ビットコインで話題になった事件について解説してきます。
このような疑問を抱えていませんか?
ビットコインは仮想通貨の中で最も歴史が古く最も時価総額の高い仮想通貨であるため、国内外のほとんどの取引所で取り扱われています。
しかし、ビットコインの歴史の中ではビットコインを管理する取引所の盗難被害が後を絶ちません。
なぜ仮想通貨取引所は同じように盗難被害に遭うのでしょうか?
本記事では、それぞれの取引所がどのようなセキュリティの穴を狙われてどれほどの被害を出したのかや、盗難事件に巻き込まれないためにユーザーができる対処法を紹介していきます。
コインチェック事件
コインチェック事件とは、2018年1月に外部からのハッキングにより約580億円相当もの仮想通貨NEMを流出させてしまった事件です。
当時はコインチェックとビットフライヤーが国内でトップを争っており、各取引所がテレビCMで有名人を起用し新規顧客獲得に向けて動き出している時期でした。また、仮想通貨の相場も仮想通貨バブルと言われるほど急激な高騰を見せていたため、仮想通貨を始める方が多く増加している時期でもありました。そうした中で発生した事件でしたので業界全体が騒然となりました。
そして、コインチェックから流出した仮想通貨NEMは犯人により追跡困難な状態にされ、流出した顧客資産のNEMは戻ってくることはありませんでした。しかし、コインチェックへ資金を預けていたユーザーには、後に流出資金の補償が正式に発表され、2019年3月の時点ではすべての対応が完了しています。
コインチェックがハッキングを受けた原因は、NEMを「コールドウォレットで管理していなかったこと」「マルチシグに対応していなかったこと」が挙げられます。
当時の時価総額で一位のビットコインと二位のイーサリアムはコールドウォレットとマルチシグでセキュリティ対策が行われていたため狙われることはありませんでしたが、NEMに関してはセキュリティが甘かったため多額の資金流出を招いてしまったと言えます。
Zaif事件
コインチェックに次いで国内の有名な流出事件はZaifの仮想通貨流出事件です。コインチェック同様に外部からハッキングを受けて総額約70億円相当の資産が流出しています。70億円の内訳としてはビットコインが約42億5千万円、モナコインが約6億7千万円、ビットコインキャッシュが約21億円となっています。
実際、Zaifに対するネット上での評判は他の取引所と比べてネガティブな意見が多く、サーバーの不安定さや、セキュリティ面で不安視する声もありました。
Zaifがハッキングを受けた原因はホットウォレットで資産を管理していたためで、Zaifの場合はホットウォレット上で管理していた資金の割合が多かったことも多額の資産流出の原因です。
ホットウォレットは資金の遠隔操作や入出には便利という側面もありますが、ネット上からの不正アクセスには弱いため現在はホットウォレットの資産を1割以下に抑え、その他の資産をコールドウォレットで管理している取引所も多く存在しています。
また、Zaifはホットウォレット上のサーバーを攻撃されてからの検知から発表までに3日間もの時間がかかっており、金融庁からは「すべてにおいて不十分」と指摘を受けています。
仮想通貨取引所のセキュリティレベルや信用性などは、ネット上の評価を調べるだけでも、とても参考になるため、初心者で取引所選びの判断が難しいという方はネット上の評価を参考にされることをおすすめします。
ビットフロア事件
アメリカに拠点を置く海外取引所のビットフロアー(BitFloor)は、2012年9月にハッキング被害を受けています。その被害額は24,000BTCで日本円に換算すると155億円もの額に相当します。
ビットフロアはユーザーの仮想通貨を保管する暗号鍵のバックアップをオンライン上で保管し暗号化していなかったため、外部から不正にウォレットにアクセスをさせてしまい資金流出という事態を引き起こしてしまっています。
その後、ビットフロアは顧客へ預け入れられていた資産の払い戻しを実施しましたが、アメリカの仮想通貨規制などの影響により2013年4月に取引所を閉鎖しています。
ビットフロアの事件もコインチェックやZaif同様にオンライン上からの不正アクセスでハッカーに攻撃されていることがわかります。ただし、大前提としてはバックアップキーという大変重要な暗号鍵をずさんに管理していたために発生した問題です。
ひとつの取引所を信用して多額の資産を預けていると、最悪の場合、すべての資産を失ってしまうリスクもありますので十分に注意してください。
ビットスタンプ事件
スロバキアに拠点を置く海外取引所のビットスタンプ(Bitstamp)は、2015年にハッキングを受けて、総額約19,000BTC、当時の金額で約12億円相当もの資金を流出させています。
ビットスタンプはビットコインのドル建て・ユーロ建ての取引量が世界トップレベルで多く、世界第三位の仮想通貨取引所として知られています。元々取引所としての歴史も古く2011年に設立された取引所で、同年にMt.Gox事件を起こしたマウントゴックス社に代わる取引所を目指して設立された取引所です。
実は、ビットスタンプは資金の流動性を保つためのホットウォレットと資産を保管するためのコールドウォレットで資産管理を分割して行なっていたため被害は最小限に抑えることができています。
また、事件の一週間後にはウォレットをマルチシグ対応に切り替え、より高度なセキュリティ対策を施して運営を再開しています。
ビットスタンプは他の取引所と異なり取引所としてのセキュリティ対策を行なった上での被害になりますので、取引所としての落ち度は小さいと言えます。
ビットフィネックス事件
中国で最大規模を誇る海外取引所のビットフィネックス(ビットフィネックス)は、2016年8月にハッキング被害を受けており、流出した金額は総額で約120,000BTC、当時の金額で約80億円相当もの金額になります。
このときに、ビットフィネックスが失った額は資産の36%にも上り、取引所の閉鎖も噂されるほどでした。
セキュリティ対策としては、ビットフィネックスもビットスタンプ同様にコールドウォレットで資金を保管しており最低限の流出額に抑えられる対策が施されていました。しかし、流出額がビットスタンプよりも極端に大きかったため「内部の人間による犯行ではないか?」と疑いの声もかけられていました。
その後の対応ではビットフィネックスは独自トークンの「BFXトークン」を発行し、徐々に返済していき、2017年4月には流出した全ての資産を完済しています。
BTER事件
中国に拠点を置く仮想通貨取引所のBTER(ビーター)は2014年と2015年の2度に渡り、外部からハッキングを受けて、現在の価格で総額約88億円相当のビットコインが流出しています。
この事件で問題視されたことは「コールドウォレットがハッキングされた」という発表があったことです。しかし、コールドウォレットはインターネットに常時繋がっていない状態で仮想通貨を保管するウォレットなので現実的にハッキングされることは考えられません。
しかし、後の調査では取引所BTERのシステム開発者の個人情報がハッキングされたことが原因で取引所の資産が流出されてしまったということがわかっています。
マウントゴックス事件
株式会社Mt.Goxが運営する仮想通貨取引所マウントゴックスは2014年にCEOのマルク・カルプレス氏の横領によって多額の資産を流出しています。
この事件は、マウントゴックスのサーバーが外部からハッキングを受け、ビットコイン約75万BTC(当時の金額で約480億円相当)と顧客の預け入れ資産約28億円が消失したというものです。後の調査によるとCEOであったマルク・カルプレス氏の横領の可能性が高いとされ、マルク・カルプレス氏は逮捕されています。
実際の調査でも外部からのハッキングによって消失した流出額は全体の1%にも満たず、マルク・カルプレス氏が就任直後の2011年から継続的に横領を繰り返していたこともわかっています。
その他、マウントゴックスは顧客資産と会社資産を分割せずに同じように扱っていたことや、マウントゴックスの口座はマルク・カルプレス氏のみが自由に管理できる状態であったなど取引所としての管理体制には問題があったと言えます。
事件の真相は謎のままですが、今回のような横領問題やサーバーに対するハッキング被害はコールドウォレット保管や顧客資産の分割管理、マルチシグネチャを採用することで対策を施すことができます。
現在、国内のほとんどの取引所でこれらのセキュリティが採用されていますが、海外の取引所が同様に整えられているとは限りませんので、十分にセキュリティ内容をチェックした上で利用するようにしましょう。
DAO事件
DAOとはイーサリアムのプラットフォーム上に構築されたプロジェクトのことで、ドイツのSlock it(スロックイット)が提供している自律分散型投資ファンドのサービスです。
2016年5月にDAOは独自のトークンを発行し、トークンを販売することで資金調達を行い、わずかな期間で多くの投資家から合計150億円もの資金を得ました。この金額は、クラウドファンディング史上最も高い金額を記録する結果となりました。
しかし、その後の6月17日にはDAOのシステム上の脆弱性を狙われ、調達した資金の3分の1以上が盗まれるという事件が発生しました。
この事件が発生したことで論争が起きましたがイーサリアムの陣営はこの盗難事件をなかったことにするためにイーサリアムのブロックチェーンを強制的にハードフォークさせる意思決定を下しました。
その結果、イーサリアムはイーサリアム(ETH)とイーサリアムクラシック(ETC)に分裂し、2つの仮想通貨が誕生しました。
仮想通貨は危ない?
仮想通貨は全く危なくありません。ただし、仮想通貨を取り扱う上で必要最低限の知識があってこそ安全に取り扱うことができます。
例えば、仮想通貨投資をする上でどのような取引所に自身の大切な資金を預ければいいのか、どのような仮想通貨に資金を投じればいいのかなどが挙げられます。
これらについて全く調べもせずに、なんとなくで資産運用を行なってしまうと想定外の損失を招いてしまう可能性があります。
危険な目に遭わないためにできること
仮想通貨取引をする上で危険な目に遭わないようにするためには以下の3点が重要です。
・セキュリティ対策が万全な取引所を利用する
・マイナーコインや詐欺コインを購入しない
順に紹介していきます。
自身でウォレットを管理する
仮想通貨取引を始めたばかりの方は、仮想通貨取引所の管理下にあるウォレットに資産を預けている方がほとんどだと思います。そのため、取引所の資産管理に依存することになりますので、外部から取引所がハッキングされたとしても自身でどうすることもできません。
しかし、自身で専用デバイスのコールドウォレットなどを所持すればその端末に自身の仮想通貨を保管することができるため、インターネット上から不正に資金が流出するリスクを避けることができます。
セキュリティ対策が万全な取引所を利用する
仮想通貨投資をするにあたり国内・国外と取引所は多く存在しますが、それぞれの取引所が採用しているセキュリティ対策は「コールをウォレット」「マルチシグネチャ」「二段階認証」など様々なものがあり取引所ごとに異なります。
例えば、ホットウォレットやマルチシグを採用しているかどうかを事前に把握することができれば、コインチェックやZaifを利用していたユーザーは盗難事件に巻き込まれずに済んだかもしれません。
国内では金融庁の規制強化によりセキュリティも強固になってきましたが、海外の取引所はご自身の判断でどのようなセキュリティ対策を行なっているかを確認する必要があります。
マイナーコインや詐欺コインへ投資しない
仮想通貨取引をしていると聞いたこともないマイナーコインや怪しいセミナーで聞く詐欺コインなどの勧誘に遭うことがあります。マイナーコインについては、将来的に可能性のあるものであれば一攫千金も期待できますが、その分、リスクも大きく情報収集が大変です。
また、マイナーコインを取り扱っているのは海外取引所になるため英語表示の取引所を利用しなくてはなりません。
これらを考慮すると取引自体の難易度が上がるため仮想通貨で危険な目に遭いたくないという方は利用しない方が賢明と言えます。
知っておきたい取引所のセキュリティ
仮想通貨取引所のセキュリティについて最低限知っておいてほしいセキュリティが以下になります。
・ホットドウォレット
・SSL暗号化通信
・資産の分割管理
・マルチシグネチャ
・二段階認証
順に紹介していきます。
コールドウォレット
コールドウォレット(コールドストレージ)とは常時インターネット環境から切り離されて保管されている仮想通貨ウォレットのことです。
コールドウォレットは、秘密鍵を紙に記録したペーパーウォレットや専用デバイスのハードウェアウォレットですので、紛失や盗難に十分に注意し厳重に管理する必要があります。
しかし、コールドウォレットを利用することで外部からの不正アクセスによる資金の流出を防ぐことができ、ユーザーは取引所に依存しない資産管理を行うことができます。
ホットウォレット
ホットウォレット(ホットストレージ)とは常時インターネット環境に接続されて保管されている仮想通貨ウォレットのことです。
ホットウォレットは、取引所での売買や入出をする際に利用するスマートフォンアプリの「ソフトウェアウォレット」や「ウェブウォレット」があり、インターネット環境があれば接続することができるため利便性に優れています。
ただし、今まで多くの取引所がホットウォレットに保管している資金を盗まれていることから分かるように、セキュリティレベルは十分ではありません。
SSL暗号化通信
SSL暗号化通信とはインターネット通信利用時の個人情報や決済情報を暗号化する技術のことです。SSL暗号化通信の技術を利用すれば、外部からの不正アクセスによる情報漏洩や改ざんのリスクを回避することができるため、国内ではほとんどの取引所がSSL暗号化通信をセキュリティ対策のひとつとして採用しています。
このSSLの暗号化には安全レベルが存在し、上から「A+」「A」「A-」「B+」の順にランク分けがされており、高いランクのものほど暗号が複雑で高度なセキュリティになります。
資産の分割管理
仮想通貨取引所は顧客資産と取引所の資産が混同しないようにウォレットを分割して資産管理を行なっています。
この対策で一度のハッキングを取引所が受けても資産をすべて流出するリスクを避けることができ、一部の取引所は顧客資産が流出された場合の全額保証サービスも提供しています。
マルチシグネチャ
マルチシグ(マルチシグネチャー)は、仮想通貨を送付する時の署名に複数の秘密鍵を使用するセキュリティです。
仮想通貨の送付に使用する秘密鍵がひとつハッキングされたとしても、他の秘密鍵がなければ仮想通貨の送付を完了させることはできません。また、第三者が2つ以上の異なるプラットフォームから秘密鍵をハッキングすることも非常に困難とされています。
そのため、マルチシグを利用すれば外部からのハッキングのリスクを抑えることができます。
その他、内部の人間による横領対策や秘密鍵を紛失した際のリスクヘッジとして、便利な役割を秘密鍵は持ち合わせています。
二段階認証
二段階認証はIDやメールアドレス、パスワードを入力した後に、認証コードを入力し二段階に分けてログインを行うセキュリティ対策のことです。
もし他のウェブサービスと同じID・パスワードを利用していた場合、その情報が漏洩してしまえば取引所に保管してある資金も流出してしまうリスクがあります。しかし、二段階認証を設定しておけばランダムで生成された認証jコードを入力しなければいけませんので、アカウントを乗っ取られるリスクを回避することができます。
二段階認証にはSMS認証やメール認証、専用アプリでの認証方法が存在しますが、なかでも、専用アプリによる認証のセキュリティレベルが高いとされています。まだ、二段階認証を設定していない方は早急に設定するようにしましょう。
まとめ
ビットコインをはじめとした仮想通貨の流出事件やセキュリティについて解説しましたが、いかがでしたでしょうか?
すでに仮想通貨の盗難事件は国内外で合わせても数年間で10以上もの取引所が数億円規模の流出被害を受けています。
取引所だから100%安心ということはありませんので、ご自身の資産を守るためにもハードウェアウォレットを利用したり、複数の取引所に資産を分割するなどしてリスクヘッジをされることをおすすめします。
また、取引所によって仮想通貨の管理方法は異なるため、取引所の社会的信用度やセキュリティ対策について注意深く確認した上で取引所を利用するようにしましょう。