仮想通貨を取引所に預けておくのは危険。コインチェック不正流出から学ぶ仮想通貨セキュリティ

仮想通貨の国内取引所の「コインチェック」で5.2億NEM（日本円換算で580億円・当時）が不正出金されるという大事件が起こりました。今回の件で出金されたのは顧客がコインチェックに預けていた仮想通貨だという事で“仮想通貨を取引所に置きっぱなしにしておくことのリスク”が改めて確認されました。

今回の問題はコインチェック側の管理体制も大きいのですが、今回の問題が起こった理由と、ユーザーベースでどのように対応するべきなのかといったことをまとめたいと思います。

コインチェックの不正出金問題の概要

• 2018年1月26日に顧客の5.2億NEMが不正送金される
• 同日NEMを含めた仮想通貨の入出金、日本円の出金が停止される
• 同日深夜に記者会見
• 2018年1月27日にNEMを日本円で変換するとCC社が発表（時期未定）

こんな感じです。5.2億NEMというのは不正出金当時は580億円にものぼるとんでもない金額となります。なお、コインチェックはこれを日本円で返金すると発表していますが、時期は未定という空手形となっています。

返金できるのかどうか？というのは続報を待つとして、なぜこのような問題（不正出金）が行われたのかを振り返ってみましょう。記者会見で分かったことは以下のとおりです。

1. ホットウォレットで仮想通貨（NEM）を管理しておりコールドウォレットを使用していなかった
2. マルチシグネチャを導入していなかった

キーワードとして出てくるのは“ホットウォレット”、“コールドウォレット”、“マルチシグネチャ”と言う3つですね。

 

ホットウォレットとコールドウォレットとは何か？

仮想通貨はウォレット（財布）で管理されていますが、これにはいろいろな種類があります。

今回のコインチェック問題で指摘されたホットウォレットというのは、オンラインに接続されたウォレットという意味になります。外部から操作することができるので入出金が容易（便利）です。一方でインターネットに接続されているので不正利用されるリスクが高いとされています。

一方のコールドウォレットというのはインターネットから分離されたウォレットです。ハードウェアウォレットなどに代表されます。

コインチェック社でもビットコインの管理（サービスの安全性）で以下のように述べています。

当時Mt.GOXのコールドウォレットの管理は完全なオフライン状態で行われていなかったため安全性が確保されていませんでした。coincheckでは、お客様からの預かり金の内、流動しない分に関しては安全に保管するために、秘密鍵をインターネットから完全に物理的に隔離された状態で保管しています。

うーん。“流動しない分に関しては”というエクスキューズがありますが、コインチェック社はNEMをコールドウォレットでは保管せずにホットウォレットで管理していました。

もっともコールドウォレットで保管していたとしても“物理的に”盗まれてしまうリスクはあるわけですが……

 

マルチシグ（マルチシグネチャ）とは何か？

もう一つのキーワードが「マルチシグ（マルチシグネチャ）」です。

こちらは一つの仮想通貨のアドレスに対して複数の秘密鍵をあてるという技術です。簡単に例えると、金庫の鍵を一つではなく、複数の鍵にするというものですね。

誰か一人が悪意を持ってウォレットにアクセスしたとしても、他の人の同意がないと鍵を開けられないというものです。これは仮想通貨NEMの得意分野ともいえる機能の一つでした。

これが“準備に至れていなかった”と言う話だったようです。

 

ユーザーができる仮想通貨のセキュリティ対策

セキュリティ対策として重要なのは、取引所を過信しないというところでしょうか。

今回の事件で驚くべきことの一つは、コインチェックという仮想通貨の取引所の中で扱っている一つの仮想通貨として580億円相当もの仮想通貨があったという事です。

取引所には相当な量のお金があるということになります。そうなってくると悪いことを考える人も少なからずいるでしょう……。

 

1）取引所のログイン情報等を守る

まずは基本中の基本です。取引所へのログイン情報を守りましょう。

• ID、PWは使いまわしをしない
• 公共のWi-Fiは使わない
• SNS認証を使って取引所に登録しない
• 二段階認証を必ず設定する

今回のコインチェック問題では、これらの対策を行っていても意味はなかったのですが、個人レベルで不正利用されるリスクも当然考慮するべきです。

また、今回のようなことが何度も起こるという事は考えたくないものですが、仮想通貨取引所は複数作っておいた方が“取引できないリスク”を防ぐことができます。

 

2）まとまった仮想通貨はハードウェアウォレットに移す

取りうる対策として、保有する仮想通貨はハードウェアウォレットに保管するという事でしょう。ハードウェアウォレットに仮想通貨を移しておけば、たとえパソコンをハッキングされたとしても仮想通貨を守ることができます。

仮想通貨取引をしている方の中には数百万単位、数千万単位の仮想通貨を保有している方もいらっしゃるかと思います。

• いちいち、仮想通貨を移動させるのが面倒
• わざわざハードウェアウォレットを買うのはもったいない

こうした理由で仮想通貨を取引所に預けっぱなしにしている方は、“適切な管理ができていない”という状況なわけです。

手間やコストを惜しんで多額の通貨（資産）を失うことになっては意味がありません。

・レジャーナノエス
代表的なハードウェアウォレット。ビットコイン、イーサリアム、イーサリアムクラシック、ライトコイン、ジーキャッシュ、リップル、ドッジ、ダッシュに対応

＞＞レジャーナノエス公式ホームページ

今回のコインチェック問題のように、取引所が停止したとしてもハードウェアウォレットに保管しておけば、取引可能な他の取引所に仮想通貨を入金して売買するということも可能になります。

 

以上、コインチェックの不正流出から学ぶ仮想通貨のセキュリティについてまとめてみました。