コインチェックに不正アクセスされ大量の仮想通貨を盗まれる→運営「保証制度は現在調整中です」 - Togetter

そもそも2段階認証が2FA（アプリ使用）であった場合、仮にメールアカウントがハックされたとしてどうやって2段階認証を突破したのか。まさか2段階認証をメール認証のみで解除できる？だとすると実装が糞過ぎると思うが

 

アカウント持っているので確認した。

 

まず、2段階認証が設定されていると当然未認証状態では2要素パスの入力が求められる。

 

ここで、パスコードの入力ができない場合の動作としては、運営に｢お名前フルネーム｣｢ご登録の携帯電話番号｣｢IDセルフィー画像｣をお問合せから連絡する事で復旧手続きが行えるとの事で、機械的に解除する事はおそらく不可能。

 

なお、IDのセルフィー画像とは、提出済みの書類と本人が写っている写真の事で、このことからも単純に不正アクセスしただけでは提出済み書類や身分証明書まで完全に準備する事は難しく限りなく2段階認証を解除する事は難しい。

 

よって、仮にメールアカウントがハックされた場合であっても、認証情報の管理が適切に成されていれば、最低限の保護は可能であると推測される。つまり、メールアカウントを使った認証情報の書き換えはできないという事。

 

運営からは2段階認証は不正アクセス者が設定したとの回答があったようだが、仮にそうだとするとサーバー側で持っているキーとアプリ側で持っているトークンキーが一致しないので検証すればすぐにわかるはず。

 

仮にこれが一致していないとすると、本人が設定していない、または、誰かによって書き換えられたと考えるべき。

 

もっとも、一致していない場合は、システム上の欠陥を主張する事も可能ではあるが、表面上の動作は不備がない（少なくともFAQ掲載通りの運用がなされていれば）ので、重大な欠陥を具体的に指摘できない限りは、裁判でも勝てないと思われる。

 

なお、2段階認証については、アプリ内にデータが保存されている分にはスマホなどのアプリが保護されている限りは安全だが、あれ自体は特定のトークンキーと所定の計算により認証コードを算出しているだけなので、例えば、メールアカウントのハックがブラウザの不正操作経由であった場合などに、二段階認証アプリのクライアントが例えばchromeアプリなどで閲覧可能としていた場合は、おおよそそこの情報も引き抜かれている可能性は否定できない。

 

その場合、もはや2段階認証は自身が設定している、且つ、正当な認証情報を使用してログインが行われているので、ログインした相手が仮に不正アクセス者であったとしても、運営からは判断できず免責となる事が一般的。

 

通常、本人しか知り得ない情報により認証が行われた場合、仮にそれが本人によるログインでなかったとしても、本人が認証情報を適切に保管・管理していなかった事により発生したものであって、運営者にはその判断ができない事から、不正アクセスとは見なせず、保証を受けるのはなかなか難しいです。

 

運営と被害者の間で話しが一致しないのは、（正しい方法である場合）実装上は単純には不正アクセスできず、単純にメールアカウントがハックされただけでは不正ログインは難しいと思うのだがどうやって実現されたのだろうか。

 

少なくとも重要な情報が欠落しているか、どちらかが明らかに嘘を言っているとしか思えないが･･･。