どもrenです。
コインチェックの問題が世間を大きく賑わせていますね。
事件の詳細は他のニュースサイトなどで詳しく取り上げられているのでここでは割愛しますが、NEMという種類の仮想通貨がコインチェックの取引所から流出したというのが事件のあらましです。
仮想通貨は過去にも不正ログインやなどで被害が発生しておりますが、コインチェック事件がこれだけ大きく騒がれているのはやはりその被害額の大きさですね。
なんと日本円に換算して、580億円と言われるから驚きです。
今回は、コインチェック問題の原因とも言われている仮想通貨のセキュリティキーワード
「マルチシグ」
「コールドウォレット」
について解説していきたいと思います。
仮想通貨のセキュリティ対策マルチシグ
今回のコインチェックからのNEM流出のキーワードとして、たびたび記者から飛び出したキーワードのひとつが「マルチシグ」です。
サーバーへの認証方式
現在、インターネットショッピングなどで自分の情報にアクセスする場合には、大体IDとパスワードという2つの情報が必要ですよね?
仮想通貨もサーバーに保存された仮想通貨情報にアクセスするのに公開鍵認証方式というアクセス方式を採用しています。
仮想通貨の取引所は、公開鍵と秘密鍵というセットの認証情報でサーバーにアクセスすることで、仮想通貨の情報を書き換えて売買を成立させているわけです。
サーバーに置いているのが公開鍵、取引所は反対に秘密鍵を持っていて、サーバーにアクセスできるわけですが、この秘密鍵がなんらかの理由で外部に流出してしまい、コインチェックが保持するNEMが流出したというのが今回の事件の原因と言われています。
公開鍵認証の課題とマルチシグ
公開鍵認証にはセキュリティ的な弱点があります。
それは秘密鍵が流出してしまうと、第三者でもログインできてしまうため、ハッキングや悪意のある第三者に流出してしまうと簡単に仮想通貨が流出してしまいます。
そこで、セキュリティを高める為に考えられたのが「マルチシグ」です。
秘密鍵を複数に分割して、すべての秘密鍵が揃わないとサーバーへのアクセスができない仕組みとなっています。
具体的な秘密鍵の分割方法としてマルチシグには「2 of 3」という方式があります。
秘密鍵を3つに分割しておき、そのうち2つが揃うことでアクセスできる。
という方式です。
今回、コインチェックでは技術的な問題でNEMのアクセスにマルチシグを導入していなかったと回答していることから、今回の流出事件はマルチシグという2個めのセキュリティを導入していれば、防げたのではないか?との見方もあるようです。
コールドウォレットとは何?
今回のコインチェックからのNEM流出でキーワードとして、たびたび記者から飛び出したキーワード二つ目が「コールドウォレット」です。
「NEMはコールドウォレットで保存されていなかったのか?」
という質問が記者からたびたび出ていましたね。
なんとなくその言葉から意味が推察できますが、一体どのような概念なんでしょうか?
ズバリ「コールドウォレット」とは、インターネットから切り離された仮想通貨という意味です。
コールドウォレットの種類
先ほどの説明の中で出てきた、秘密鍵を紙に書き出す「ペーパーウォレット」やUSBメモリなどの外部記憶媒体に秘密鍵を書き出しておく「ハードウェアウォレット」などがあります。
紙やUSBメモリなどの外部記憶媒体であれば、インターネットに繋がっていないので、ハッキングではまず盗み出すことは出来ません。
「コールドウォレット」はインターネット上の脅威である、ハッカーから仮想通貨を守るために必要な仕組みなんですね。
コールドウォレットのリスク
ただし、物理的に保存していたとしてもその管理方法がずさんであれば、当然、盗まれてしまうことがあります。よって、コールドウォレットだから安全というわけではなく、このあたりは仮想通貨取引所自体のセキュリティレベルによって全く安全性が変わってくるということになりますね。
ホットウォレットとは?
ホットウォレットとは、コールドウォレットの逆です。
「ハードウェアウォレット」などで秘密鍵の書き出しを行っておらず、インターネット上に秘密鍵を保持した状態ということですね。
コインチェックはこのコールドウォレットという手続きを行っておらず、セキュリティ的にずさんだと、記者会見の記者から指摘があった場面もありました。
bitFlyerはコールドチェックを8割、のこりの2割はホットウォレットとして保管しているそうですが、コールドウォレットからホットウォレットにするには手間がかかります。
一度、コールドウォレットをホットウォレットに変換する作業が発生するわけですね。
コインチェックのNEM流出もbitFlyerのように保管している一部のホットウォレットが流出しただけです。という内容であれば、ある程度理解できる部分はありますが、NEMはコインチェックが保持するNEMの「ほほすべて」が流出したと記者会見でも答えていることから、セキュリティが甘かったと言われても仕方ないと思いますね。
コインチェック事件から垣間見える仮想通貨取引所のリスク
さて、今回のコインチェクでのNEMおよそ580億円分の流出事件から垣間見える仮想通貨取引所のリスクとしては、やはり取引所の運用体制のずさんさですね。
仮想通貨はその仕組からほとんど資金をかけずとも取引所を設立できると言われています。
実際に個人でかなり高レベルなことをやっている方もおられるようで、そういった知識があれば、取引所を運営できてしまうというのは、事業者としてはかなり魅力的ですよね。
しかし、逆に言えばそれだけのレベルでやっていればハッカーの対象になってしまうため、取引所運営者は、セキュリティにはかなりの注意を払わなくては今回のような事態になりかねません。
さらに言えば、仮想通貨がこれだけ盛り上がっているので、取り扱う金額が一つの企業が賄う金額としては大きすぎる気がします。これが何を意味するのかというと、お金をかけてもハッキングすれば元が取れてしまうということです。
今回のようにマイナー通貨だと売却に問題がありそうですが、今後、仮想通貨が一般にも広く使われる様になった場合には、ハッカーの攻撃はさらに激化することは間違いありません。
僕たちのように仮想通貨取引所を利用するユーザーとしては、取引所の手数料が安いという観点のみで選びがちですが、今後はセキュリティという観点が第一条件になってくる日も近いかと思います。
