Coincheck(コインチェック)は日本で最もアルトコインの取扱量が多く、仮想通貨全体の取引量も多い人気のある取引所でしたが、NEM(ネム)コイン不正流出事件によって一気に信頼度が地に落ちてしまいました。
過去に発生したマウントゴックス事件の被害状況が大きかったこともあり、現在の日本では仮想通貨法の制定によって取引所が登録制になるなど法整備が進み、取引所のセキュリティも強化されていたにもかかわらず、今回の事件は発生してしまいました。
イタリアでも不正流出が発生するなど、仮想通貨に対するハッキング被害が相次ぐ中で、自分の取引所のセキュリティが万全なのかどうか不安に感じる人も多いのではないでしょうか?
セキュリティ用語や各取引所が行っているセキュリティシステム対策について教えてやろう!
セキュリティ用語徹底解説
取引所では様々なセキュリティ対策が行われていますが、専門用語も多く、どのセキュリティ対策を行っておくべきなのか、またどのセキュリティ対策が行われていると安心なのかといった基準がわかりません。
まずは、取引所を利用するにあたって覚えておくべきセキュリティ用語について見ていきましょう。
登録業者とみなし登録業者の違いは
マウントゴックスの仮想通貨不正流出事件を受けて、現在では仮想通貨交換業を行うことができるのは財務局や金融庁の登録を受けた交換業者のみに限られるようになりました。
しかし、法改正による経過措置によって、平成29年4月1日より前に、仮想通貨交換業を行っていた者は平成29年4月1日から起算して6ヵ月の間に登録の申請をした場合に限り、その期間を経過した後も、その申請について登録または拒否の処分があるまでの間、仮想通貨交換業を行うことができるとされています。
上記のように登録や拒否の処分が行われていないまま仮想通貨交換業を行っている取引所をみなし登録業者と言い、今回不正流出事件が発生したコインチェックもみなし登録業者に該当していました。
みなし登録業者も登録業者と同じ基準の規制やルールが適用されますが、すでに登録業者が何社もいる中で、申請から登録までの時間がかかっていることを考えると、登録の認可が下りない何かしらの課題がみなし登録業者にはあるのかもしれません。
二段階認証とは
二段階認証とは、自身が設定したパスワードだけでなく、一定時間ごとに変更されるパスワードの入力を行うことによって、不正ログインや不正操作を防ぐ方法です。
金融機関が発行するワンタイムパスワードに似たような仕組みです。アプリをダウンロードすることで簡単に利用することができますが、あくまでも最低限のセキュリティ対策と言えます。
マルチシグネチャとは
マルチシグネチャとは、コインの送付を行う際の公開鍵方式の仕組みの1つです。
手続きを完了するためには、誰でも入手することができる公開鍵と受信者にしかわからない秘密鍵というものがあります。
例えば、上記の左のような場合をシングルシグネチャと言い、公開鍵1に対して1つの秘密鍵しか存在しないため、セキュリティ面は高くなりますが、秘密鍵がバレてしまえば簡単にハッキングが行えます。
次に上記の右のような場合をマルチシグネチャと言い、公開鍵1~3に対してそれぞれ秘密鍵が存在するため、どれかがバレたとしても残りの2つが拒否することによってハッキングを防ぐことができます。
コールドウォレットとホットウォレットの違いは
ウォレットとは、簡単に言えば仮想通貨の保管場所のことですが、その仕組みの違いによってコールドウォレットとホットウォレットの2つに分けることができます。両者の違いは以下の通りです。
| ホットウォレット | コールドウォレット | |
|---|---|---|
| 内容 | ネットワークから常にアクセスできる状態 | ネットワークから切り離した状態 |
| 特徴 | すぐに入出金可能 | 必要に応じてオンラインにする |
ホットウォレットは常にオンライン状態であるため、ハッカーが攻撃を仕掛けることが可能ですが、コールドウォレットはオフライン状態であるため、ハッカーが直接攻撃を仕掛けることができません。
盗難補償とは
大手保険会社の三井住友海上火災保険と東京海上日動火災保険は、仮想通貨取引所における不正アクセスなどに対する盗難補償を開始することを発表しました。
しかし、コインチェックで採用されていた盗難補償では、個人のパソコンなどへの不正アクセスによる日本円の出金や仮想通貨の送金被害を想定して作られた盗難補償であるため、今回のようなコインチェックに対する直接的なハッキングの場合には補償されません。
人任せにするんじゃなく、自分でもセキュリティ対策について考えるべきだってことだ。
国内の取引所(仮想通貨交換業者)にセキュリティ徹底比較
コインチェックの不正流出事件を受けて、各取引所のシステム管理体制について注意喚起が行われたり、ヒアリング調査や必要に応じて立ち入り検査が行われたりなど、今後金融庁による管理体制が益々厳しくなることが予想されます。
各取引所も現在のセキュリティ対策についてHP上で公表するなど、顧客資産の保護体制がどのような状態になっているのかを発表する事態へとつながっています。
各取引所のセキュリティがどのようになっているのか見ていきましょう。
bitFlyer
ビットフライヤーは今回のコインチェックの不正流出事件を受けて「ビットフライヤーセキュリティ・ファースト」主義を発表しました。
セキュリティ・ファースト主義は、コールドウォレットでの管理やマルチシグネチャによるハッキング予防の徹底だけでなく、オフィスセキュリティの強化や社内セキュリティ研修の実施など、不正アクセス対策も徹底
しています。
また、顧客資産を保護するための対策として、保険会社と利用者のウォレットへの不正アクセスだけでなく、取引所へのサイバー攻撃に対する補償契約を締結するなど、もしもの場合のバックアップ体制がしっかりしていると言えるでしょう。
Zaif
ザイフは今回のコインチェックの不正流出事件を受けて「セキュリティ対策室」の設置を発表しました。
セキュリティ対策室では、現在のセキュリティ対策の強化や見直しを行うことを中心とし、更なるマルチシグネチャの強化やホットウォレットとコールドウォレットの比率の見直しなどを行っています。
セキュリティ対策の専門人員の雇用を行い、社内・社外におけるセキュリティ管理体制を強化することが盛り込まれています。
ビットフライヤーのような保険会社と連携した補償サービスがないため、もしもの場合の補償面のサポートがどうなるかが課題と言えるでしょう。
GMOコイン
GMOコインは今回のコインチェックの不正流出事件を受けて顧客資産保護体制について発表しました。
GMOコインでは、顧客資産の分別管理の徹底やコールドウォレットでの管理、マルチシグネチャによる秘密鍵を複数の場所で保管するなどリスク軽減を行っています。
また、システムの24時間365日監視やシステム脆弱性に対する監視や情報収集なども徹底し、サイバー攻撃に備えています。
ビットポイントジャパン
ビットポイントジャパンは今回のコインチェックの不正流出事件を受けて情報セキュリティ管理態勢について発表しました。
ビットポイントジャパンでは、コインチェックにおける不正流出事件のきっかけとなったホットウォレットに対して、第三者に漏洩したとしても解読することが不可能な秘密鍵を設定しています。
ホワイトハッカーによる定期的な点検や監査法人による定期的な外部システム監査を実施しており、継続的に対策の改善や見直しを行っています。
また、不正アクセスや不正な情報持ち出し等の異常時にはアラートが出力されるなど、即座に威容を感知できる24時間365日の管理体制で運営しています。
ビットバンク
ビットバンクは今回のコインチェックの不正流出事件を受けてコールドウォレットとマルチシグネチャ運用体制について発表しました。
ビットバンクのホットウォレットは、個人資産が一切含まれておらず、自己資産のみの運用となっています。
ビットバンクでは、コールドウォレットやホットウォレットにおいて各コインがマルチシグネチャに対応しているのかといった詳細まで記載されており、必ずしもマルチシグネチャが安全とは言えない状況であることについても言及しています。
DMMコイン
DMMコインは今回のコインチェックの不正流出事件を受けても、特に何かしらの発表を行うことはありませんでした。
ホームページには、分別管理を徹底していることが記載されていますが、他の取引所のような詳細が明記されていないのでセキュリティ管理がどういったものであるのか少し不安が残ります。
仮想通貨は自分で守る
また、今後量子コンピュータの開発が進めば、仮想通貨の秘密鍵の解読が簡単に行われてしまうことからハッキング被害が増大すると言われています。
仮想通貨も量子コンピュータの登場に備えた改革が必要な時期に到来していますが、取引所も頻発するハッキングに対する対策をもっと強化する必要があると言えるでしょう。
取引所だけでなく、個人の仮想通貨に対する危機意識をもっと改善する必要があります。
例えば、パスワードを難解なものに変更する、二段階認証を徹底する、すぐに交換する必要のない仮想通貨に関してはコールドウォレットに移動するなど、自分自身で対策することも必要と言えるでしょう。
ビットフライヤーのように、大手保険会社と不正アクセスによる日本円の出金や仮想通貨の送金だけでなく、取引所へのハッキング被害への補償が行われる取引所もあります。
このような盗難補償が今後広がりを見せてくるようになることが予想されますが、少しでも安心して仮想通貨取引を行うことができる取引所で取引を行うようにしましょう。
