セキュリティ性が高いコールドウォレットがハッキングされた?
2015年2月15日に、中国に拠点を置いている仮想通貨取引所『Bter.com(ビーター)』がハッキング被害に遭いました。公式の発表によると、被害額は7,170BTC(≒2億円)とされています。まだビットコインの価格が安かったので被害額も2億円程度で済みましたが、それでも仮想通貨業界での事件では大きな爪痕を残しました。
ハッキング被害に遭ったということで疑われたのが、セキュリティ対策がしっかりしていなかったのではないか?という疑念です。ハッキングが行われるということは、ホットウォレット(オンライン)による保管だった、だから盗まれたのだと。しかし、今回の事件発覚後に発表された報告によると、ハッキングを受けたシステムはコールドウォレット(オフライン)での管理だったのです。
コールドウォレットをハッキングするというのは、常識的には考えられないような出来事です。仮想通貨のセキュリティにおいて起こることは絶対にあり得ません。もし、本当にコールドウォレットでの管理でハッキングされたというのであれば、仮想通貨全体の信用問題に直結する問題として取り上げられるでしょう。では、この事件の裏側にはどのような問題が発生していったのか見ていきます。
コールドウォレットとは
そもそも、コールドウォレットとは何?と感じる人もいるでしょう。簡単に言ってしまえば、全てオフラインで管理しているお財布のことです。自分がいつも使っているお財布に仮想通貨を入れているようなもので、ネット上には一切残っていないのでハッキング被害に遭うことは絶対にあり得ません。コールドウォレットにはさまざまな媒体が存在しています。
たとえば、パソコンやサーバーに保管する方法もあります。パソコン上だとハッキングされるのでは?と思う人もいるかもしれませんが、インターネットに繋いでいない限りは侵入されることはないので安心してください。その他にも、紙媒体のものもありますしハードウェア(USBメモリのようなもの)もあります。ネットワーク上のサーバーに預けているものでも、署名のために必要なパスワードをオフラインで管理しているのもコールドウォレットとして数えられます。
逆にホットウォレットは、全てオンライン上での保管になっているのです。オンライン上での管理ということは、ハッキング被害に遭う可能性が高いということになります。その分、利便性はコールドウォレットとは比にならないほど高く、本来であればコールドウォレットでの管理にすべき仮想通貨取引所でも、ホットウォレットでの管理にしているところもあるくらいです。
このように、コールドウォレットではハッキングなどの攻撃リスクを最小限に抑えてくれる力があるのです。基本的には、総預かりの60%以上はコールドウォレットで管理することを推奨されています。しかし、プライベートキー(秘密鍵)を無くしたり、他の人の手に渡ったり、送金の際に手続きを間違えてしまうと盗まれる可能性や消滅する危険性も充分にあるので注意してください。
以上のことから、コールドウォレットで管理していたはずのBTERからビットコインがハッキングされる訳がないのです。ユーザーの資産を守るためにネットワークから隔離された場所に保管していたものが、ネットワークを通じて流出したのであれば仮想通貨の信用は暴落し、大問題となってしまうでしょう。
BTER取引所ハッキング事件の原因は?
コールドウォレットに保管していながらハッキングに遭ったということから、どのようにしてハッキングが行われたのか自分には分かりません。BTER取引所側の主張も一貫してコールドウォレットに保管していたがハッキング被害に遭ってしまったというものでした。しかし、どのような流れでハッキングが行われたのかは明らかにされていません。本当にコールドウォレットに保管していたのか疑問視してしまいます。そんな中でも、原因として挙げられるのは以下の3つだと考えられている。
1.コールドウォレットではなかった
2.不完全なRNGが生成する乱数を使用してアドレスを作成したことで署名を解析された
3.内部による犯行
これらは、あくまで原因として考えられる話です。BTER取引所側が正式な原因を発表をしていないので確実な情報を分かりません。しかし、これまでのビットコインウォレットに対する攻撃の傾向から原因を搾ることは可能なのです。良くも悪くも、ハッキング被害の手口とは似てしまうのです。
まずは、単純にコールドウォレットを使用していなかったからハッキング被害が出てしまったという説です。この説には二通りの可能性が考えられます。一つ目が、サーバーに対する攻撃が成功して、そのままクラッカーが秘密鍵を見つけ出して流出してしまったというものです。もう一つが、侵入したクラッカーが内部的なシステム開発者の個人情報を入手して、それを利用してアクセスフリーになったことで自由に流出出来たというものです。
上記の説が生まれたのには理由がありました。実は、BTER取引所はこの事件より前にハッキング被害に遭っているのです。2014年8月に5100万NXT(ネクストコイン)が盗まれたということでした。当時のレートでも日本円にして約2億円の被害と大きいものでした。この事件が起きた理由が上記の、『侵入したクラッカーが内部的なシステム開発者の個人情報を入手して、それを利用してアクセスフリーになったことで自由に流出出来た』だったのです。そのため、対策をせずに同じようなことになったのでは?とされているのです。
内部による犯行に関しても可能性は充分にありますよね。どのようなセキュリティをしているのか、そのセキュリティのどこに穴があるのか、セキュリティを突破する方法など知っていれば簡単にハッキング出来る訳ですから。BTER取引所がハッキング事件の情報を提示しないことも相まって、内部による犯行が濃厚だと考える人も多いです。仮想通貨取引所にとって、内部によるハッキングだとバレたら完全に終わりですから、本当にもみ消したのかもしれませんね。
ずさんな管理
このように、元からずさんな管理をしていたBTER取引所だったことから、今回のハッキング事件による同情の声は少なかったです。ハッキングされても当たり前、しっかりとしたセキュリティ管理を怠っていた、何も学習していないなど痛烈な意見の方が多かったでしょう。しっかりとした管理の上で、誠意あるしっかりとした対応をしている取引所であれば、コミュニティも多くの同情の声が出てきたはずです。
仮想通貨はデータ上にある仮想のお金です。しかし、そんなデータにもしっかりとした価値が付いているのです。法定通貨にも替えることも出来ますし、実際の買い物にも決済方法として認められています。多くの店が導入を開始しているくらいです。そんな大切な資産を扱っているという意識を持たなくてはいけません。仮想通貨取引所は、厳格なセキュリティを維持して事業に臨むべきだと考えます。
ハッキング被害に遭わたない為の対策
ハッキング被害に遭わないためにはコールドウォレットで保管するのが一番でしょう。しかし、今回のBTER取引所のようにコールドウォレットに保管していたがハッキング被害に遭ったと発表する取引所も出てくるかもしれません。そう考えると、自分で管理するのが一番安全で対策もしやすいでしょう。もちろん、管理にはコールドウォレットを使用してください。
個人での管理
個人での管理でコールドウォレットを使うとなると、一番安全で簡単なのがハードウェアウォレットです。完全なオフラインであり、秘密鍵(プライベートキー)がなければ取引の出来ないところで確かな安全性が保障されています。ハードウェアウォレット自体は少し高いですが、少しの出費で大きな資産を守れるのであれば安いものだと割り切って購入をオススメします。
ただし、ハードウェアウォレットによって対応している通貨と対応していない通貨があります。特に草コインと呼ばれるアルトコインの中でもマイナーな通貨には非対応なものが多く、その場合は他のコールドウォレットを使用しましょう。たとえば、紙媒体で保管するペーパーウォレットやデスクトップ上で保管するローカルウォレットなどがあります。
これらの保管方法であれば、ネットを通じたハッキング被害に遭うことはありません。しかし、ハードウェアウォレット自体を落とす・無くす、ペーパーウォレットであれば汚れたり破れたりするなど弱点も当然あります。秘密鍵などが無事であれば、資産が奪われる心配は少ないですが保障はありません。だからこそ、しっかりとした自己管理が必要となってきます。
ウォレットと秘密鍵を同じところに保管しない、ウォレットを野外に持ち出さない、汚れ・破れやすい環境に置かない、二段階認証をしっかりと設定しておくなど気を付けることは多数あるのです。個人で出来ることは抜け目なくやっておくことが、個人保管での大事な要素となっています。
取引所で保管する場合
まずは、セキュリティ管理がしっかりしている取引所を選びましょう。取引所だけの情報を頼るのではなく、掲示板や口コミなどの情報もしっかりと集めてください。本当にその取引所はコールドウォレットでの管理を徹底しているのか、ハッキング被害対策はどのようなものを提唱しているのか、もしハッキング被害が出た際にはどのような対策を取るのかなどです。
しかし、掲示板などでの評判を全て鵜呑みにするのは危険です。全てが本当のことを書いている訳ではありません。中には適当な情報も書かれています。それを見極めるためにも、多くの掲示板を読んで情報の摺り合わせを行わなければいけません。セキュリティ管理の情報などが本当だと確信出来てから利用を考えましょう。
取引所が推奨しているセキュリティ対策のために必要なことは自分でもやっておく必要があります。特に多いのが二段階認証の設定です。これを設定するかしないかだけでもセキュリティ性能に大きな差が出ます。設定自体は難しくないのですが、意外と後回しにした結果やってない人が多いです。しかも、ハッキング被害などの補償条件として二段階認証をしていることが挙げられます。二段階認証は必ず設定してください。
まとめ
コールドウォレットで保管しておきならが発生してしまったハッキング事件でした。本当にコールドウォレットのみで保管していたのであれば、原因をしっかりと見つけてくれないと預けるのも怖くなりますよね。今では仮想通貨取引所もセキュリティ対策に力を入れています。しかし、それでも完璧というものはありません。自分で守れる部分はしっかりと守っていきましょう。個人的には、ハードウェアウォレットの利用を推奨しますよ。
