またしても【コインチェック不正流出】

みなさんこんにちわ。澤村です。

仮想通貨取引所大手のコインチェックが580億円相当の仮想通貨「NEM(ネム)」を外部からの不正アクセスで流出したというニュースが流れましたね。

そもそもなぜコインチェックが流出騒ぎを起こしてしまったのか。
その最も重要な要因として、一義的には「コールドウォレット運用」でなかったことと多くの識者から指摘されています。

「コールドウォレット」とはインターネットから遮断されたウォレットを指し、秘密鍵のあるデータストレージからネット接続を遮断すれば作成可能で、PC、USBドライブなどのハードウェアから、印刷した紙などさまざまな種類が存在します。

騒動発生直後、「NEM(ネム)」を開発・管理するNEM財団はコインチェックが「マルチシグ(multisig)」を実装していないことを責めている。マルチシグとは秘密鍵が2つ以上ある署名方法であり、複数の署名者(秘密鍵保持者)と複数の公開鍵をひとつの財布に設けるなどで、セキュリティのリスクを分散できる手法です。

一方で、「ホットウォレット」はネットに接続された状態のものを指しますが、「ホットウォレット」に比べ「コールドウォレット」はインターネット経由のクラッキングを受ける可能性を大きく減らすことができるんです。

ただし、「コールドウォレット」の運用は「ホットウォレット」と比べると楽ではないのです。管理する人間とウォレット自体が物理的に狙われるリスクがあるためといわれていますが、強盗や脅迫、拉致、ソーシャルエンジニアリング(いわゆるハニートラップ)、内部犯行、ハードウェアハックなどが考えられ、中にはハードウェアに罠を仕組むケースも存在します。それだけではなく、秘密鍵自体をなくしてしまうこともしばしば起き、これで大金を失った人は数え切れないといわれています。

ただし、コールドウォレットとマルチシグを兼ねた運用は、コストの上昇に見舞われる可能性が高いという見方もされています。

「NEM(ネム)」はビットコインよりオフライン処理が難しいことが事件の一因であるという説もいわれていますが一番難しいのは署名データをオフライン環境からオンライン環境に移すことであり、これはビットコインも「NEM(ネム)」も変わりはありません。

結果論的な追及にはなるんですが、「NEM(ネム)」はオンラインでのトランザクション処理を容易にできる「コールドウォレット」を2017年末にリリースしており、即時に導入していれば、結果は違った可能性はあるのではと感じてしまいます。

最後に私たちユーザー側からの視点も考えてみましょう。

今回の件で、取引所アカウントの「カウンターパーティリスク」に気づくいい機会だと考えられると思います。「カウンターパーティリスク」とは、取引相手が債務不履行に陥ることで取引が完結しないことを指すんですが、ビットコインは個人でお金を管理し、銀行機能を自分自身で完結することができ、その仕組を目指して開発されてきた経緯があります。

取引所にお金を預けている状態は、人の財布に資産を預けている状態ともいえます。秘密鍵の管理は手間だが、自分のお金を自分自身で管理できるようになるので、ユーザー自身で「コールドウォレット」を利用してみるのも一つの手ではないでしょうか。

また、販売所で課せられる過剰なスプレッドについて関知するなど、ユーザーがどれだけ正確な情報を把握できているか、さらにユーザーが仮想通貨そのものはもちろんのこと取引の仕組みや運営者の実態、技術背景を本当に理解しているかなど、取引に対するリスクをきちんと把握して行動することが求められているのも事実だと考えられますよね。

「コインチェック不正流出」の画像検索結果

コインチェックは不正に流出した仮想通貨の行方や原因の究明を急ぐ考えだとし、顧客への補償などを検討しているともいっております。
一日でも早い対応を見せていただきたいですね。

今年も注目が集まる中、今後こうゆう事がないように強固なセキュリティー対策などまだまだ改善していかないといけない部分もあると私澤村もひしひしと感じております。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です