はじめての仮想通貨
TOP 新着一覧 チャート 学習-運用
CoinPostで今最も読まれています

続発する仮想通貨不正流出事件の裏側、取引所のセキュリティ担当が本音を語る

画像はShutterstockのライセンス許諾により使用

ビットバンクのセキュリティ責任者が見る取引所セキュリティの現状
国内取引所で発生した30億円相当の不正流出事件について、bitbankセキュリティ責任者が有識者の東氏と配信で対談。「安定度が高いのはビットコイン、面白い仕組みはリップル」などと言及した。

セキュリティの専門家が語る「取引所セキュリティ」の裏話

「仮想通貨」というワードを聞くと次に「セキュリティ」のことが頭をよぎるのは、先週ビットポイントの不正流出事件が発生したからだけではないだろう。過去、マウントゴックス事件を皮切りに、今回の事件を含め直近2年間では大きなハッキング事件が国内で発生している。

しかしながら、仮想通貨の理解にはその技術的理解を含むがゆえに、不正流出事件の発生要因や再発防止に関して、たとえ普段から仮想通貨に慣れ親しんでいる人であっても正しく理解している人は少ない。

今回事件を受けて、bitbankのCBO兼FLOC/ブロックチェーン大学校の校長を務める、ジョナサン・アンダーウッド氏と東氏(@Coin_and_Peace)の対談動画が、仮想通貨系の人気YouTubeチャンネル「ビットコイナー反省会」で公開された。アンダーウッド氏は同取引所でセキュリティに関する責任者を務めている仮想通貨(取引所)セキュリティの専門家だ。

今回の事件は、ビットポイントが保有するホットウォレットから計30億円相当の複数種類の仮想通貨が不正流出した。具体的な攻撃手法は公開されていないが、被害額を全額補償する旨の発表を行っている。

実は正しく理解されていないホット/コールドウォレット

一般的にホットウォレットコールドウォレットは正しく理解されていないことが多い。取引所側もコールドウォレットに顧客資産を保管しているという記述をしていても具体的にどのように保管しているのかはブラックボックスだ。

これに対してアンダーウッド氏は、ホットウォレットを「インターネットに常時接続されている場所に秘密鍵が保管されているウォレット」と定義する。通常秘密鍵を知っていれば、そのウォレットにアクセス可能であるが、その鍵(実際には文字列)がインターネットに常時接続された環境下で保管されているということを意味する。

反対にコールドウォレットは、「一度もインターネットに接続されたことのない場所に秘密鍵が保管されているウォレット」だ。同氏曰く、「一度も」という点が重要で、インターネットに接続されていないデスクトップ上であっても、過去に1回でも接続したことがあればそれはコールドウォレットとは呼ばない。

「コールドウォレットだから安全」というわけではない

では、コールドウォレットは絶対安全なのだろうか。同氏は100%安全ではないと指摘する。

そして、「デジタルセキュリティ」と「物理セキュリティ」の2つのセキュリティを考える必要性に言及する。「物理セキュリティ」とはウォレット自体やその秘密鍵を物理的に紛失するリスクや管理者が死亡したり会社がテロリストに狙われるリスクに関するものだ。

今年初めにカナダの取引所でCEOの死亡(諸説あるが)によって取引所ウォレットにアクセスができなくなったケースが報告されている。犯罪で狙われるリスクは特に取引所関係者であれば高いのは想像に難くない。実際に同氏の所属するBitbankでは秘密鍵を所持する人物同士は飛行機を別々に乗るなどといったリスクヘッジを行なっている。

不正流出事件の対策

様々なリスクがある中で、各社が対策に取り組んでいくわけだが、今後もこのようなハッキング(不正流出)事件は起こり得る。ただ、過去の事例の分析とリスク軽減に努める対策が必要だと話す。

対談内ではハッキングが起こるメカニズムとして、ソーシャルハッキングの例を挙げている。これはミートアップなどのイベントで親しくなった内部の人間へのウイルスファイルの送信やフィッシングメールを使った成りすましによるウイルスファイルの送信によって秘密鍵が盗み出されるという事例だ。

このようなハッキングは常に新しい手口が現れてくるのが一般的で、今後も新しい手口が現れてくる可能性は十分に考えられる。さらにハッカー達は新しい手口で複数の取引所に対して攻撃を行うことが多く、今回の事件はたまたまビットポイントが標的になった可能性もあると指摘する。

そのようなハッキング事件の新規性、拡大可能性を鑑みると、事件後に取引所同士が即座に情報共有することが必要だと語る。現在はそのようなことが行われていないため、別の取引所が同じ手口で狙われるリスクや、独自に情報収集を行わなければいけないコストも発生する。そのような施策は被害を最小限に抑えるという観点で非常に重要だ。

取引所が取り組むべき3つの重要事項

では、各取引所レベルではどのようなことに取り組めばいいのだろうか。アンダーウッド氏は「取引所が最低限取り組むべき3つの対策」を挙げている。

  1. 入金アドレスはコールドウォレットのアドレスを利用する
  2. ホットウォレットの資産は自己資金で対応できる額に留める
  3. 顧客からの出金要請額とブロックチェーンに記載されている額が一致していることを毎回確認する

この上で、「自分がハッカーだったらどういう手口を思いつくか」という観点を持つことが重要だと語る。

さらに同氏は仮想通貨取引所のセキュリティを扱う専門家の観点から、仮想通貨の種類によってセキュリティの観点で特徴があると話す。

セキュリティ上、一番扱いやすいコインは?

アンダーウッド氏は、上記質問に対し、「セキュリティ面で、管理がラクなのはビットコイン(BTC)だ。」とも述べ、以下のような見解を語っている。ビットコインとその派生のBCHやモナコインの場合、問題発生時でも基本的にエンジニアが慌てることがないという。

例えば、運用するノードが不安定で応答していない時に、ただのクラッシュしただけなのか外部からの攻撃なのかという状況があった場合、ビットコイン(BTC)はほぼゼロだ。他の通貨ではわからない時がある。

例えば、イーサリアム(ETH)は、秘密鍵は大丈夫だとしてもdAppsゲームなどを運用する上で必要なインフラ面(パーツ)で不安な面があった。イーサリアム(ETH)はプロトコルレイヤーのマルチシグは存在せず、スマートコントラクトレベルでマルチシグ実装はできる。オープンソース、クローズドソースだから安全ということはない。

スマートコントラクトレイヤーでコールドウォレット制御は止めておこうという判断になった。意図的に通常マルチシグは使用せず、他の対策を施している。

セキュリティ的に面白いのはXRP

また、XRPのセキュリティ面について、「XRPのマルチシグは、同じアドレスのまま、裏で同じマルチシグの権限を持っている鍵を入れ替えることができる。」と言及。

新しい鍵に入れ替えないといけない場合に、アドレスを制御するために必要なマルチシグA,B,C,Dの鍵からE,F,G,Hに入れ替えるが、マルチシグで署名すればアドレスは替わらない。「裏の鍵を自由に入れ替えることが出来る」という機能は、他の通貨でも実装できたら嬉しい点だとしている。

さらに、以下のように続けた。

例えば、ビットコイン(BTC)では、公開鍵のマルチシグスクリプトをハッシュ化してそれがアドレスになる。安全性はあるが利便性にかける部分がある。

新技術「MAST(Merklized Abstract Syntax Tree)」などで、これを緩和できる可能性がある。

不正流出事件が起こりやすい日本特有の状況

冒頭でも述べたが、過去2年で3回もの不正流出事件が日本国内で発生している。そのような状況に対しては、日本人が日本語で情報収集を行う傾向にあるので目立つだけであるというバイアスがあるものの、日本特有の注意すべき点があると述べる。

日本は事業者として運営のライセンス取得が難しいのは事実だ。しかし一方でこれは、ライセンスの要項を満たすことが目的化したり、一度要項を満たした後はそのレベルを維持するという観点が欠落するケースが多いと話す。個人情報保護法のPマークを取得した企業がそれ自体が目的化し、その後個人情報の流出被害に遭うという例をあげる。

今後、取引所側、ユーザ側双方がセキュリティに対して正しい理解を行い、常に更新される情報を正確に追求していくことが重要だ。

CoinPostの関連記事

ビットポイントのハッキング事件、攻撃手法と考えられる3つの可能性
仮想通貨取引所ビットポイントのハッキング事件、攻撃手法と考えられる3つの可能性を分析。
ビットコイン(BTC)が100万円台を維持した理由 米公聴会における温度感の変化と今後の注目点
2日連続で行われた公聴会。上院の追及内容に対し、下院では仮想通貨市場に影響が及ばなかった理由を解説。今後の注目ポイントも併せて掲載。
CoinPost App DL
厳選・注目記事
注目・速報 市況・解説 動画解説 新着一覧
07/04 金曜日
07:45
米下院、7月14日の週を「仮想通貨週間」と指定 3つの主要法案を審議
米下院指導部が7月14日の週を「仮想通貨週間」に指定し、GENIUS法、CLARITY法、反CBDC監視国家法を審議すると発表。
07:25
IMF、パキスタンの仮想通貨採掘などへの補助金提供提案を却下
IMFは、パキスタン政府による仮想通貨マイニングなどのための電気代補助提案を却下。同国は、ビットコインのマイニングとAIのデータセンター向けに2,000MWの電力を割り当てる計画を発表している。
07:20
ビットコイン今後の価格、9.5万ドルまで下落の可能性も=アーサー・ヘイズ分析
仮想通貨アナリストのアーサー・ヘイズ氏は、8月のジャクソンホール会議まで市場が横ばいか軟調な展開を予想。TGA補充の影響でビットコインが9万~9.5万ドルまで下落する可能性があるという。
06:30
米国初のソラナ現物ETF、取引開始初日で出来高約48億円の好スタート
「REXオスプレイ・ソラナ・ステーキングETF」が7月3日に取引開始。米国初のステーキング機能付き仮想通貨現物ETFとして約100万ドルの運用資産で滑り出し。
06:10
米上場ナノ・ラボ、72億円で仮想通貨BNB追加購入
ナスダック上場のナノ・ラボが74,315BNBを約5000万ドルで購入。総額5億ドルの転換社債プログラム第1弾として、BNB流通量の5-10%保有を目指す。
05:50
上場企業の仮想通貨トレジャリー戦略に警鐘、F・テンプルトンが「負の連鎖」リスク指摘
フランクリン・テンプルトンのアナリストが流行する企業の仮想通貨トレジャリー戦略について分析。プレミアム維持の困難さと市場下落時の負の連鎖リスクに警告。
05:35
ルミス議員、仮想通貨税制改正法案を再提出 300ドル未満取引の免税など盛り込む
ルミス上院議員が仮想通貨税制改正法案を再提出。300ドル未満の小額取引免税、マイニング・ステーキング報酬の二重課税解消など包括的な改正を提案。
07/03 木曜日
18:23
Aptos LabsがYellow Cardと提携、アフリカ20カ国で手数料無料のステーブルコイン送金開始 
Aptos LabsとYellow Cardが提携し、アフリカ20カ国で手数料無料のステーブルコイン送金サービスを開始した。USDT・USDC対応で即時決済を実現し、数百万人のユーザーがステーブルコインをより迅速かつ手頃な価格で利用できるようになった。
18:10
ストラテジー社のビットコイン財務戦略:価値創造と潜在リスクの両面
米国のストラテジー(マイクロストラテジー)などビットコイントレジャリー企業の財務モデルを軸に、株式を通じた投資の仕組みやレバレッジ効果、税務上のメリットなどを解説。日本のメタプラネットなど類似上場企業の動きも取り上げ、再現性の条件やリスク要因を多角的に考察する。
17:26
スイスFINMA規制のAMINA銀行、リップル社RLUSDを世界初サポート
スイス金融監督局(FINMA)規制下のAMINA銀行が、リップル社の米ドル建てステーブルコイン「RLUSD」の取扱いを開始。時価総額660億円超のRLUSDをサポートする世界初の銀行として、機関投資家向けに保管・取引サービスを提供。
16:14
米仮想通貨取引所コインベース、「LiquiFi」買収でトークン発行支援事業強化へ
米コインベースがトークン管理プラットフォーム「LiquiFi」を買収。トークン発行者を初期段階から支援するプラットフォームであり将来的に機関投資家向けサービスにも統合予定だ。
16:02
オルタナ信託設立とProgmat・ALTERNAの協業深化
三井物産デジタル・アセットマネジメントは、デジタル証券特化の信託会社「オルタナ信託」を設立。Progmatと協業し、ST発行・管理基盤を導入。ST市場の効率化と拡大を目指す。
12:04
ビットコイン反発で11万ドルに接近、Bitfinex分析ではQ3の季節性要因を警戒
仮想通貨取引所ビットコインは前日比+2.6%の108,733ドルまで上昇。Bitfinexレポートによると、4月安値から50%反発後は10-11万ドルのレンジ相場に移行し、第3四半期の季節性要因で平均リターン6%の「最弱四半期」を警戒する。一方、米国初のソラナステーキングETFが取引開始し初日3,300万ドルの好調なスタートを記録。
09:50
「ビットコイン保有者の大多数が含み益、HODLが主流に」Glassnode分析
Glassnodeの週次レポートによると、仮想通貨ビットコイン投資家の大多数が含み益状態で、長期保有(HODL)が市場の主要メカニズムになっている。
09:31
米SIFMA、証券トークン化の規制作りでSECに要望書簡送付
米SIFMAはSECに対し、RWAに分類される株などの証券のトークン化に対する規制整備について提案を行った。オープンで透明性の高いプロセスを通して、ルールを作るべきだと主張している。

通貨データ

グローバル情報
一覧
プロジェクト
アナウンス
上場/ペア
重要指標
一覧
新着指標
一覧