取引前に知っておきたい:仮想通貨の個人アカウントがハッキング被害に遭いやすい「4つの手口」
- 取引前に知っておきたい、ハッキングの手口
- 世界各国で相次ぐ仮想通貨ハッキング。取引所の被害額は2018年前半だけで810億円相当に。個人アカウントも例外ではなく、狙われやすい手口と対策を知っておく重要性が増している。
- ハッキングとは
- 悪意を持ってシステムに不正侵入し、仮想通貨などを盗難する行為を行う者をハッカー(クラッカー)と呼ぶ。ホワイトハッカーは、コンピュータやネットワークに関する高度や知識や技術を持ち、企業のサイバーセキュリティー支援など、善意を持って対応する者を指す。
相次ぐ仮想通貨取引所のハッキング
ブロックチェーンセキュリティ企業のCipherTraceの報告によると、2018年前半だけで、仮想通貨取引所から計7.3億ドル(約810億円)相当の仮想通貨の盗難被害にあったとされています。
2017年の年間被害額は2.6億ドル(約280億円)であったことからも、2017年以降の市場規模の急拡大に伴い、犯罪組織からより狙われやすくなっていると言えるでしょう。
今年に入ってから、特に大きな被害額が確認された仮想通貨取引所は、日本最大級のコインチェックと、韓国のコインレールの2社です。
コインチェックは、2018年1月に5億ドル(約550億円)もの仮想通貨NEM(XEM)が不正流出。コインレールは、2018年6月に4,000万ドル(約44億円)の被害を出したことで、仮想通貨市場に大きな衝撃を与えました。
どちらの取引所も、多額の顧客資産の保管方法に最大の問題があったことが指摘されており、オフラインで安全に管理できるコールドウォレットではなく、オンラインに接続されたホットウォレットに大量の仮想通貨を保管していた事が主因とされています。
この現状について各取引所は、プラットフォームにおける「セキュリティ部門の人材不足」による結果であると弁明し、市場全体のセキュリティの甘さが浮き彫りになりました。この現実に危機感を募らせた日本の金融庁は、国内仮想通貨取引所の一斉立入検査を実施。数多くの取引所に対して矢継ぎ早に「業務改善命令」を下すなど、監督姿勢を強めています。
個人投資家が狙われるケースも
既述の2018年前半の被害額7.3億ドル(約810億円)は、あくまでも仮想通貨取引所で確認されている被害総額であり、個人単位での仮想通貨盗難被害も含めるとさらに多額の被害額になると想定されます。
日本の警察庁は、2018年3月時点で、過去1年間に「仮想通貨を取引する個人カウントにおける不正送金被害が149件確認されており、その被害額は約6億円を超えた」ことを発表しました。
その中で、最も多くの割合を占めた手口は、個人取引アカウントにログインするためのIDおよびパスワードが何らかの形で盗難され、見ず知らずのアカウントに不正送金される方法であると記述されています。
そんな中、海外最大手の仮想通貨メディア「CCN」は、個人アカウントがハッキングされる4つの方法と、その対策について解説を行いました。
1:フィッシングメール
例えば、仮想通貨取引所の公式アナウンスを装い、”あなたのアカウントに不正なアクセスが行われた可能性があります”といったメールが届き、リンク先の偽アドレスで、パスワードの再設定を促される場合があります。
このようなメールを「フィッシングメール」と呼び、その被害を防ぐために、
- 不明な送信先からのメールを迂闊に開かない
- 第三者に個人情報を送らない
- メールの送信アドレスが、公式のものであるかを再確認する
といった予防策を講じる必要があります。
2:フィッシングサイト
世界有数の仮想通貨取引所と同様に作成された精巧な偽サイト(フィッシングサイト)にて、自身のログインIDやパスワードを入力してしまうことで、資産を奪われてしまう被害も多く報告されています。
その対策として、
- 検索エンジンにて、広告部分に表示されているリンクを不用意に使用しない
- SSL認証(緑色のアドレスバー)があるかチェックする
- 公式ウェブサイトをブックマークしておき、サイトに直接飛ぶ
- より安全な接続を確保するため、優良VPN(仮想プライベート・ネットワーク)を使用する
- SNSなどで、公式アカウントの注意喚起が出ていないかを確認する
といった方法が挙げられます。
3:Eメールハッキング
仮想通貨取引所における個人取引アカウントの乗っ取りと同様に、多く狙われるのがメールアカウントの乗っ取りです。
悪意のある第三者は、メールアカウントを乗っ取り、パスワード再設定のリンクをメールアドレスに送信・操作することで、容易にアカウント上の資産を動かすことができるのです。
よって、2段階認証を設定しておくことが重要であると言えるでしょう。
4:リモートアクセスを介してのアクセス
例えGoogleの「2段階認証」を施していたとしても、認証がパソコンのWebブラウザ上で操作できる場合、悪意のある第三者は、リモートアクセスを可能にするサービスなどを介して、認証を突破されてしまう可能性があります。
よって、このようなリスクを最小限に抑えるため、別デバイスでの2段階認証の設定を行うことが推奨されています。
機種変更前のスマートフォンをキャリアに返さず手元に残しておけば、WiFiでインターネット接続できるほか、QRコードを読み込む方式の場合、2段階認証を記録しておくことも可能です。
このように、大手仮想通貨取引所は日々セキュリティを向上させることに尽力していますが、それでも常にハッキングリスクに晒されているため、過信は禁物です。
個々に保管している仮想通貨資産が盗難に合う可能性も起こり得ることから、メジャーなコールドウォレットとして知られる「レジャーナノS」や「トレジャー」などで資産管理・保管を行うなど、日頃から注意を怠らないことが大切であると言えます。
レジャーナノSに関する情報は、以下の記事を参考にどうぞ。
画像はShutterstockのライセンス許諾により使用
「仮想通貨」とは「暗号資産」のことを指します