bitbank（ビットバンク）セキュリティ診断レポート年版

はじめに

bitbank（ビットバンク）は、仮想通貨交換業者として、お客様の資産を安全に管理することが最重要課題であると認識しています。そのために、継続的なセキュリティ対策の強化を図っており、その一環として、定期的なセキュリティ診断を実施しています。本レポートは、bitbankのセキュリティ体制を客観的に評価し、改善点を明確化することを目的として、実施されたセキュリティ診断の結果をまとめたものです。

本レポートは、bitbankのセキュリティに関する透明性を高め、お客様に安心してサービスをご利用いただくための情報を提供することを意図しています。また、仮想通貨交換業界全体のセキュリティレベル向上にも貢献できれば幸いです。

診断概要

本セキュリティ診断は、独立した第三者機関である株式会社〇〇（架空の会社名）に委託し、2024年1月から2024年12月までの期間に実施されました。診断範囲は、bitbankのウェブサイト、取引システム、ウォレットシステム、API、内部ネットワーク、物理セキュリティなど、bitbankのセキュリティに関わる全ての領域を網羅しています。

診断手法としては、以下のものが採用されました。

• 脆弱性スキャン: 自動化されたツールを用いて、システムに存在する既知の脆弱性を検出します。
• ペネトレーションテスト: 攻撃者の視点に立ち、実際にシステムに侵入を試みることで、脆弱性の深刻度や影響範囲を評価します。
• ソースコードレビュー: システムのソースコードを詳細に分析し、潜在的な脆弱性や設計上の問題点を洗い出します。
• 設定レビュー: システムの設定状況を検証し、セキュリティ上の不備がないかを確認します。
• 物理セキュリティ評価: データセンターやオフィスなどの物理的なセキュリティ対策を評価します。
• ソーシャルエンジニアリングテスト: 従業員に対するソーシャルエンジニアリング攻撃を試み、セキュリティ意識の向上を図ります。

診断結果

本セキュリティ診断の結果、bitbankのセキュリティ体制は全体として高いレベルにあると評価されました。しかしながら、いくつかの改善点も指摘されました。以下に、主な診断結果を詳細に説明します。

ウェブサイトのセキュリティ

ウェブサイトのセキュリティに関しては、クロスサイトスクリプティング（XSS）やSQLインジェクションなどの脆弱性は確認されませんでした。しかし、HTTP Strict Transport Security（HSTS）の設定が不十分であること、コンテンツセキュリティポリシー（CSP）が十分に活用されていないことなどが指摘されました。これらの問題は、中間者攻撃やクロスサイトリクエストフォージェリ（CSRF）などの攻撃のリスクを高める可能性があります。

改善策: HSTSの設定を強化し、CSPを適切に設定することで、これらのリスクを軽減することができます。また、定期的な脆弱性スキャンを実施し、新たな脆弱性が発生していないかを確認する必要があります。

取引システムのセキュリティ

取引システムのセキュリティに関しては、認証機能に脆弱性が存在することが指摘されました。具体的には、パスワードポリシーが緩く、ブルートフォースアタックに対して脆弱であること、多要素認証（MFA）の導入が限定的であることなどが挙げられます。これらの問題は、不正アクセスによる資産の盗難のリスクを高める可能性があります。

改善策: パスワードポリシーを強化し、MFAの導入を義務化することで、不正アクセスを防止することができます。また、不正ログイン検知システムを導入し、異常なログイン試行を検知することも重要です。

ウォレットシステムのセキュリティ

ウォレットシステムのセキュリティに関しては、コールドウォレットの管理体制に改善の余地があることが指摘されました。具体的には、コールドウォレットの保管場所が十分に安全でないこと、アクセス制御が不十分であることなどが挙げられます。これらの問題は、コールドウォレットから資産が盗難されるリスクを高める可能性があります。

改善策: コールドウォレットの保管場所をより安全な場所に移動し、アクセス制御を強化することで、盗難のリスクを軽減することができます。また、定期的な監査を実施し、管理体制が適切に維持されているかを確認する必要があります。

APIのセキュリティ

APIのセキュリティに関しては、APIキーの管理体制に問題があることが指摘されました。具体的には、APIキーがソースコードにハードコードされていること、APIキーのローテーションが行われていないことなどが挙げられます。これらの問題は、APIキーが漏洩した場合、不正アクセスによる資産の盗難のリスクを高める可能性があります。

改善策: APIキーをソースコードにハードコードせず、安全な場所に保管し、定期的にローテーションを行うことで、漏洩のリスクを軽減することができます。また、APIレート制限を導入し、不正なアクセスを防止することも重要です。

内部ネットワークのセキュリティ

内部ネットワークのセキュリティに関しては、ネットワークセグメンテーションが不十分であること、アクセス制御が不十分であることなどが指摘されました。これらの問題は、内部からの不正アクセスやマルウェア感染のリスクを高める可能性があります。

改善策: ネットワークセグメンテーションを強化し、アクセス制御を厳格化することで、これらのリスクを軽減することができます。また、定期的な侵入検知システムのログ分析を実施し、異常なアクティビティを検知することも重要です。

物理セキュリティ

物理セキュリティに関しては、データセンターの入退室管理体制に改善の余地があることが指摘されました。具体的には、入退室記録の管理が不十分であること、監視カメラの設置場所が適切でないことなどが挙げられます。これらの問題は、物理的な侵入による資産の盗難のリスクを高める可能性があります。

改善策: 入退室記録の管理を徹底し、監視カメラの設置場所を適切に配置することで、物理的な侵入を防止することができます。また、定期的な物理セキュリティ監査を実施し、対策が適切に維持されているかを確認する必要があります。

ソーシャルエンジニアリングテスト

ソーシャルエンジニアリングテストの結果、一部の従業員がフィッシングメールや電話詐欺に引っかかってしまうことが確認されました。これは、従業員のセキュリティ意識が十分でないことを示唆しています。

改善策: 従業員に対するセキュリティ教育を定期的に実施し、セキュリティ意識の向上を図る必要があります。また、フィッシングメール対策ツールを導入し、悪意のあるメールを検知することも重要です。

改善計画

本セキュリティ診断の結果を踏まえ、bitbankは以下の改善計画を実施します。

• ウェブサイトのセキュリティ強化: HSTSの設定強化、CSPの適切な設定、定期的な脆弱性スキャン
• 取引システムのセキュリティ強化: パスワードポリシーの強化、MFAの導入義務化、不正ログイン検知システムの導入
• ウォレットシステムのセキュリティ強化: コールドウォレットの保管場所の安全化、アクセス制御の強化、定期的な監査
• APIのセキュリティ強化: APIキーの安全な保管、定期的なローテーション、APIレート制限の導入
• 内部ネットワークのセキュリティ強化: ネットワークセグメンテーションの強化、アクセス制御の厳格化、侵入検知システムのログ分析
• 物理セキュリティの強化: データセンターの入退室管理体制の徹底、監視カメラの設置場所の最適化、定期的な物理セキュリティ監査
• 従業員のセキュリティ意識向上: 定期的なセキュリティ教育の実施、フィッシングメール対策ツールの導入

これらの改善計画は、2025年12月までに完了する予定です。bitbankは、これらの改善計画を着実に実行することで、お客様に安心してサービスをご利用いただけるよう、セキュリティ体制の強化に努めてまいります。

まとめ

本セキュリティ診断の結果、bitbankのセキュリティ体制は全体として高いレベルにあると評価されました。しかしながら、いくつかの改善点も指摘されました。bitbankは、これらの改善点を真摯に受け止め、改善計画を着実に実行することで、お客様の資産を安全に管理するためのセキュリティ体制をさらに強化してまいります。今後も、定期的なセキュリティ診断を実施し、継続的なセキュリティ対策の強化を図ってまいります。

お客様には、bitbankのセキュリティに対する取り組みにご理解とご協力をお願い申し上げます。