目次
仮想通貨取引所「Coincheck」から580億円相当のコインが流出
1月26日に仮想通貨取引所「Coincheck」に保管されていたNEMの不正流出が明らかになり、その額は約580億円相当にのぼることがわかりました。その原因としては、ホットウォレットに保管されていたこと、マルチシグネチャが実装されず、セキュリティの甘さがハッキングに繋がったと現時点で伝えられています。
ホットウォレットとコールドウォレットとは
一見何かのアプリケーションと思われるかもしれませんが、暗号鍵から計算で導かれる概念的な単なるアドレスのことです。
コールドウォレットとはインターネットに接続されていない端末で用いるアドレスということです。イメージとしては家に置いた金庫のようなものです。
ホットウォレットとはインターネット上に接続された端末で用いるアドレスのことです。よく言われるイメージでは、普段から持ち歩く財布のようなもの。
インターネットに接続されていれば、外部から脆弱な侵入経路を探せば侵入することができます。今回のCoincheck騒動では、まさに外部からの侵入によって鍵の置き場がバレてしまったということになります。
コールドウォレットによるビットコインの管理
当時、Mt.GOX(マウントゴックス)のコールドウォレットの管理は完全なオフライン状態で行われていなかったため、安全性が確保されていませんでした。
coincheckでは、お客様からの預り金の内、流動しない分に関しては安全に保管するために、秘密鍵をインターネットから完全に物理的に隔離された状態で保管しています。
CoincheckのHPには、皮肉にも過去の教訓を活かした旨が記載されています。実際にコールドウォレットで管理されていたのはビットコインやイーサリウムで、NEMは何故かホットウォレットで管理されていたようです。
マルチシグネチャ(マルチシグ)とは
直訳ではMulti(複数の)のsignature(署名)ということ。通常の取引では電子署名は1つでいいのですが、これを複数の署名を必要として権限を分散させることで、取引のガバナンスを強化します。つまり、複数名の承認がないと送金ができないということ。ワンドアロックの家より、ツードアロック(それ以上)の方が防犯性が高いようなものです。
今回のCoincheck騒動では、NEMにはこのマルチシグネチャが実装されていなかったということです。
【教訓】取引は取引所、資産保全はウォレットで
Mt.GOXの閉鎖には諸説ありますが、またしても取引所に預けていたコインが消失するという事態が起こりました。やはり取引以外のコインを預けておくのは危険と再認識させられます。
ウォレットにも様々な種類がありますが、最も安全性が高いのはハードウォレットです。
ハードウォレットは、USBメモリ程度の大きさの機器を用いて取引署名を行うものです。
Ledgerは1万5千円ほどで、内部で鍵の管理のみを行い、電子署名自体はPC側で行います。
対応通貨は以下の通りです。
Bitcoin (BTC)
Bitcoin Cash (BCH)
Bitcoin Gold (BTG)
Ethereum (ETH)
Ethereum Classic (ETC)
Litecoin (LTC)
Dogecoin (DOGE)
Zcash (ZEC)
XRP a.k.a. Ripple
Dash (DASH)
Stratis (STRAT)
Komodo (KMD)
Ark (ARK)
Expanse (EXP)
Ubiq (UBQ)
Vertcoin (VTC)
Viacoin (VIA)
Neo (NEO)
Stealthcoin (XST)
Stellar (XLM)
Hcash (HSR)
Digibyte (DGB)
Qtum (QTUM)
PivX (PIVX)
一方Trezorも同程度の価格ですが、鍵の管理と電子署名を1つの機器内で行えます。
しかし対応通貨が少ないのが難点です。
Bitcoin (BTC)
Litecoin (LTC)
DASH
Zcash (ZEC)
Bitcoin Cash / Bcash (BCH)
Bitcoin Gold (BTG)
※共にamazonやメルカリ等に出品されていますが、改ざんされている可能性も否定はできないので公式サイトから購入するようにしましょう。
・ソフトウェアウォレットについて追記します