コインチェック580億円ハッキングから学ぶ仮想通貨を盗難から守る4つの対策【2018年版】

仮想通貨投資を行う際に無視できないリスクの一つにハッキング・盗難があります。

保有する資産の時価総額がどれだけ高騰しても、それ自体を盗まれてしまっては全てが無に帰ってしまいます。そして、資産が高騰すればするほど盗難のリスクは高まります。

2018年1月26日にもCoinCheckがハッキングを受けてNEMコインが持ち出される事件があり、和田晃一良社長と大塚雄介氏が会見を行いました。

不安に感じる方も多いと思いますが、個人レベルでできる盗難対策はそれほど難しくない上、それをしておくだけでも安全性はかなり高まります

盗まれて後悔する前に、しっかりと盗難対策を進めておきましょう。

コインチェックだけじゃない!実はこんなに多い仮想通貨不正流出事件

2018年1月26日に発生したCoinCheckのNEM不正流出事件はニコ生中継(ニコニコ生放送)でLive配信され、World business satelliteでも取り上げられました。

翌日、1月27日にはYahooやNHKニュースでも大々的に取り上げられています。

インターネット上の仮想通貨を取り扱う取引所の「コインチェック」は、外部からの不正なアクセスで580億円相当の仮想通貨が流出したことを26日夜、明らかにしました。流出したのは顧客が預けていた資産で、会社は補償などを検討するとしていますが、具体的なめどは立っていません。

コインチェック 仮想通貨の巨額流出 補償のめど立たず | NHKニュース

このような事件は、今回に限らず過去に何度も発生しています。

仮想通貨不正流出事件ランキング

  • コインチェック(CoinCheck) 2018年1月26日:580億円 日本
  • マウントゴックス(MTGOX) 2014年:約470億円 日本
  • ナイスハッシュ(NiceHas)2017年:約70億円 スロベニア
  • ビットフィネックス(BITFINEX)2016年:約65億円 香港
  • ザ・ダオ(The DAO) 2016年:約65億円 ドイツ

2018年1月26日のコインチェック(CoinCheck)は過去最大ですが、2014年のマウントゴックス(MTGOX)の470億円も相当な額です。

マウントゴックス(MTGOX)事件の際に生まれた言葉ですが、仮想通貨取引所から通貨が不正流出し、顧客保障がされずに仮想通貨を失ってしまうことを「ゴックス(GOX)」といいます

 

仮想通貨が最も盗まれやすいのは「仮想通貨取引所」

仮想通貨取引所はなぜ狙われやすいのか?

仮想通貨が盗まれやすい場所は主に「仮想通貨取引所」と「ウォレット」の2種類です。

仮想通貨取引所は仮想通貨の取引を行うためのWebサイトで、ウォレットとは仮想通貨を保管するためのWebサイト・アプリケーション・ハードウェアなどのことです。

この2つのうち、特にターゲットになりやすいのは仮想通貨取引所です。

何故かと言うと、多くの人の資産が集まる仮想通貨取引所のほうが、保管されている資産量が多く、盗み甲斐があるからです。

仮想通貨取引所には内部にも敵がいる可能性あり

仮想通貨取引所で発生する盗難事件の犯人が、外部の人間であるとは限りません。

悪意ある内部の人間が犯行に関わる可能性も十分にあります。外部の人間と内部の人間が結託する可能性も考えられます。2014年に発生したマウントゴックス社の仮想通貨盗難事件(被害額は当時の時価で100億円以上)は、内部のトップである経営者の犯行であると見られています(本人は否認しています)。

2018年1月26日に発生したCoinCheckの事件の記者会見を見る限りは外部の犯行に見えますが、内部関係者が不正を働く可能性自体は十分に認識していなければなりません。

 

ホット・コールド・ハードウェアウォレットの違いとリスク分析

仮想通貨取引所に仮想通貨を預けておくのが危険ならば、仮想通貨は全額ウォレットに預け入れておけばいいのでは、と思われるかもしれませんが、ウォレットと言えども完璧な対策にはなりません。

仮想通貨のウォレットは大きく、インターネットに接続されている「ホットウォレット」と、接続されていない「コールドウォレット」に分けられます。コールドウォレットはさらに「ハードウェアウォレット」に細分化できます。

ホットウォレット

ホットウォレットの代表格はWebウォレットで、これはWebサイトの運営者に仮想通貨の管理を任せるというものです。

正直なところ仮想通貨取引所に預けるのとあまり変わりはなく、危険はつきまといます(多少狙われにくいかもしれませんが、セキュリティが甘いところも少なくありません)。

コールドウォレット

インターネットに接続されていないウォレットです。インターネットに接続されていないので理論上は安全です。しかし、実際には完全に安全というわけではありません。

例えば、パソコンにインストールする「クライアントウォレット」や、スマートフォンにインストールする「モバイルウォレット」は、それ自体はコールドウォレットです。

しかし、端末をインターネットに繋いでしまえばやはり盗難のリスクにさらされることになります。

個人の端末ですので仮想通貨取引所よりはターゲットになりにくいでしょうが、個人の端末はセキュリティが甘く、ウイルス感染などのリスクもあります。

通常時はオフラインにできる端末を持っている人ならば導入をおすすめしますが、常時オンラインにしている端末しかない場合は、別の保管方法を考えたほうがいいかもしれません

ハードウェアウォレット

専用端末を使って保管するものをハードウェアウォレットと言います。普段はインターネットから完全に切り離せるため、安全性はかなり高いです。

しかし、ハードウェアウォレットから仮想通貨を取り出すためのパスコードを忘れてしまうと仮想通貨が取り出せなくなってしまうというリスクもあります(端末が故障しても、パスコードがあれば新しい端末で復元できます)。

かと言ってそのパスコードをオンラインストレージなどに保管すると、盗難のリスクが増加します。

紙にアドレスと秘密鍵を印刷するペーパーウォレットはさらに安全ですが、紙自体を紛失してしまったり、経年劣化で文字が読めなくなってしまったりするリスクがあります。このリスクは、ひょっとすると仮想通貨取引所の盗難リスクよりも重大かもしれません。

 

対策1:基本は複数の取引所で「資産の分散保存」

このようにどの保管方法も完全に安全とは言えない現環境において、最も大切なのは「資産の分散保存」です。

複数の場所に分けて保管することによって、仮想通貨の全額、もしくは大半が盗まれる可能性を大きく減らすことができます。

まず、国内の仮想通貨取引所は最低でも3つ、できれば5つ程度開設します。

そして、開設したすべての仮想通貨口座の資産の時価総額がなるべく均等になるように送金を行います。これだけでかなりのリスク分散になります。

仮想通貨取引所がほぼ同時にハッキングに遭い、なおかつその両方で自分の口座が被害を受けるということはまずありません。

仮想通貨取引の口座を5つ持っておけば、そのうち1つがハッキングにあっても、資産の5分の4=80%は守れます。管理は多少面倒にはなりますが、手間をかけるだけの意味はあります。

また、仮想通貨の一部を別のウォレットに遅れば、更に安全性が高まります。

 

対策2:仮想通貨取引所には二段階認証を設定

仮想通貨取引所に資産を保管する場合は、必ず二段階認証を設定してください。

二段階認証とは簡単に言えば、恒常的に使うIDやパスワードとは別に、1回だけ使えるワンタイムパスワード(セキュリティコードと呼ばれることも)を利用することによって、ログインの安全性を高める仕組みです。ワンタイムパスワードは一定時間(30秒程度)ごとに変更されるため、盗まれても30秒経過すればそのワンタイムパスワードは無効になります。

二段階認証用のワンタイムパスワードの発行は仮想通貨取引所によって多少異なることがありますが、スマートフォンを保有している場合は二段階認証用のアプリが便利です。

二段階認証アプリの設定を行うと、そのアプリ上でワンタイムパスワードが発行され続けます。そのワンタイムパスワードを見られるのはスマートフォンの保有者のみなので、スマートフォンをなくさない限りは十分な安全性が保たれます。

二段階認証用のアプリは「Google Authenticator」が最も有名ですが、他にも「Autry」や「IIJ SmartKey」などがあります。

私はいずれのアプリも試してみたことがありますが、Google  Authenticatorはバックアップが取れず紛失・故障・機種変更時に非常に不便なのでおすすめしません。

Autryは英語でよくわからなかったので、IIJ SmartKeyを利用しています。

製作元のIIJはGoogleほどではないにせよ東証一部上場の企業なので信頼性はありますし、なによりバックアップが簡単に取れるのが大きいです。ダウンロードは下記のリンクから可能です。

アプリが導入できない携帯電話を使用している場合は、SMSやメールアドレスにワンタイムパスワードを送ってもらうことも可能です。

 

対策3:マルチシグネチャ導入の仮想通貨取引所を利用

仮想通貨取引所が行うハッキング・盗難対策は大きく、外部対策と内部対策に分けられます。外部対策であるコールドウォレットの導入や二段階認証は国内のすべての仮想通貨取引所で導入されていますが、内部対策であるマルチシグネチャの導入は国内の一部の仮想通貨取引所でしか導入されていません

マルチシグネチャとは?

マルチシグネチャとは送金の際に複数の署名を必要とするシステムです。先のCoinCheckの会見で記者が発言していたように「マルチシグ」と略されることも多いです。

通常、公開鍵と秘密鍵は1つずつしかありませんが、マルチシグネチャでは秘密鍵は3つになり、そのうち2つの秘密鍵で正しく署名されないと送金されません。

よくわからないという方は、とにかくマルチシグネチャを導入している仮想通貨取引所は、そうでない仮想通貨取引所とくらべて内部から盗難が起こる可能性が極めて低いという理解だけでもOKです。

現状、マルチシグネチャを導入している主な国内の仮想通貨取引所は以下のとおりです。

  • BitFlyer
  • cc
  • Zaif
  • GMOコイン
  • QUIONEX

仮想通貨を分散保存させる際には、なるべくマルチシグネチャを採用している仮想通貨取引所を選ぶことをおすすめします。

 

対策4:オフライン端末・ハードウェアウォレットを導入

ある程度仮想通貨の保有額が増えてきたら、その一部をオフライン端末のデスクトップウォレットかモバイルウォレット、もしくはハードウェアウォレットに移すことをおすすめします。

ペーパーウォレットは手間がかかるうえに保管も難しいため、おすすめしません。

ハードウェアウォレットは現在日本語対応のものがないため、導入のハードルはやや高いです。操作も結構面倒です。

日本語の解説サイトはありますが、そこに書いてあることが正しい保証はないため、使う際にはなるべく複数のサイトを見て回りましょう。また、ハードウェアウォレットは必ず新品のものをメーカー直販か正規代理店で購入しましょう。パスコードの保管には十分に気を配りましょう。

デスクトップウォレットやモバイルは直感的な操作がある程度できるので、ハードウェアウォレットよりは使いやすいです。アプリも複数あるので、なるべく公式で推奨されているものを選びましょう。

デスクトップウォレットかモバイルウォレットを導入する場合、その端末は必ず常時オフラインにしておきましょう。

オフラインにできる端末がない場合は、安物でもいいので新品のパソコンを別途買うことをおすすめします。

 

まとめ

  1. 資産を守る上で、ハッキング・盗難対策は必須
  2. 仮想通貨取引所に保管するのはリスクが高いが、他の保管方法も完全に安全とはいえない
  3. ハッキング対策の基本は分散保存
  4. 二段階認証やマルチシグネチャなどの導入も重要
  5. 保有資産が増えてきたら、コールドウォレットへの移管も検討すべき

仮想通貨の保全に対する法整備は現状十分とはいえないので、自分の身は自分で守るしかありません。十分な対策で増やした資産を守りましょう。

転職サイト・エージェントの選び方を徹底検証!

転職サイト ランキング

管理人が実際の転職を通じて学んだ転職サイトの選び方とおすすめのエージェントを紹介しています。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です