...
35億円流出のBITPoint、業務再開
ハッキングについて再認識
2019年8月6日
| 目 次 |
|---|
| 1.主な日程 |
| 2.ハッキング当時の状況 |
| 3.セキュリティの仕組み |
| 4.コインチェックはどうだったのか? |
| 5.今後ユーザーが取るべき対応 |
こんにちは。 2019年7月11日にハッキングによって約35億円相当の顧客資産を流出させたBITPointが 2019年8月6日からサービスを再開するようです。
■ 1.主な日程
2019年8月6日:法廷通貨の入出金サービス
2019年8月9日:証拠金取引サービス
2019年8月13日:現物取引の売買サービス
2019年9月以降:その他のサービスを順次再開
■ 2.ハッキング当時の状況
約5万人のBTC(ビットコイン)、BCH(ビットコインキャッシュ)、 ETH(イーサリアム)、LTC(ライトコイン)、XRP(リップル)の 5通貨、約35億円分がハッキングにより流出。
BITPointはアイ・エス・レーティングによるセキュリティ審査で「A」を獲得しているほど この業界ではセキュリティが強い事で有名だったので衝撃的な出来事でした。 「A」は金融・証券企業と同等レベルで、「A」以上の「AA」「AAA」は国家機密情報レベルを示唆します。
ここで、取引所のセキュリティの仕組みがいまいちわからない方に簡単に説明したいと思います。 一概にはこうではないですがだいたいこんな感じです。
■ 3.セキュリティの仕組み
・取引所がユーザーから出金依頼を受ける。
・取引所がネットワーク外のコールドウォレットからネットワーク上のホットウォレットへ資産を移動させる。
・ホットウォレットからユーザーへ出金手続きを行う。
BITPointでは、ホットウォレットから出金する際、 マルチシグ対応しているため複数の秘密鍵により処理を行います。 1つでも秘密鍵が欠けてしまうと出金する事ができません。
※通貨によってはマルチシグでないものもありますがだいたいこんな感じです。
この方式は ハッキングするために複数の秘密鍵を盗まなければならないため 通常よりも高いセキュリティレベルでホットウォレットを管理する事が 可能になります。
さらに秘密鍵は暗号化が施されており秘密鍵が外部に漏れた場合でも暗号化を解かない限りは 資産を抜き取られないよう二重のセキュリティ管理がなされていました。
BITPointでは、基本的に資産はネットワークから切り離されたコールドウォレットに保管されていて、 出金依頼分だけをマルチシグ対応のホットウォレットへ移動する運用だったためホットウォレットからの流出で済んでいます。
ちなみに約580億円相当のハッキング被害(当時のレート)を受けた時のコインチェックではどのようなセキュリティ体制だったのかと 言うと・・・
■ 4.コインチェックはどうだったのか?
コインチェックでXEM(ネム)がハッキングされた際、出金以外の顧客の資産を全てホットウォレットで管理していて さらにはマルチシグにも対応していないというガバガバの状態でした。
家の窓ガラス割って入ったらテーブルの上に580億円置いてあったって感じですかね・・・
そのような大事件を引き起こしたコインチェックも現在ではセキュリティ強化により 顧客の資産はしっかりコールドウォレットで管理され、 金融庁からの正式な営業許可もおりているので問題はないとされています。
イベントのようにやってくるハッキングですが、 今回の件で国家レベルのセキュリティを求められている事がわかる事件だったのだと思います。
ちなみにユーザー数3000万人を誇るアメリカの取引所Coinbase(コインベース)では、顧客の資産は全て電波遮断シールドで覆われた部屋の中で 保管されており電波ジャックさえも防ぐ仕様になっています。
さすが、世界一の軍事大国アメリカ・・・ もはや軍事施設です。
というかここまでやらなければいけないという事ですよね。 先ほど述べた国家レベルでのセキュリティとはまさにこの事なので、 これができない取引所は今後淘汰されていくかもしれませんね。
■ 5.今後ユーザーが取るべき対応
おそらく今参加しているユーザーの多くは世の中に普及する前に 仕込んでおきたいと考えている方が多いと思います。
うまくいけば資産を増やせる可能性は高いと思いますが、 仮にビットコインのデータが改竄された!みたいな事件が 起こると市場が崩壊する可能性があったり、今回のように 高セキュリティの取引所がハッキングされたりと 今後まだまだ事件が起きる事を前提でやるべきだと思います。 未成熟な市場で取引所も開発者達も試行錯誤しながらやっているため ユーザー自身もやれることはなるべくやってリスクを減らす努力は しなければなりません。
※ビットコインは誕生以来データを改竄された事がありません。
非中央集権型であり個人間で送金可能の世界共通の通貨を 中央集権的な取引所で管理するというのもなんか矛盾している感がありますしね。
取引所はあくまでも通貨を交換する場で ハッキングされて被害者の会を設立する場ではありません。
リスクを分散させる方法としては以下のような方法がありますので せひ参考にして下さい。
①1つの取引所に資産を集中させない。
初心者でまだ自分で管理する方法がわからない方でも 複数取引所に登録する事はできると思いますので分散させるべきです。
②ハードウォレットで資産を管理する。
秘密鍵をUSBスティックのような専用デバイスで管理します。 資産が入っているデバイスを自分で管理するため使い方を誤ると二度と資産を取り出す事が不可能になりますが、 今現在出回っている保管方法の中で最もハッキングされにくい管理方法です。
③各通貨の専用ウォレットで管理する。
各通貨で公開されている専用ウォレットではセキュリティに特化したものが 多いのでこちらで管理するやり方もありますが、中には 誰かが趣味で作ったのではないかと思うぐらいマニアックで作りが荒いものもあり、 慣れている人でも使い方がよくわからないものもあります。
これ以外にもいくつかありますが 大まかにはこんな感じなので、これから始めようとお考えの方はぜひ参考にして下さい。
個人情報や資産も誰かが管理してくれるのではなく 各個人が責任をもって管理しなければいけない時代になっているのかもしれません。
閲覧ありがとうございました。
