コインチェックがハッキングでNEMが盗難被害、原因と対策は?日本の女子高生が追跡中

ニュース

既報の通り、コインチェックがハッキングを受け、NEMだけで580億円が不正送金されてしまいました。今回はこの件を取り上げ、原因や対策を考えます。

コインチェック、NEM約580億円分が不正に外部送金 仮想通貨の取引を一時停止

取り敢えず当サイトでもコインチェックに向けたリンクを全て落としています(漏れがあったらスミマセン)。



コインチェックのセキュリティは甘かったのか?①コールドウォレットを使ってない?

一般的に仮想通貨に置ける強盗行為には、利用者になりすまして不正ログインするものと、取引所に侵入してデータを盗む不正ハッキングの2種類があります。

前者の場合は、第三者が発行するリアルタイムの乱数を用いてログインする二段階認証を併用することで、ほぼ防ぐことが出来ます。それでも突破される可能性はゼロではなく、スマホごと盗まれてしまったら更に危険ですが、仮にログインされても引き出せるのは本人の口座のみですから、被害は限定的なもので済みます。

一方、取引所のセキュリティを抜けて侵入した場合でも、顧客から預かった通貨が、ネットと物理的に遮断されたサーバ(コールドウォレット)に保管されていれば、外部からはアクセス出来ませんので、資産は保全されます。

例えば実際の銀行でも、その顧客が持つ預金口座の金額の合計と、実際に支店の中の金庫に保管してある現金の額とは一致しません。一日の中で引き出される現金は、預金通帳に記載された数字の合計よりも、圧倒的に少ないからです。

仮想通貨の取引所もそれと同じ。日々取引されるコインの総額は、全ユーザーの残高合計よりも少額になります。そのため使われないであろう金額については、物理的に遮断されたコールドウォレットに移動させ、安全を図ることが基本となります。

銀行で言えば、本店に送るなり、山奥に置くなり、とにかく支店からは切り離すということです。これをコールドウォレットと呼びます。こうすることで支店(取引所)に強盗が入っても、被害額は一日に流通する金額以下に抑えられます。

一方、銀行で言えば支店内で保管している現金もあります。仮想通貨の場合、これを置く場所をホットウォレットと呼んでいます。コールドウォレットは、ネットから遮断されている冷凍保管庫、ホットウォレットはネットに接して熱くなっている場所、という感じです。

コインチェックの場合、本来コールド状態で遮断させておくべき通貨まで、ネットに晒されたホットウォレットに置かれており、侵入してきた強盗にNEMを根こそぎ持っていかれてしまったということです。

これは技術的な問題以上に、運用上の問題が大きいと思われます。



コインチェックのセキュリティは甘かったのか?②マルチシグネチャウォレットを使ってない

「マルチシグネチャウォレット」とは「多重署名」を意味し、ウォレットのアドレス(公開鍵)ごとに、複数の秘密鍵を割り当てがある仕組みのことです。

通常、仮想通貨のウォレットでは、公開鍵と秘密鍵のセットで移動や取引が可能となります。しかしマルチシグネチャウォレットでは、複数の秘密鍵(パスコード)が必要になります。不正を行う場合、異なる場所にある秘密鍵を揃えなくてはならないので、通常のウォレットよりも格段に高いセキュリティが期待できます。

マルチシグネチャウォレットは仮想通貨の世界では既に大きく普及しており、多くの取引所が採用している技術です。今回、ハッキングに遭ったNEMも、このマルチシグネチャウォレットに対応しています。

NEMは2015年3月31日に開始され、Javaで書かれたP2P暗号通貨である。 NEMは高度に分散化した形になることを目標にしており、重要度証明(POI)アルゴリズムでブロックチェイン技術の新機能を導入した。 NEMには、P2Pセキュアなマルチシグ(多重署名)アカウント、暗号化メッセージングシステム、Eigentrust ++評判システムが組み込まれている。

wikipediaより

しかし、コインチェックではNEMの管理に、このマルチシグネチャウォレットを適用していなかったようなのです。

NEMを開発運営するNEM財団の会長も、マルチシグネチャーの適用は最初から推奨しており、使っていないのは考えられないというコメントを出しています。

“As far as NEM is concerned, tech is intact. We are not forking. Also, we would advise all exchanges to make use of our multi-signature smart contract which is among the best in the landscape. Coincheck didn’t use them and that’s why they could have been hacked. They were very relaxed with their security measures,” Wong said.

「NEMに関する限り、こちらの技術に問題はなく、フォークをする予定もありません。 そもそも私たちは全ての取引所に対してマルチシグネイチャーを利用するよう、アドバイスをしています。Coincheckはそれを使用しなかったため、ハッキングされたのでしょう。彼らの安全対策は甘かったと言わざるを得ません」

http://cryptonews.com/



そもそも取引所は銀行ではない

例として分かりやすさを優先して銀行を取り上げましたが、実際のところ、仮想通貨の取引所は預金をしておく銀行ではありません。参加者がお金を持ち寄って交換する市場です。その時、イチイチお金を持って帰るのは面倒臭いので、次の取引まで取引所の方で預かっておきましょうか?というのが取引所のウォレットサービスです。

ですから、過大な金額のコインを取引所に置いておくのは、もとから相応しくないと言えます。銀行ですら時に横領事件が起こります。

ハッキングや横領だけでなく、万一取引所が倒産した場合、そこに置いてあった通貨が帰ってくる保証はありません。

それほど頻繁に売買しない通貨については、ぶっちゃけ何処に置いていても同じことです。それなら一番安全な所に置いておくのがいい。それが「自分の手元に置くこと」です。

厳密には通貨そのものをダウンロードするのではなく、通貨の移動に必要な秘密鍵を手元に置くということですが、これさえ隔離しておけば、例え取引所のウォレットが侵入されても不正送金をされる恐れはありません。

仮想通貨はハードウォレットで自分の手の中に!

具体的に、仮想通貨(の暗号鍵)を手元に置くには2つの方法があります。ソフトウォレットと、ハードウィレットです。

取引所のウォレットはホット&コールドでしたが、片や、個人のウォレットはソフト&ハード。それぞれ後者の方がセキュリティレベルが高くなります。

ソフトウォレットは、パソコンにソフトを入れて、そこに暗号鍵を納めるものです。ただし、ソフトウォレットはパソコンが壊れてしまうと取り出すことが出来なくなります。また、ウィルスに感染したり、パソコン自体が不正アクセスを受けるなどのリスクもあり、あまりお勧めできません。

それに対し、ハードウォレットは専用の端末に暗号鍵を納める方式です。使わない時はネットに繋がっていないので、誰かにハッキングされる心配はありません。

さらに一番優れているのが、壊れた時でも設定してあるパスフレーズを使うことで、復元できるということです。

人気の仮想通貨ハードウォレット


フォローすると記事の更新が分かります!

不測の事態に備えて、複数の取引所を利用するのがいいですね!

   bitFlyer ビットコインを始めるなら安心・安全な取引所で