ビットコイン仮想通貨を守るコールドウォレット

金融庁は2018年1月29日、顧客が預けていた580億円相当の仮想通貨(暗号通貨ともいう)ネムをずさんな管理で流出させたコインチェックに業務改善命令を出しました。

本来なら業務停止命令にも値する事故を起こしていながらも、利用者保護のために業務改善命令に留めたとのこと。

コインチェックは28日には、何の目途も立っていないが顧客へ補償をする意向を発表し、金融庁が業務改善命令を出したことで、仮想通貨NEMの流出事故は一段落しました。

次のステップは、

  • 本当にコインチェックが倒産せず460億円もの補償が出来るのか?
  • 流出したNEMを送り付けられて口座凍結される被害をどう食い止めるのか?
  • 今のままセキュリティ対策が出来ない業者に仮想通貨取引所をやらせていいのか?
  • 顧客はどうやってデータでしかない暗号通貨を守るのか?

という問題への対応となるでしょう。

秘密鍵の厳重な管理が仮想通貨を守る

ビットコインやイーサリアムをはじめとする仮想通貨は、数十桁の英数字を組み合わせて作られたアドレスと、それにひも付く公開鍵、秘密鍵のキーペアを使って取引されます。

リアルな通貨でいうと、アドレスは銀行口座番号、秘密鍵(プライベートキーともいう)が暗証番号となります。鍵とは実態のないデータに過ぎません。

銀行口座の暗証番号が他人に知られると口座にあるお金が全て奪われるのと同じく、秘密鍵のデータが漏洩すれば一瞬で仮想通貨を失うことになります。

つまり、秘密鍵のデータを厳重に管理することが仮想通貨を守る唯一の方法です。

にも関わらず、インターネットに接続され誰でもたどり着ける場所に秘密鍵のデータを置いていたため、今回のような大規模な仮想通貨流出事故が起きました。

しかし、これはコインチェックだけでなく国内の仮想通貨取引所のどこで起きてもおかしくない状況であると金融庁は把握しています。

ビットコインやイーサリアムなど、時間が経過し取引高が多く手数料収入が稼げる仮想通貨は、手間暇お金をかけて、インターネット接続環境から切り離された環境に置いて管理している取引所が多いはず。

ところが取引開始から日が浅く、取引高の少ないネムのような仮想通貨は、どこの取引所も手間暇お金をかけていられないですし、安全なシステムが構築出来るまで取り扱いを見送れば他の仮想通貨取引所に客を奪われるので、コインチェックのようにセキュリティ対策は後回しにして我先に取扱いを始め、あげく犯罪者にとっては穴だらけで乱獲できる状態で顧客の仮想通貨ネムを預かっていたのです。

コインチェックには40人ほどの技術者がいるといわれますが、1つの仮想通貨のセキュリティ対策だけでも大変なのに、取扱う13もの仮想通貨全て同程度の秘密鍵の管理を徹底するのは不可能、40人ほどいる技術者の多くがビットコインやイーサリアム等の取扱高が多く儲けも多い仮想通貨を担当していたはずで、NEM専任技術者を用意することは困難だったのでしょう。

技術者が不足するなか、必要なセキュリティ対策を怠ったまま利益を追い求め、扱う仮想通貨の種類を増やし続けてきたことが、ビットフライヤーと業界1位2位を争っていたコインチェック暗転の原因と言えるでしょう。

コールドウォレットで管理するのが漏洩対策の基本

コインチェックは、顧客から預かった仮想通貨ネムをホットウォレットで管理していました。

ホットウォレットとは、一般的にはインターネットに接続されたストレージで秘密鍵のデータを管理する方式です。コインチェックの和田晃一良代表取締役は、26日の会見で「ネムをコールドウォレットで管理するシステムの開発をすすめていたが、間に合わなかった」と説明しています。

ホットウォレットでの秘密鍵データの管理は、利用者にとっては即時出金が可能で、取引所にとってはシステムによる自動処理が可能で手間暇かからず運用コストを抑えることが出来ます。

しかしホットウォレットでの秘密鍵データの管理には、サイバー攻撃の餌食になりやすいという致命的な欠点があり、事実コインチェックはホットウォレットで管理していたNEMを流出させました。

記者会見で頭を下げる仮想通貨取引所大手、コインチェックの和田晃一良社長ら(時事通信社)

コールドウォレットとは

一方でコールドウォレット(コールドストレージ)といわれる管理方法は、仮想通貨取引所に仮想通貨を預けず、インターネットに接続していない環境で自分で仮想通貨の秘密鍵を守るのに適した方法です。

仮想通貨の中でもビットコインはコールドウォレットで管理している取引所もあります。

インターネットに接続していない環境というのはサイバー攻撃を受けない環境であり、ウォレット自体をあなたが確実に管理さえ出来れば、第三者があなたの仮想通貨を盗み出すことは出来ません。

頻繁に取引せずホールドしている仮想通貨は、誰かに預けるのではなく、あなた自身がコールドウォレットで保管しましょう。主なコールドウォレットを2つご紹介します。

ハードウェアウォレット

Ledger Nano Sは,ビットコイン,ライトコイン,イーサリウム,イーサリウムクラシック,リップルを始め、数多くの暗号通貨に対応している仏Ledger社によるUSBトークン型ハードウェアウォレットです。

コールドウォレットの中でも安全性と利便性のバランスが最も良く、ガチホを決めたビットコイナー達も多く利用している方法が、秘密鍵が外に漏れないハードウェアウォレットを利用する方法です。

Ledger NanoS 暗号通貨ハードウェアウォレットなどの製品が有名ですが、USBキー等のハードウェアの読み出す事が出来ない領域に秘密鍵を保管し、ハードウェアの内部で電子署名を実行します。

技術的な仕組みを理解するのは難しいですが、PCがウイルスやマルウェアに感染しても、ハードウェアウォレットから秘密鍵を抜き出すことは難しく、たとえハードウェアウォレット自体が盗まれても、あなたが設定したパスコードがないとPCに接続することが出来ず、さらに二段階認証を用いてあなたの仮想通貨を守ります。

ハードウェアなので物理的な破損や紛失の可能性はありますが、あらかじめ発行されるパスフレーズをメモに残しておけば、ハードウェアウォレット破損や紛失が発生してもビットコインやイーサリウムなどの暗号通貨を復元する出来る利点もあります。

ただし、どんなウォレットも同じですが100%絶対に安全とは言えません。

コインチェックの流出事故よりも起こりえないことですが、ハードウエアウォレットを接続している最中にPCがマルウエアに感染すると、署名済み取引データを不正に作成される恐れはあります。

何年も前に登場したビットコインやイーサリウムなどと比べ、NEMのコールドウォレット運用のための環境整備は遅れています。NEMの暗号方式に対応したハードウエアウォレットが出回り始めたのは2017年12月下旬で、現在市販されているハードウェアウォレットはネムに対応していない製品が多いようです。

ペーパーウォレット

ビットコインアドレスとプライベートキーを生成しQRコードで保管できる。日本語対応で使いやすいサイトです。

ペーパーウォレットは、秘密鍵(プライベートキー)をQRコードなどの形で紙に印刷して保管し、必要に応じてPCなどに入力する管理方法です。

ペーパーウォレットは、最もサイバー攻撃の被害を受けにくい安全なコールドウォレットです。

かつて米大手の仮想通貨取引所は、コールドウォレットの秘密鍵(プライベートキー)を管理するために、幹部がペーパーウォレットを複数に分けて持ち、緊急時以外には同じ場所に集合しないようにしていると述べています。

それほどにペーパーウォレットは最も安全な保管方法です。

ただしペーパーウォレットは、プライベートキーが書かれた紙などが、地震や火災、津波などの予期せぬ災害で消失すると仮想通貨も失うことになるので、防水対策を施し耐火金庫などで厳重に管理する必要があります。

また、データとして保管するわけではなく、文字通り紙媒体での保管は、何をするにも手間がかかります。

利便性と安全性はトレードオフが情報セキュリティの常で、どちらを重視するのかで自ずと必要な対策は変わるでしょう。

ここでご紹介した2つの方法以外にもコールドウォレットで仮想通貨を管理する方法はいくつかありますが、管理の煩雑さや注意することが多いなど、混乱を避けるために取り上げていません。

いずれにしても、いつサイバー攻撃を受けるか分からず、絶対に不祥事を起こさないという保証もない仮想通貨取引所なんかにガチホで動かさないビットコインを預けたままにするよりは、よほど安全には違いありません。

特に高額な仮想通貨を所持しているなら、今すぐにあなた自身がコールドウォレットで暗号通貨を保管するようにしましょう。

仮想通貨流出のコインチェックから学ぶ情報漏洩対策
今回のコインチェックによる仮想通貨NEMの流出の原因は、26万人分、5億2300万単位の仮想通貨の保管データをインターネットから接続出来る環境に置いていたという、信じられないお粗末な管理方法が原因で580億円分もの仮想通貨NEMが流出したのです。
コインチェック事故はセキュリティ対策後進国の象徴
仮想通貨NEMの流出事故で金融庁はコインチェックに業務改善命令を出し、立ち入り検査も行いましたが、その金融庁が仮想通貨取引業者を野放しに放置したことも事故の一因です。第二のコインチェックを出さないために政府主導の徹底した情報セキュリティ対策が必要です。

コメント