国内外の仮想通貨取引所、そのセキュリティ現況とは?
国内外で仮想通貨の取引が盛んでいる中、仮想通貨の普及に伴って様々な取引所が乱立しました。また、仮想通貨市場の急成長とともに、国内外のハッカーらが仮想通貨取引所を狙い、サイバー攻撃をすることも急増し、これによる被害もますます拡大されています。
これは、仮想通貨市場の急激な拡張趨勢とは違って、政府の対策や法的規制がまだ不十分であり、仮想通貨取引所を運営する方では続々できあがる法的規制をどうやって満たしながらセキュリティ対策を整備すべきかに対して、まだ答えを分からないためです。
仮想通貨取引所を狙ったサイバー攻撃は国家を問わず増加してあり、これによる被害額の規模もさらに莫大になっています。
ブロックチェーンセキュリティ企業のCipherTraceの報告*によると、2017年の年間被害額は約2.6億ドル(約280億円)であったが、2018年は前半だけで仮想通貨取引所の被害額は約7.3億ドル(約810億円)相当の仮想通貨の盗難被害にあり、攻撃による仮想通貨取引所の損失は前年比250%増加しました。
*引用 >>
The amount of cyberattacks, big thefts and money laundering activities is rapidly arising within the cryptocommunity, and it can hardly be stopped. According to the latest research made by U.S.-based cybersecurity firm CipherTrace, which was released on Wednesday, October 10, hackers stole $927 million from the cryptocurrency exchanges during the first nine months of 2018. By the end of this year this scaring number is about to grow up to $1 billion.
In comparison to the preceding year of 2017, the total amount of losses indicated this year is 3.5 times higher – an unprecedented increase of about 250 percent. The recent study also revealed that 97 percent of direct bitcoin payments from criminals went to exchanges in countries with weak anti-money laundering laws, which have laundered a significant amount of bitcoin, totaling 380,000 BTC or $2.5 billion at current prices.
*出典:CipherTrace Report
日本の場合、2014年その当時世界最大の仮想通貨取引所だったMt.Gox(マウントゴックス)が不正アクセスで約75万BTC(約450億円以上)を盗難される事故がありました。調査結果、マウントゴックスの社長の仕業だという事実が知られ、逮捕されましたが、その後、日本で仮想通貨に対する認識は、変化していきました。
また、2018年には日本最大規模の取引所2ヵ所から仮想通貨が流出される事故があり、その被害規模も以前より拡大され、仮想通貨のセキュリティへの不信が高まりました。
2018年1月には、大手仮想通貨取引所のコインチェックが不正アクセスを受け、顧客から預かっていた580億円相当の仮想通貨を盗まれました。これは、Mt.Gox(マウントゴックス)事件の被害額を上回る大規模な盗難事件でした。
さらに、わずか2か月前である2018年9月には、仮想通貨取引所のZaifがハッキングされ、約67億円が盗難されました。このように発生した一連の事件などを見ても、仮想通貨取引所を狙うハッカーと、その被害額が増加していることが分かります。
仮想通貨取引所のセキュリティのための法的規制と課題
日本は、仮想通貨の取引が盛んでいる国の一つですが、何回の大規模流出事故やその被害額面で見ても、他国と比べ、その被害がとても深刻であることが分かります。すでに仮想通貨普及のための法は整えておりましたが、利用者を保護して、マネーロンダリングを防ぐために日本金融庁は「改正資金決済法」が施行し、日本国内で仮想通貨取引所事業をする際は、金融庁や財務局長の認可を受けなければならず、「仮想通貨交換業者登録制」を通じて、仮想通貨交換業者と認められるようにしました。
なお、「マネー・ローンダリング及びテロ資金供与対策に関するガイドライン」の整備とともに、利用者の保護のため、関連部署からの監督が必要な義務を明示した、事務ガイドラインを整備し、モニターリングするようにしました。
*出典≫
- 金融庁「マネー・ローンダリング及びテロ資金供与対策に関するガイドライン」(平成30 年2月6日)
https://www.fsa.go.jp/news/30/20180206/besshi1.pdf
- 仮想通貨交換業者関係(事務ガイドライン第三分冊:金融会社関係16)の概要
https://www.fsa.go.jp/policy/virtual_currency/01.pdf
2018年1月、Coincheck社のNEM流出事故がきっかけとなり、金融庁登録業者(16ヵ所)およびみなし業者(16ヵ所)を対象とし、立入検査を実施した結果、半数以上の企業がシステムリスク管理および利用者の情報保護や管理が不十分ということが確認されました。
以下は、仮想通貨取引所のセキュリティのために事務ガイドラインで紹介した内容です。
【金融庁が確認したリスク管理およびCompliance】
- 資金洗浄及びテロ資金供与対策不備
- ハッキングされやすいHot Wallet(ホットウォレット)を利用して管理するなど、分別管理態勢の不備
- サイバー攻撃、権限制御などシステムリスク管理の不備
- 利用者の個人情報保護及びアクセス制御など、利用者保護のための情報管理態勢の不備
- 外部委託先管理の不備
システムリスクの管理及び利用者情報の保護及び管理のために必要な対策とは?
- ハッキングの危険が高いホットウォレット(Hot Wallet)よりコールドウォレット(Cold Wallet)を利用し、分別管理
- サイバー攻撃や権限制御などのシステムリスク管理
- 利用者個人情報の保護及びアクセス制御など、利用者保護のための情報管理
なお、 事務ガイドラインによる「情報セキュリティマネジメントの4つの技術的処置」は以下の通りです。
- システムに対する不正アクセスの防止:コンピュータシステムの不正使用の防止対策や不正アクセス防止対策、コンピュータウイルス等の不正プログラム侵入防止対策を実施すること。
- 利用者の重要情報保護:利用者の重要情報に対する不正アクセス、不正情報の取得、情報流出等を牽制防止する仕組みを導入すること。
- 機密情報の保護:暗号化鍵、クレジットカード情報等利用者に損失が発生する可能性がある情報に対し、暗号化やマスキング等の規定を定めて管理すること。
- 機密情報の厳重取扱い:機密情報の保有および廃棄、アクセス制限、外部持ち出し等に対し、業務上の必要性を十分に検討し、厳格に取り扱うこと。
仮想通貨取引所セキュリティ対策のポイントとは?
仮想通貨取引所のセキュリティ対策を設計する際の考慮事項
- システムに必要なソリューションだけを選択し、導入すること
:システムの構築の際、過負荷を防止し、無駄な人力の浪費を減らすためにコンポーネント別導入が必要とされる。
- ウェブセキュリティ・データセキュリティ・認証セキュリティ・鍵管理に対応すること
:上記の4つの項目は、既存のITシステムでセキュリティを構築する際、必ず必要とする4つの領域であり、全てが構築されているこそ、安全な仮想通貨取引所の運営が可能だ。
―――――――――――――――――――――――――――――――――――――――
*仮想通貨取引所セキュリティに関しまして、さらなる情報が必要な方もしくはお問い合わせがございましたら下のメールにてご連絡ください。
- お問合せ先:japan@pentasecurity.com
