安全な取引所とは何を基準に選べばいい?
仮想通貨取引所のセキュリティ対策について
2018年の仮想通貨をめぐった環境は様々な変化がありましたが、その中でもコインチェックやZaifなどの取引所で大規模のハッキング事件などが起こり、利用者の立場では気になる状況が展開されています。
果たして、取引所がセキュリティシステムを構築するためにはどうするべきでしょうか。
今回は、仮想通貨取引所のセキュリティ対策や、何を基準に選べばよいかなどを徹底的に検証してみたいと思います。
仮想通貨ハッキング事件のまとめ
まずは、これまでの仮想通貨ハッキング事件について振り返ってみます。
2014年2月 マウントゴックス事件
2014年2月7日、世界最大級のビットコイン交換所であるマウントゴックス社が突然ビットコインの引き出しをストップしました。マウントゴックスは、2009年に東京で設立され、2010年にビットコイン事業を始めました。当初は、取引停止を技術的な問題調査としていましたが、2月24日には公式サイトが閉鎖され、28日には東京地方裁判所に民事再生法の適用を申請します。結局、マウントゴックスで、2011年より総額572億円もの流出事件が明るみになりました。
マウントゴックスは、破産手続きを進めていましたが、2018年3月7日、マウントゴックスが保持していたビットコイン・ビットコインキャッシュを総額430億円で売却したことが発表されます。これによって、債権総額460億円の約93.5%を補完し、2018年6月22日、東京地方裁判所によって民事再生手続開始決定が出されマウントゴックス社の破産手続きが中止となりました。ビットコインの暴騰によって、被害者に弁済できるようになった珍しい例です。
2016年6月 The DAO事件
2016年6月、50億円以上ものイーサリアムがハッカーによって盗まれたThe DAO事件が発生します。被害総額は、約65億円となっています。The Daoとは、ドイツのSlock itが始めた『自律分散型投資ファンド』サービスです。The Daoでは参加者の投票によって投資対象が決定され、投資内容(契約)を、改ざんのできないブロックチェーンに記載します。Dao事件は、The DaoのSplit機能と送金のバグを悪用されたことで起こりました。このハッキング対策として、イーサリアムはブロックチェーンをハッキング被害前の状態に戻すハードフォークを行い、ハッカーは盗んだイーサリアムを換金することができなくなりました。
The DAO事件は、イーサリアムの脆弱性そのものではなく、The Daoの脆弱性によって引き起こされました。このことでハードフォークの実施に反対するコミュニティもあり、イーサリアムクラシックが誕生します。元々ブロックチェーンは中央集権的な介入がないことを機能の一つに謳っていますから、ハードフォークはその仕組みに逆行する「介入」と捉えることもできたのです。
2016年8月 Bitfinex事件
香港の有名な仮想通貨取引所Bitfinexでも2016年8月被害総額 約77億円となるハッキング事件が起こります。Bitfinexはアメリカのブロックチェーンセキュリティ企業「Bitgo」とのパートナーシップを結び、マルチシグによるオンラインウォレットを提供しており、安全性やセキュリティの高い取引所として信頼されていました。しかし、マルチシグの3つの秘密鍵のうち、Bitfinexが保管していた2つ秘密鍵がオンラインで保管され、ハッカーに入手されてしまいました。被害額は、最終的には全額返済されましたが、一時的に関係ない利用者を含む全ユーザーから一律36.067%の資産を徴収し、BFXトークンを配布し、その後返済すると言う対応を取り、大きなクレームが起こりました。
2017年12月 NiceHash事件
12月頭、マイニングプールのNiceHashは、ハッキングを受け4450BTC(当時のレートで約70億円)を失い、閉鎖に追い込まれました。NiceHashとは、スロベニアの企業で、ハッシュパワーの売り手と買い手をつなぐマニングプールです。ハッキングの原因としては、ビットコインをコールドウォレットではなく、その大半がホットウォレットに保管されていたものを狙われてしまいました。
2018年1月 コインチェック事件
日本で起こった総額約580億円もの巨額流出事件が2018年1月にコインチェックで発生しました。仮想通貨の盗難・ハッキング事件の中でも最大規模の流出事件となり世界からの注目も集めました。事件は、26日 00:02から08:26にかけて、コインチェックが保持している仮想通貨のうちNEM(ネム)建ての顧客資産がクラッキングにより、取引所から外部に送金され、さらに別口座に移転されてほぼ100%流出してしまいます。
The DAO事件の時のイーサリアムと違い、NEM財団は、原因はコインチェック側であってNEM自体にはないのでハードフォークは実施しないと発表しました。結局、コインチェクは、巨額の弁済を全て自己資金で行っています。原因は、NEMをホットウォレットに保管していたことと、マルチシグを導入していなかったこと等があげられています。
2018年9月 Zaif事件
仮想通貨取引所Zaifを運営するテックビューロは、9月20日未明、同社がハッキング被害に合い、計67億円相当の仮想通貨が流出したと発表しました。原因は、外部からの不正アクセスにより、ホットウォレット内の3種類の通貨が不正に送金されたということです。コインチェック事件でもホットウォレット上での保管が原因と騒がれていたのですが、対策が徹底されていませんでした。Zaifはフィスコと資本提携を結び、被害も全額弁済されることになりました。
取引所のセキュリティの基準は?
それでは、取引所を選ぶときに、どういったセキュリティや安全性を持った所を選べばいいのでしょうか?主にみる基準は、次です。
- SSLによる通信の暗号化
- 二段階認証
- マルチシグ
- コールドウォレット管理
- 資産の分別管理
SSLによる通信の暗号化
仮想通貨はインターネット上に存在する通貨ですので、口座番号や暗証番号等の重要な情報をオンライン上でやり取りします。SSLとは通信を暗号化するセキュリティテクノロジーです。送受信中に情報を見られても暗号化されているためプライバシーが守られます。
二段階認証
二段階認証とは、ログインに必要なID・パスワードの他に、もう一つのパスワードを加えて認証を行うというシステムです。組み合わせるパスワードは時間ごとに変化する「ワンタイムパスワード」となりますので、不正ログインのリスクを大幅に減らすことができます。スマホ用にはGoogle Authenticator(グーグルオーセンティケーター)、IIJ Smart Key(アイアイジェイスマートキー)、Authy (オウシー)といった専用アプリが出ています。
マルチシグ
マルチシグとは、マルチシグネチャーの略称でトランザクションの署名に複数の秘密鍵を必要とする技術のことです。一つの秘密鍵で署名を行う通常のシングルシグに比べセキュリティが高く、取引所やマルチシグウォレットなどで採用されています。また、万が一秘密鍵を紛失してしまった場合に対応しやすいというメリットもあります。
コールドウォレット管理
コールドウォレットとは、秘密鍵をオフラインで管理するウォレットのことで、ハッキングリスクがないというのが大きなメリットです。コインチェックやZaifの事件でも分かるように、オンライン接続されているデバイスでは常にハッキングリスクが付きまといますので、コールドウォレットはセキュリティが格段に上がるといえます。
まとめ
資産保全サービスなどの提供がまだ遅れている仮想通貨市場全体を鑑みて、セキュリティ面のリスクは認識しておく必要があります。今回ご紹介したようなセキュリティ対策をきちんと実施しているのが比較的安全な取引所と言えます。加えて予め認証したアドレスにしか送金できない「ホワイトリスト」方式を採用しているなどさらにセキュリティに力をいれている取引所が望ましいでしょう。もちろんこれらのセキュリティを敷いていたからと言って、盗難や不正アクセスの可能性がゼロになるわけではありませんが、対内的にも対外的にも厳格なセキュリティ体制を敷いている取引所の方が、信頼性が高いと言えるでしょう。
※ 仮想通貨取引所のセキュリティをさらに詳しく知りたい方は?≫≫