セキュリティの
学び場

今回の解説ニュース

かつては仮想通貨と呼ばれていた暗号資産の取引所に不正アクセスがあり、約100億円相当の暗号資産が盗まれてしまったということです。暗号資産に関連するシステムのセキュリティ対策で気を付けるべきポイントについて説明します。

暗号資産とは、特定の国家が発行していない、デジタルデータのみで存在する資産です。ブロックチェーンの技術を活用し、誰が誰に対して暗号資産を移動させたか検証後、記録されます。暗号資産にはビットコインやイーサリアムなど、様々な種類が存在しています。

今回のインシデントで不正アクセスを受けたのは、顧客との暗号資産の入出庫プロセス管理用のウォレットで、69種類、総額約100.5億円相当の暗号資産の不正流出が確認されています。また、ハッキングの原因や被害状況について、引き続き調査を行っており、安全の確保が確認できるまでの間、すべての暗号資産の入出庫を停止しているということです。

暗号資産取引所で特に必要とされるセキュリティ対策

暗号資産取引所で特に必要とされるセキュリティ対策に「コールドウォレット」と「マルチシグ」があります。それぞれについて説明します。

コールドウォレットとは、ネットワークに接続されていない状態で運用されているウォレットです。ネットワーク経由のサイバー攻撃をすべて遮断できるため、ウォレットをリモートの攻撃者から守ることができます。また、ネットワークに接続して運用されるウォレットはホットウォレットと呼ばれます。暗号資産取引所では、保持する資産をコールドウォレットとホットウォレットに分割して運用するのが一般的です。大半の資産をコールドウォレットで保持することでサイバー攻撃から保護し、可用性や流動性が求められる一部の資産をホットウォレットで運用します。

言葉を選ばずに言えば、盗まれても致命的な影響がない量の資産をホットウォレットで運用することになります。また、コールドウォレットは物理的な攻撃からも保護するために、厳密なルールに基づいて運用されています。

次に、マルチシグとは、暗号資産においては、ウォレットから送金するために複数の署名が必要とされる仕組みです。署名ができる秘密鍵を複数人に分割することで、仮に単一の秘密鍵が盗まれてしまっても、単独でウォレットから暗号資産が送金されてしまうことを防ぎます。マルチシグでは、秘密鍵の総数と署名に必要な数をそれぞれ決めることができ、署名に必要な秘密鍵を適切に分割することで、内部犯行を含めた盗難を防ぐことが可能です。ただし、マルチシグに対応しているかどうかは暗号資産の種類によって異なるので、注意が必要です。

盗んだ暗号資産のマネーロンダリングについて

盗んだ暗号資産のマネーロンダリングは、無数のウォレットに暗号資産を分割することや、ダークウェブで暗号資産同士を交換することなどが考えられます。過去にあったインシデント事例も踏まえて、その内容について説明します。

無数のウォレットに暗号資産を分割すること

通常、暗号資産を取引所などで現金化する場合、原則として本人確認が必要となります。ただし、海外の交換所で少額の取引の場合、本人確認が不要となる場合があり、それがマネーロンダリングに悪用されてしまう場合があります。そのため、盗んだ暗号資産を無数のウォレットに分割し、数千円の単位で換金することが過去のインシデントで行われていました。

ダークウェブで暗号資産同士を交換すること

ダークウェブとは、特別な環境や方法を使わないとアクセスできないWebサイトです。匿名性が高く、違法性の高い取引や犯罪の温床にもなっています。売買の匿名性を担保するために、取引にも匿名性が高い暗号資産が使われることがあります。例えば、盗まれた暗号資産を15%オフとして、暗号資産の中でも流動性が高いビットコインと交換することで、盗まれた暗号資産のウォレットから追跡しても、犯人にたどり着くことが困難になります。盗まれたことを知らずに割引に飛びついて交換に応じてしまった人は、逆に犯人ではないかと疑われてしまう可能性すらあります。

気が付かないうちに犯罪へ加担してしまう可能性もあるので、今回の説明はここまでとします。暗号資産はお金に対する考え方を根本から覆す素晴らしい発明なので、今回のような悲しいインシデントが発生しないように、十分なセキュリティ対策で暗号資産の未来を守りたいですね。