暗号資産取引所ハッキングから資産を守るため
「ウォレット」の正しい知識
安全に暗号資産(仮想通貨)の取引をする為に必須なのが『暗号資産ウォレット』です。一口に暗号資産ウォレットと言っても色々なものがあり、どれが安全性は高いのか、自分の目的にあったものかよく分からないかもしれません。そこで今回は暗号資産ウォレットについて仕組みや使われている技術などを紹介していきたいと思います。
2019年も続く暗号資産取引所ハッキング被害
今年上半期の暗号資産取引所(仮想通貨交換所)に対するハッキング被害は、総額で8300万ドル相当、日本円で87億8800万円(1ドル=105.9円換算)と暗号資産のグローバルランキングサイト「CoinGecko」が発表しました。レポートによると、このうち大きな被害とされるのは5月に起きた「Binance」に対するハッキング被害4000万ドル相当となるもので、史上6番目の被害規模となるものとのことです。他にも1月に起きた「Cryptopia」での1600万ドル相当の盗難、3月の「bithumb」で起きた1300万ドル相当の盗難と続いています。
このうち被害額の多かったBinanceの詳細をみてみると、事件が起こったのは5月7日、ホットウォレットに保有していたBitcoinのうち、7070BTCが不正流出しました。これはBinanceの所有するBTCの2%に当たります。今回のハッキング手法は、APIなどを経由したハッキングであるとされています。ハッカーは、フィッシングサイトやウィルスなどを用いて、長期間に渡って複数のユーザーのアカウントをハッキングして、2FA情報、API情報を取得した上で今回のハッキングを実行したとみられています。Binanceは今回1週間の入出金停止、被害は取引手数料から積み立てられた保険金(SAFU)により全額補填されました。しかし、レポートによると、1月に1300万ドル相当の盗難被害にあったニュージーランドの「Cryptopia」は5月に破産から閉鎖へと追い込まれ、他にも8つの取引所が今年上半期に閉鎖していることが報じられています。顧客の資産を適切に守り高水準のセキュリティを維持できないと、取引所も事業を継続できず倒産してしまいます。
取引所が破綻してしまうと自分の保有している資産がなくなるなど、ハッキング被害のリスクが大きくなってしまう恐れがあります。そのリスクを回避するためにも、取引所に全資産を預けるのではなく、自分のウォレットで資産を管理すことが重要になってきます。
暗号資産ウォレットとは
暗号資産ウォレットが保管しているのは「鍵」
「ウォレット」とは英語で「財布」「札入れ」という意味です。暗号資産における「ウォレット」では実際のお金ではなく、ブロックチェーン上に記録されるトランザクションデータと電子署名に使われる秘密鍵を保管・管理しています。暗号資産はブロックチェーンという電子的な記録方式によって保有されたり、送金されたり、決済されたりします。そこでは暗号技術が使われており「公開鍵」と「秘密鍵」によって安全に管理されています。他者に公開される「公開鍵」は暗号化されたデータを基に復号する際に使用されます。自分だけが知っている「秘密鍵」は第3者が暗号を解読するのを防いでいます。暗号資産ウォレットにはこの「秘密鍵」を保管しているのです。
秘密鍵は暗号資産の持ち主だけが知っている鍵のです。256ビットのランダムな数値で構成されていますが、万が一他人に知らされてしまったら、所有権が移り他人によって有効な署名をされ、すべての資産を盗まれてしまう危険性があります。秘密鍵を守ることは資産を守ることと同意味で、ウォレットはその秘密鍵を安全に保護することを目的として作られたととみなすことができます。
秘密鍵の管理方法もシングルシグとマルチシグという2種類があります。1つの公開鍵に対して1つの秘密鍵で管理することをシングルシグと言います。マルチシグとは取引の署名に複数の秘密鍵を必要とする技術を指します。一般的には1つの秘密鍵で署名を行うシングルシグの技術が使われていますが、マルチシグを採用することで高度なセキュリティを構築することができます。仮に秘密鍵が1つ漏えいしても、別の鍵を知らなければ暗号資産を送金することはできないからです。
暗号資産ウォレットの種類
暗号資産ウォレットは大きく分けて「ホットウォレット」と「コールドウォレット」の2種類があります。ホットウォレットはインターネット上で管理されたウォレットで、インターネットが繋がる環境であれば、いつでも利用することが出来ます。コールドウォレットは、完全にインターネットとは切り離されたオフライン状態で秘密鍵を管理するウォレットです。
- ホットウォレット
ホットウォレットにはウェブウォレット・モバイルウォレット・デスクトップウォレットなどが存在します。ウェブウォレットは主にウェブ上で管理されるウォレット、デスクトップウォレットはパソコンなどのソフトウェア上で管理されるウォレット、モバイルウォレットはスマートフォンなどで管理されるウォレットです。
手軽に取引が行え、管理が簡単であるというメリットがある一方で、ウォレットそのものがオンライン接続されているため、ハッキングの危険性と常に隣り合わせであるというデメリットをもちます。
- コールドウォレット
コールドウォレットには、ハードウェアウォレット・ペーパーウォレットの2種類があります。ハードウェアウォレットは物理的なデバイスで保管するウォレット、ペーパーウォレットは紙に印刷して保管するウォレットです。
コールドウォレットは、インターネットからは切り離されたウォレットのため、セキュリティ面では非常に信頼できることがメリットになります。しかし、紛失したり物理的に壊れてしまったりと暗号資産が取り出せなくなることがデメリットになります。
このように暗号資産ウォレットには色々なものがあり、その種類によって様々なメリット・デメリットも存在します。いつでもスマホから手軽に管理したい人はモバイルウォレットが便利ですし、そうした手軽さよりも確実なセキュリティを重視したい場合はハードウェアウォレットを持つなど使い分ける必要もあります。ハードウエアウォレットの中には、生体認証、暗号化チップ(Crypto-Chip)、PUF、QRNGを活用した完璧なセキュリティ設計で、レベルの高いセキュリティを提供するものもあります。
取引所のセキュリティを見極めるには
暗号資産取引所「bitbank」のセキュリティに関わったジョナサン・アンダーウッド氏は、なぜホットウォレットは危険だといわれているのに、取引所はホットウォレットに暗号資産を保存するのか?という質問に対して、顧客の利便性とユーザビリティを天秤にかけている結果と解答しています。例えば顧客の入出金の要求にすぐに対応したい暗号資産取引所はインターネットに常時接続しているホットウォレットで管理する必要があります。もしセキュリティを重視し、コールドウォレットに顧客の資産を保管するなら、出金まで1日以上かかるなど、ユーザビリティが不便になると想定されます。各取引所はこのユーザビリティと利便性を天秤にかけて運用を行っています。利便性を重視するならセキュリティリスクが比例して高まってしまう結果になります。
アンダーウッド氏は利便性を求めつつ、セキュリティをより維持する方法として次のルールを取引所は守るべきという見解をもっています。
可能な限りリスクは減らせるという考えですが、アンダーウッド氏も取引所でホットウォレットのセキュリティが100%可能かどうかは明言していません。
最後に
暗号資産取引所のハッキング被害は未だ度々起こっています。今回紹介したBinanceは長い期間、取引高ボリュームで世界最大の取引所としての地位を維持してきていましたが、今年の被害までの2年間はハッキング被害にあっていませんでした。それだけ高水準のセキュリティ体制をしいていましたが、100%ハッキングの被害を免れるのはやはり難しいと言わざるを得ません。ユーザーは自衛として巨額の資産は取引所ではなく、自分自身のウォレットで管理することも必要といえます。
ハッカーは用意周到にフィッシングサイトやウィルスなどで入念に攻撃をしかけ、いつでも私たちの暗号化資産を狙っていることもわかります。こうしたハッカーの攻撃から自分たちの大切な財産を守るには、暗号通貨を適切に管理する知識をみにつけ、用途に応じてウォレットを使い分けていく必要があります。
