サイバーセキュリティ

ちゃんとやってる?仮想通貨のハッキング対策で考えるべき4つの事

仮想通貨のセキュリティ対策、何かやってます?

昨日次のようなツイートが拡散されていました。


不正アクセスで盗まれてしまったようです。

この方はbitFlyerユーザーのようですが、「知らないうちにアクセスされてしまい、しかも2段階認証も登録ちゃんと設定していたのに、知らないうちに勝手に送金されてしまった」、とのこと。
これは「bitFlyerの問題ではなく、どちらかというとユーザー側の問題なんじゃないか?」と考える人もいて、調べてみるとこれまでにも似たような事例は何度かあったようです。

正直言うとボクも不安になったので、今日はハッキング対策について紹介します。


過去にあったハッキング被害の種類

基本的に多くの被害は以下の3つのパターンに分けられます。

  1. 仮想通貨への51%アタック
  2. ウォレットや取引所アカウントへの不正アクセス
  3. 取引所への不正アクセス

以後、これを念頭に読み進めてみてください。

取引所へのハッキング

多くの取引所は中央集権的な形式を取っています。

取引所には大量の資金が眠っている

まず知っていて欲しいのは、中央集権的な取引所においては各ユーザーの仮想通貨は実際のブロックチェーン上に書き込まれていません。
取引所から仮想通貨を外部ウォレットへ出金するまでは、単なる取引所内のデータベース上の操作で資金が増えた減ったを記録しているだけに過ぎません。
なので取引所自体への攻撃が成功してしまうと、いとも簡単に仮想通貨は盗まれてしまいます。

今後もハッキングは続く

そして、中央集権的な取引所には大量の資金があるということから、ハッキングする側にインセンティブが働きやすい。
これはコインチェック問題が未だに解決されないことが物語っています。
それを受け、最近の取引所の多くは「コールドウォレットに保管しているので安全だ!」と謳ってますが、取引所自体がアタックされるリスクや内部者からの犯行リスクは今後も消えないでしょうね。

この中央集権的な取引所に対して、新しく生まれたのが非中央集権的な取引所(DEX)です。
個人的には正統進化だと思ってます。
DEXについては過去記事参照。


自分でできるハッキング対策4選

所有する仮想通貨を時価総額の高い通貨に限定する

時価総額の高い通貨は安全性が高いです。
それは時価総額が何故高いのかということを考えれば分かります。

仮想通貨が買われる理由としては、もちろん新技術に対する期待や投機としての値上がり期待が多いですが、Goldのような安全資産としての期待もあります。
そして、時価総額の高さはコミュニティの大きさに比例してくるため、結果として通貨自体に対するチェック機能が優れる理由となります。
また、5月は時価総額の低い銘柄を中心に51%アタックが頻発しましたが、この手のリスクに対しても時価総額の高さがそのまま防御壁になります。
仮想通貨を攻撃するのに必要な機材の準備に必要な資金額が、時価総額の低いものほど安くなるからです。

このように、時価総額という指標は安全性の面において重要なポイントと言えるのです。

使用するデバイスのセキュリティ対策を万全に

OSやブラウザは常に最新状態にする

OSのアップデートを放置してる人が結構いますが、仮想通貨をやるならしっかりやっとくべきです。
アップデートの内容にはセキュリティ対策も含まれているためです。
使用するブラウザやその他のアプリケーションに関しても同様です。
絶対に忘れずに行いましょう。

セキュリティ対策ソフトを導入する

これも必須です。
全てのベースになるので、セキュリティ対策ソフトに関してはケチってないで有料のソフトウェアを入れといたほうがいいです。

ブラウザのプラグインは極力減らす

プラグインの不用意な追加は止めといたほうが良さそうです。
プラグイン自体が不正アクセスを目的に作られてる場合があるためです。

怪しいサイトや漫画村のような違法性のあるサイトには近づかない

サイトを見ただけでウイルスに感染することがあります。
違法コンテンツをエサにしているサイトの中には、そういったサイトもあると思うので、法的にもなるべく触れないでおいたほうが身のためです。

取引所から外部のウォレットでの管理に切り替える

外部のウォレットで管理するというのは一つの手です。
ウォレットは3つのタイプに分けられます。
以下ではそれぞれのタイプのウォレットについて説明していきます。

ソフトウェアウォレット

ソフトウェアウォレットとは、PCやスマホ上で動作するアプリ型のウォレットです。
このウォレットの特徴は、とても利便性が高いこと。
EthereumのDappsゲームなどをやる場合には必須となっています。

有名なアプリとしては以下のようなものがあります。

  • Bitcoin Core
  • MyEtherWallet
  • MetaMask
  • Ginco

この他にも、たいていの仮想通貨は独自の公式ウォレットを作ってたりします。

ただ、サードパーティ製のアプリには注意したいことが1点あります。
サードパーティ製のアプリにはリスクもあるようです。
以下の事例では、アプリ開発企業の内部者による犯行によって仮想通貨が盗み出されています。
しかも日本。

サードパーティ製のアプリには便利なものが多いのですが、こういったリスクがあると認識した上で使うようにしてください。
個人的にはオープンソースで開発が進められているものに限定したほうがいいのかな、と感じてます。
また、その際は全額でなく資金の一部に限定した使用したほうがいいでしょう。

ハードウェアウォレット

ハードウェアウォレットは、仮想通貨をオフラインで管理・保存することを目的とした専用のデバイスです。
コールドウォレットの1種です。
中には一部のソフトウェアウォレットと連携することが可能な利便性が高いウォレットもあります。
ハードウェアウォレットは電子デバイスなので、当然故障リスクがありますが、ハードウェアウォレット自体のリカバリーフレーズにより、別のデバイスを用意すれば復旧が可能となっています。
日本では「Ledger Nano S」「TREZOR」が人気ですね。

ただ、このハードウェアウォレットにも注意点があります。
リカバリーフレーズは24の英単語で作られています。
このリカバリーフレーズはデバイスの初期設定時に作成されます。
この仕組みを悪用し、事前に初期設定したものを販売する業者もいるようです。
リカバリーフレーズが事前に第三者に読み取られていると、いとも簡単に不正アクセスができてしまうからです。
なので、購入するのであれば正規代理店を通して買うように心がけ、初めて使用する際には初期設定が既にされてしまっていないか確認しましょう。
また、このリカバリーフレーズが盗まれてしまえば同様のことが起きるので、リカバリーフレーズの保存がかなり重要となってきます。

ペーパーウォレット

最後にペーパーウォレットです。
こちらもコールドウォレットの1種です。
これは一番原始的な方法であるがために、一番安全な保管方法かもしれません。
名前通り、紙などに秘密鍵を書きつけることで保管する方法です。

ハードウェアウォレットも安全性は高いですが、これも事実的には企業によって作られているので、もしかするとサードパーティ製のアプリと同様な事件が今後起きるかもしれません。
その点、ペーパーウォレットはただの紙とインクでできてます。
物理的に盗まれたり、焼失しない限り大丈夫。
目に見えないリスクほど怖いものはないと思ってるので、そういった意味では安全かもしれません。

以下、ペーパーウォレットの特徴です。

  • ネットと完全に断絶している
  • ネットと断絶しているため、頻繁なアクセスには不向き
  • 目に見えないリスクがない
  • 焼失のリスクがある
  • 文字が読めなくなるリスクがある
  • 物理的に盗まれるリスクがある
  • 仮想通貨の数だけ秘密鍵を保管する必要がある

Scroll to Top