仮想通貨取引所の安全性について考えてみた。マルチシグって?コールドウォレットって?

Pocket
LINEで送る

こんにちは、丸の内OLの玲奈(@reinabb3)です!(•̤̀ᵕ•̤́๑)

1月はコインチェック社のNEM不正流出事件を振り返りマルチシグ、コールドウォレットというワードが気になった方も多いのではないでしょうか。

今回はこれらのキーワードを振り返り、取引所の安全性について考えてみました。

公開鍵と秘密鍵って?

マルチシグなどの解説に入る前に、公開鍵・秘密鍵という仮想通貨の重要ワードも簡単におさらいしましょう。

仮想通貨は公開鍵(皆が見れる暗号)と秘密鍵(自分しか見れない暗号)があり、それを利用することで送金や受取ができます₍₍ (ง ˙ω˙)ว 

顧客ごとにウォレットと呼ばれる電子財布で管理するのですが、このウォレットの管理に使われるのが「公開鍵」と「秘密鍵」という二つの鍵です。

まず、公開鍵とはデータの暗号化に用いる鍵で、第三者に公開してもよい鍵です。

自分のアドレスを作る元になる鍵のことで、例えるなら自分に送金してほしい口座番号のようなものです。

送信者は送られた公開鍵を用いて仮想通貨を暗号した上で送金します。

これに対し、秘密鍵とは、持ち主によって秘密に保持される鍵です。

送信者から送られた、暗号化された仮想通貨を解読(復号)する際に使います。

公開鍵とは異なり、他人に知られてはいけない鍵でウォレットの操作をするために必要な鍵です。

秘密鍵は自分の仮想通貨であることの証明ができる唯一の鍵なので秘密鍵を持っている人にしか、そのアドレスにある仮想通貨を動かすことができません。

ただ、仮想通貨には中央の管理者がいないため、仮に秘密鍵で他人に知られてしまい、不正操作されてしまってもどうすることができなくなります(;ω;`)

マルチシグって?

この公開鍵認証方式には、弱点もあります。

それは上記でも説明した通り、秘密鍵が第三者に盗まれてしまった場合、第三者がログインすることができてしまい、第三者が送金を可能にしてしまう点です。

取引所の場合、顧客が預けたコインは一つのウォレットにまとめて管理されています。

ウォレットのコインを取り出すためには、秘密鍵が必要です。

この秘密鍵が何者かに盗まれてしまうと、悪用されてしまいコインチェックのような不正流出が起きてしまうのです。

この懸念点を解決するためマルチシグネチャーと呼ばれる通常のセキュリティシステムより更に上級なシステムが考えられました(∩`ω´)⊃)) 

複数(マルチ)の署名(シグネチャー)を利用して、複数の合意が得られないとトランザクションの処理を進めることができないシステムです。

もっと簡単に説明すると、一つの秘密鍵を分割し複数の保管場所に保管します。

全ての鍵が揃わないと、ウォレットにアクセスがでず取引ができない仕組みです。

ハッキングしようとする第三者も、一箇所の端末ではなく複数の箇所の端末を同時に攻撃しなければいけないので、セキュリティの強度が格段に上がります╭( ・ㅂ・)و ̑̑ グッ !

仮に一つの秘密鍵が盗まれてしまっても、ハッカーによる不正取引は不可能となります。

マルチシグの2 of 3方式

マルチシグの方式には『2 of 3』があります。

この場合「3つの秘密鍵の内、2つの鍵が必要」ということになります。

仮にハックされて秘密鍵のうち1つが流出したとしても、もう1つの秘密鍵も盗まない限りコインを盗むことはできません。

秘密鍵を分散して管理することで、ハッカーは別々の場所に保存されている秘密鍵を盗まないとならないので、同時に2つの場所に侵入することは非常に困難になります。

コインチェック社のNEM流出事件の原因の一つとして、マルチシグ非対応であったことが挙げられています。

通常(マルチシグでないもの)は、秘密鍵は一つの端末やパスワードに依存しています。

つまり攻撃の対象が一つであり、パソコンがウィルスにかかったり、パスワードをハックされたりすると自分のコインを失うリスクがあることになります。

マルチシグ対応の取引所は?

国内では、例えばbitflyerがマルチシグを対応しています٩( ‘ω’ )و

仮想通貨の取引に必要なウォレットはサーバー側が保持しているので、取引所側(この場合だとbitflyer)が秘密鍵の管理をしているということになります。

マルチシグ対応と言っても、実際に取引所がどのような方法で複数の秘密鍵を管理しているかは実際には分かりません。

鍵が複数だとしても、例えば同じ所に鍵が保存されていれば意味がなくなります。

個人のユーザーは取引画面を見ても秘密鍵を持つような操作はないので、サーバー側が管理していることになります。

マルチシグ=100%安心できると鵜呑みにしないようにするのが、良いかもしれませんね…。

コールドウォレットって?

コールドウォレットはインターネットに接続されていない状態のウォレットのことを指します。

これとは逆にホットウォレットとは、インターネットに接続された状態のオンラインのウォレットになります。

ホットウォレットはインターネット経由での攻撃の危険性はもちろん高くなります。

コールドウォレットは、秘密鍵を紙に書き出すペーパーウォレットと、メモリなどの外部装置に秘密鍵を保管し、管理するハードウェアウォレットがあります。

取引記録や残高はブロックチェーンという分散型台帳に保管されるので、 オフラインであっても記録は残っています。

よってオフラインでの状態で保管することができるので、ハッキングのリスクはもちろん防げることができます。

ただし、取引所のすべてのコールドウォレットの状態で保管するには リアルタイムの取引のためにわざわざ、オンラインのウォレットに戻す作業が必要となり、取引そのものがいつでもできなくなってしまいます。

全てをコールドウォレットで管理することは難しく、コールドウォレットとホットウォレットを併用して管理しています(´・ε・̥ˋ๑)

各取引所のセキュリティ対策

今回の事件の後、いち早く会社としてのセキュリティ方針を発表したbitbankを筆頭に、各社でセキュリティ方針を発表しています。

以下リンクで、各取引所のセキュリテイ方針のページを確認できます。

bitbank

bitFlyer

Zaif

bittrade

GMOコイン

DMMBitcoin

どの取引所もコールドウォレットとマルチシグに対応していると記載されており、大きな差別化要素にはなりません。

玲奈のおもうこと

ホットウォレットやコールドウォレットの違いでも述べていますが、今一度ご自身の管理手法を理解しておく事をお勧めします(・ω・`)

100%安全な管理方法などは存在しませんが、それでもリスクを少しでも低くするべく次の2点を実践していきましょう。

・取引所ごとにメールアドレスとパスワードを変更し、使い回さない

・売買しない通貨はハードウォレットで管理する

取引所ごとにメールアドレスとパスワードを変えていると管理がとても大変です(´・ε・̥ˋ๑)

玲奈は1Passwordというアプリで管理しています。

1Passwordについては詳しくはこちら

▽ハードウォレットについての過去記事はこちら

このブログを書いている人

丸の内OL3年目の玲奈です。2017年6月から仮想通貨投資を始めました!

誰にでもわかるブログを目指します(∩˃o˂∩)


仮想通貨を買う前に必ず読んでください

▼玲奈おすすめの取引所ランキング

仮想通貨を初めて買うなら手数料が安いZaif取引所が一番おすすめ!

いろんな種類の仮想通貨をお得に買える取引所

人気のリップルを買うならビットバンク!

▼仮想通貨取引に最適なネット銀行

振込手数料無料の住信SBIネット銀行

仮想通貨取引で使うなら住信SBIネット銀行

住信SBIネット銀行のメリット・デメリットはこちら

Pocket
LINEで送る