海外取引所のHitBTCからアカウント開設確認のメールが届きました。
自分はこんな取引所は使ったことがありません。メールアドレスが乗っ取られたのか!?と一瞬慌てましたが、そもそも自分は何事も二段階認証を入れているのでそれなりに安全なはず……。
ちょっと気になったので調べてみました。

日本では似たような事例なし

Twitterなどで調べたのですが、日本人では被害にあっている人はいなさそう。
むしろこの取引所の送金が上手く行ってないみたいな雰囲気が……。
本人確認不要の海外取引所なので、そもそも信頼性とか安全性とかイマイチっぽいですね。
検索しても口座開設方法しか出てこなくて、ゲンナリ。こんな所にお金預けるとか正気か。

海外掲示板で報告多数

英語で検索したところ、自分と同じような状況の人たちが年末年始にかけて多数いた事が判明。
海外大手掲示板に、「なんで使ってもいない取引所からメールが?」っていくつも投稿がありました。
スレッドを見ているとこんな意見が。
・偽のサイトに誘導してパスワードを入力させるフィッシングメールではないか
・他人がなりすましで登録した?
・取引所自身によるスパム?

実は取引所がブルートフォースアタックを受けていた可能性アリ

上記の意見はどれもイマイチ説得力がありません。
URLは本物らしく、フィッシングの可能性は低かったです。mandrillapp.comというhitBTCではないサイトのURLだったので自分も最初はフィッシングを疑いましたが、もともとここの確認メールはこのトラッキングサービスを利用しているようです。（この時点で「こんな取引所使うとかないわー」って思いましたが）
他人によるなりすましでも、メールにアクセスできないから意味ないし。

そんな時に、掲示板の中で一番納得のいく説明をしている人が。ブルートフォースアタックの可能性です。
HitBTCのサインアップ画面は新規口座開設者向けのページなのですが、既存のアカウントとパスワードを入れるとログインできるようなシステムになっています。どうやらそれを利用されたらしい。
メアドのリストがあるのかメアドすら総当たりなのかは不明ですが、パスワードを何回も変えてログインできないか試している模様。
その弊害として、アカウントを持っていなかったメアドに登録確認メールが来ているわけですね。
総当たりされてる時点でアカウントロックをしていないなんて「HitBTCのセキュリティが信頼できない証拠だよねー」と海外の人も馬鹿にしています。
なんなんやこの取引所……。いや、一番悪いのは攻撃してる側だけど、それを野放しにしちゃうなんて取引所側の怠慢だよね。人のお金預かってるのに。

対処法

自分は今回は取引所側のブルートフォースアタックと推定。あくまで可能性が高いだけで、確実ではありません。この情報をどう考えるかは自己責任で判断してください。
とりあえずあくまで既存アカウント所持者向けの攻撃だと思うので、メールを削除・無視することにしました。
取引所自体の信用も薄いので、なんにせよURLクリックは絶対しないほうが良い。メアドがGmailなどであればスパム認定・セキュリティ報告しても良いかも。

日本人でHitBTCを勧めている人には要注意!

今回調査する中で、海外の人たちが凄い勢いでHitBTCと揉めてるのを知りました。お金が戻ってこない、メールの返事がない、この会社は詐欺だ……などなど。
かなり運営が怪しげで、口座を持つだけでも危なそうな取引所です。
日本のブログやTwitterでは結構おススメされているようなのですが、実はここアフィリエイト制度があるんですね。
つまり口座開設を促してるサイトやTwitterリンクはHitBTCからの紹介料目当て。
さすがにデメリットや危険性に言及してないのは、ちょっと悪質ですね。騙されないように十分気を付けてください。