コインチェックの不正出金問題から学ぶ仮想通貨のセキュリティ対策

スポンサーリンク

仮想通貨はハードウェアウォレットに保存しましょう

国内取引所「コインチェック」さんで5.2億NEMが不正に出金される大事件がありました。

今回の件で

コイナーさん
「仮想通貨を取引所に置きっ放しにしておくことは危ない」

という事実に改めて気づいた人も多いですよね。

身も蓋もない言い方ですが、ハードウェアウォレットに保管していれば、今回被害にあわずに済んだのも事実です。

結論から言うと今回の不正出金問題は

  • ホットウォレットで資産を管理していた
  • コールドウォレットを使用していなかった
  • マルチシグネチャを導入していなかった

というコインチェックの管理体制が問題でした。

しかしよく考えてみると取引所に預けっぱなしにしていた人は全く同じ管理体制だったと言えます。

  • なぜハードウェアウォレットを使うべきなのか?
  • そして仮想通貨のセキュリティ対策はどのようにすべきか?

今回のコインチェックの不正出金問題から学べるように、わかりやすくまとめてみました。

スポンサーリンク

コインチェックの不正出金問題の概要

まずコインチェックの不正出金問題がどのようなものか簡単に解説します。

まだ完全に解決していないので、事実がはっきりとしていない部分もありますのであくまでも参考までにご覧下さい。

まずは大まかな流れから。

  • 2018年1月26日、5.2億NEM(顧客資産)が不正出金される
  • NEMを含めた仮想通貨の入出金が停止となる
  • 同日深夜記者会見。復旧の目処などが立っていないことが発表される
  • 27日盗難されたNEMを日本円で返還するとの発表(時期など未定)

このように、わずか5分の間に時価総額500億円以上の仮想通貨が何者かによって盗み出されました。

現在コインチェックでは入出金や売買などほとんどの機能が停止しており、補償なども含めて検討している段階ですね。

今回盗み出された額は

  • 大企業楽天の年間営業利益が約380億円
  • スカイツリーの総工費が約650億円

と比べてみるととてつもないものだと分かります。

その被害額の大きさから記者会見でも記者が詰め寄るような場面がありました。

しかし、肝心の内容は全体的に横文字が多く意味が分からない人も多かったのではないでしょうか。

会見で飛び交ったセキュリティに関する重要なワードを理解すると、仮想通貨のセキュリティ対策についてみえてきます。

キーワードは三つ。

  • ホットウォレット
  • コールドウォレット
  • マルチシグネチャ

です。

ホットウォレットに保管していたことが問題だった

補足
記者会見の内容についてはログミー様の「コインチェック、仮想通貨「NEM」の不正流出を受けて緊急会見 被害額は約580億円相当」を引用しています

今回の不正出金問題では「ホットウォレット」で顧客資産を管理していたことが判明しました。

記者5 東洋経済です。お客さんの(資産の)管理の仕方。コールドウォレットで管理してたのかどうか、ということについて教えてください。
大塚 今回の(管理に)関しましては、ホットウォレットに入ってございました。
記者5 ホットウォレット。では、オンラインで管理していたということですか?
大塚 はい。

ホットウォレットとは、記者の発言にあるようにオンラインに接続されたウォレットのことです。

ホットウォレットのイメージ図▼

ホットウォレットは外部からのアクセスで入出金ができる為、取引が簡単になります。

コインチェックさんが販売方式で簡単に購入できるシステムに一役かっていたとも言えますね。

しかし、外部からセキュリティが破られてしまう危険性があり、本来資産管理には適していません。

なので「コールドウォレット」(インターネット接続していない財布)での保管をどの取引所でも対策として掲げていて

コールドウォレットでの保管についてはコインチェック公式でも触れられています。

サービスの安全性より

「お客様の預り金の内、流動しない分に関しては」と記載されているものの、今回、不正に出金されたネムは預かり資産のほとんどだった為、記載と異なる部分がありますね。

だからこそ、本来自己責任ではありますが、今回補償対応すると決定したことは当然のこととも言えます。

実際、この点は会見で何度も突っ込みがありますが、ではコールドウォレットに保存すれば絶対安全なのか?と考えるとそうとも言い切れません。

スポンサーリンク

コールドウォレットに保管すれば必ずしも安全とは言えない

コールドウォレットはインターネットから完全に切断されたウォレットです。

コールドウォレットのイメージ図▼

インターネットに接続していないのでホットウォレットのようにネット経由でのアクセスはできません

しかし、ネットに接続していないため支払いなどには使いにくい側面もあります。

例えば、記者会見ではネムをコールドウォレットに保管しておくことが技術的に難しかったという説明もありました。

記者5 コールドウォレットで管理しなかった理由というのは?
大塚 コールドウォレットに関しては、管理を進めていたのですが、そこまで至ってなかったです。
記者5 システム的に無理だったと?
大塚 システム的に難易度が非常に高いということです。
記者5 オンラインのところで管理していて抜かれた、出ていったということですね。
大塚 はい。

本当に難しかったのか?については専門家により議論があり、実際に自作に挑戦した結果「4時間程度でできた」という方もいました。

Kengo Suzukiさんの検証記事

NEM のコールドウォレットの自作は難しいのか検証してみた

どちらにしても、コールドウォレットでの管理が技術的に難しかった時点でネムを取り扱うことを検討するべきだったのかもしれませんね。

しかし、コールドウォレットに保管していたからといって100%安全とは限りません。

コールドウォレットは物理的に保管が必要なので、物理的な破壊や盗難、紛失の可能性があります。

またコールドウォレットを管理できる人が悪意を持っていれば直接資産を盗みだすことも可能です。

その対策としてマルチシグネチャという機能があります。

マルチシグネチャとは?

マルチシグネチャとは一つのアドレスに複数の秘密鍵を当てる技術のことです。

マルチシグネチャのイメージ図▼

簡単に説明すると金庫(ウォレット)を開ける際、複数の鍵がなければ開かない仕組みを作れます。

つまり一人の悪意を持った人がウォレットにアクセスしようとしても、他の人の同意(署名)がなければ

鍵を開けれないので、コールドウォレットの弱点にも対応することができます。

今回コインチェックはマルチシグネチャにも対応していませんでした。

記者15 朝日新聞のスドウと申します。ちょっと1つ確認なんですが、NEMの保管でウォレットなんかマルチシグ(マルチシグニチャ)でちゃんと鍵をかけて保管していたんでしょうか。
大塚 この部分に関しては、マルチシグを行なっておりませんでした。
記者15 けどマルチシグを行なっていないということは、セキュリティが甘いということじゃないですか。
大塚 そこの準備に至れてなかったというかたちです。

マルチシグネチャはセキュリティ対策だけではなく、様々な使い方があり、タヌ神さんのnembarでNEMのマルチシグをざっくり説明する実験が参考になります。

本来、ネムの得意分野とも言える部分だったけだけに残念でした。

ただし、マルチシグネチャを導入していなかったから盗難につながったわけではないですね。

スポンサーリンク

コインチェック不正出金問題から学べること

以上、不正出金問題でポイントとなったワード

  • ホットウォレット
  • コールドウォレット
  • マルチシグネチャ

についての解説でした。

ここまで読み終えると

コイナーさん
コインチェックセキュリティ穴だらけじゃん!盗まれても仕方ないわ!

と思うのが普通かもしれません。

しかし、コインチェックに資産を預けっぱなしにしていた人は、自分に当てはめて考えてみると強く非難できない部分もあります。

まずホットウォレットというのは、「取引所」になると言えます。

インターネットに接続しているから簡単に売買はできるけど、不正アクセス被害に会う可能性がある。

だからこそコールドウォレット(ハードウェアウォレット)での保管がおすすめされていますが

技術的に難しかった=分からない、面倒くさかったため

に使っていなかったということになりますね。

マルチシグネチャに関しては、パスワードや二段階認証に当たると考えられるでしょう。

破られやすい簡単なパスワードを使用していたり、二段階認証をしていないことは一つの鍵で簡単に開けられてしまう。

とても危険な状態と言えます。

まとめると

  • ホットウォレットで資産を管理していた
  • ⇨取引所に預けっぱなしにしていた
  • コールドウォレットを使用していなかった
  • ⇨ハードウェアウォレットを使っていなかった
  • マルチシグネチャを導入していなかった
  • ⇨パスワードや2段階認証をしていなかった

という感じです。

もちろん、だから預けていた人が悪いという訳ではありません。

最大の問題はコールドウォレットに管理しているという表記があったにも関わらず、実際行われていなかったことが問題です。

僕たちユーザーは、実際にセキュリティ対策に関わることはできないので書かれていることを信じるしかありませんからね。

今からできる仮想通貨のセキュリティ対策

以上のことから、今からできる仮想通貨のセキュリティ対策を改めておさらいしておきましょう。

コールドウォレットを使おう

まず一つ目に、仮想通貨はハードウェアウォレット(コールドウォレット)での保管をおすすめします。

以下の二つのウォレットがよく使われています。※()内は対応通貨

  • トレザー・・・(ビットコイン、イーサリアム、イーサリアムクラシック、ライトコイン、ジーキャッシュ、ネム、モナコイン、ダッシュ、ドッジ、ジーバイト)
  • レジャーナノエス・・・(ビットコイン、イーサリアム、イーサリアムクラシック、ライトコイン、ジーキャッシュ、リップル、ドッジ、ダッシュ、)

ネム、モナコインを保管するならトレザー

リップルを保管するならレジャーナノエスがおすすめですね。

アマゾンでも購入できますが、正規品を見分けることができない場合は公式サイトから購入して下さい。

トレザーは海外サイトになりますが、レジャーナノエスは国内の正式代理店から簡単に購入することができます。

ハードウェアウォレットを使わない理由としては

  • 購入がめんどくさい
  • いちいち保管するのがめんどくさい

という人も多いでしょうが、その手間を惜しめば資産がなくなる可能性があると考えてみて下さい。

決して、ないがしろにしようとは思いませんよね。

パスワードの複雑化、二段階認証設定は絶対に行う

これができないのであれば仮想通貨取引はやらない方がいいと断言できるのが

  • パスワードの複雑化
  • 二段階認証の設定

です。

パスワードはランダム英数字記号を含めたもので40文字以上、二段階認証はアプリを使って複数の端末で行う、これは当たり前なので必ずおこなってください。

参考記事▼

zaif、coincheck、bitFlyerの2段階認証(2FA)アプリ設定方法

zaif、coincheck、bitFlyerの2段階認証(2FA)アプリ設定方法

2017.10.22

他の仮想通貨のセキュリティ対策

ハードウェアウォレットを使うことと、パスワード、二段階認証設定はあくまでも最低限の対策。

他にも考えるべきセキュリティ対策はたくさんあります。

  • 公共のWi-Fiにはアクセスしない
  • フェイスブック認証で取引所に登録しない
  • 取引所に登録するメールアドレスはGmailを使わない
  • Gmailを使う場合はGmailでも二段階認証をする
  • 取引所ごとに異なるアドレス、パスワードを使う
  • 秘密鍵、ペーパーウォレットは金庫に保管する
  • パスワードや秘密鍵はバックアップを取り暗号化する
  • 資産は複数のウォレットに分散する

あげればキリががなく、どこか気をつけていても一つミスをすれば失う可能性があることは想定しておきましょう。

まとめ

今回のコインチェックの不正出金では

  • ホットウォレットで資産を管理していた
  • コールドウォレットを使用していなかった
  • マルチシグネチャを導入していなかった

ことが問題としてあげられ、事実と異なる記載があったことが深刻なミスでした。

ここから学べることは

  • 取引所に預けっぱなしにする
  • パスワードの管理、二段階認証設定をしない

この状態の場合、今回の問題と同じになってしまっているということです。

「大事な資産はハードウェアウォレットに保管する」

「セキュリティ対策が面倒な場合は仮想通貨投資はしない方がいい」

こう考えて、仮想通貨のセキュリティ対策と向き合っていく必要がありますね。

僕自身、ブログでコインチェックをおすすめしていたので非常に残念でしたし、コインチェックの仮想通貨業界に関する功績が大きいだけに考えさせられます。

事件があれば仮想通貨の価値も当然下がっていきますし、大規模な規制があれば仮想通貨自体が終わることもあります。

一人一人の意識がこれからの仮想通貨の未来につながっていると考えることが必要です。

ちなみに、妻は事件前にクレジットカードでリスクを30万円分購入し、置きっ放しにていました汗。

これを機に妻にもハードウェアウォレットを購入しようと思います。

ハードウェアウォレットの購入なら▼

  • トレザー・・・(ビットコイン、イーサリアム、イーサリアムクラシック、ライトコイン、ジーキャッシュ、ネム、モナコイン、ダッシュ、ドッジ、ジーバイト対応)
  • レジャーナノエス・・・(ビットコイン、イーサリアム、イーサリアムクラシック、ライトコイン、ジーキャッシュ、リップル、ドッジ、ダッシュ対応)

ネム、モナコインを保管するならトレザー

リップルを保管するならレジャーナノエスがおすすめです。

良く読まれてます

今、Zaifがアツい!!

↑COMSAのICOで話題のNEMを買うならZaifさん一択!

・日本発のモナーコインも買える

・中級者から支持されてます

・NEMの手数料がダントツ安い!

1 個のコメント

  • コメントを残す

    メールアドレスが公開されることはありません。

    日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)