想通貨同人グッズの販売など様々です。

「ピクプレ」でイラストを公開出来る

monappyのピクプレという機能を使うと、描いたイラストを公開することができます。monappyでは先述の通りいいと思った投稿やイラストに対して投げ銭する文化があるので、良い絵をあげるとなんと儲かってしまうのです。既存のSNSだと良い絵をあげても直接の収益にはならなかったので、画力の高い絵師が続々とmonappyに参入し絵をアップロードしていました。現在pixivが担っている同人作品のシェア機能を取り込んでいくことが予想されます。

メモログで日記を公開出来る

monappyにはメモログと呼ばれる日記機能があります。これも公開して誰かに読んでもらうことで投げ銭を貰えるかもしれません。皆が公開しているメモログの内容は思い思いで、日常のちょっとした出来事や仮想通貨の為になる話、自作の小説まであります。書いたものが収益につながるというのは文筆活動にとっても励みになります。

Mastdonでツイートする

monappyにはMastdonというtwitter的な機能があり、こちらもmonappyと連携してツイートし投げ銭をしたり貰ったりできます。Mastodonは自由でオープンソースなソーシャルネットワークの構築を目指しています。twitterなどの商用プラットフォームに取って代わるような分散型プラットフォームを採用しています。中央集権的な商用プラットフォームでは広告が表示されたりやり取りが運営の検閲を受ける危険性があります。また、トラッキングもありません。アプリやその他のサービスにAPIが公開されているため、これから関連サービスの開発が急速に進むという期待もあります。

他にも外部サービスとの連携多数

この他にも、外部サービスであるニコニコ生放送やtwitchと連携して生放送に投げ銭をしたりされたりすることができます。まさに、同人文化には欠かせない存在となりつつあったと言えるでしょう。

monappyはあくまでウォレット・・・モナコインの購入は取引所で

モナコインを使った様々な楽しみ方ができるmonappyですが、取引所ではないのでモナコインを購入することはできません。外部の仮想通貨取引所にて購入したモナコインを送金して使用する必要がありました。モナコインの販売はザイフやビットフライヤーなどが行なっています。

まとめ:monappyは同人文化に根付いた将来性あるSNS!盗難事件は今後の対応と対策に注目が集まる

monappyは、良い作品やアイデアが必ずしも直接的に収益に繋がらないという同人の問題点を解決しうるSNSプラットフォームです。同人ファンとモナコインファンの手によって今後も伸びていくことが期待されていました。今回の事件はまだ明かされない部分も多いですが、適切かつ迅速に対応できるかが今後の明暗を分けることは間違いなさそうです。引き続き動向に注目が集まります。最後まで読んで頂きありがとうございました。