ワルコイン

仮想通貨の開拓レポート ICO分析・詐欺調査・お金の検証

コインチェックは安全?仮想通貨取引所が採用するセキュリティを調査!

1/27:追記

昨日コインチェックがハッキングの被害に遭いました。

こちらでも取り上げているコールドウォレットでの管理を怠り、マルチシグの対応も取っていなかったようです。

コインチェックの記者会見も拝見しましたが、今後の対応については検討中となっています。

「現在調査中や株主と相談」という言葉で濁し濁しな感じはありましたが、この対応を見ると被害を受けた投資家への補償もしっかりと行われるかは不透明と言うしかありません。

今後の進捗も追っていきたいと思います。

—追記終わり—

国内でも大手の取引所でありながら、10月後半になっても未だ「みなし業者」として営業を行っているCoincheck(コインチェック)ですが、登録が進まない理由の一つとして「セキュリティが甘いのでは?」という声が聞こえてきます。

そこで今回はコインチェックのセキュリティに注目してみましょう。

コールドウォレットによる管理

コインチェックでは、秘密鍵をオフラインで管理する方式(コールドウォレット)を取ることで安全性の確保に努めています。

コールドウォレットを採用することで、万が一ハッキングが行われたとしてもネット上から秘密鍵を隔離している形となるので資産を奪われるという心配はなくなります。

※1/26の記者会見によってコールドウォレットで管理していなかったことが判明

過去にマウントゴックスの有名事件がありましたが、この時は秘密鍵をオンライン上で管理しており安全性が確立できていなかったとも言われていました。

資産を安全に管理したいのであれば、コールドウォレットは必須といてもいいほどのアイテムと言えるでしょう。

コールドウォレットの冗長化と暗号化

まずコールドウォレットの冗長化についてです。

コインチェックでは秘密鍵を分散して複数の場所で管理しています。

これにより、災害等が起こった際でも重要情報を失ってしまうという心配はありません。

次に暗号化についてです。

こちらで肝となってくるものが「AES-256」となります。

「AES-256」とは?

このAES-256とは、米国商務省標準技術局(NIST)によって制定された暗号方式となります。

AESには「128ビット」「192ビット」「256ビット」と種類があり、ビットが高いものの方がセキュリティが高くなると思って大丈夫です。

このビットが何を表しているのかというと、暗号化に用いる鍵のパターン数やデータ量を表しています。

単純に128ビットと256ビットでは倍くらいの違いだろうと思う方もいるかもしれませんが、計算式にすると

128ビット=2の128乗

256ビット=2の256乗

と、かなりの強度差が出ます。

元々このAESは以前より使用されていたDESを応用したものとなっており、その強固さは従来のものを3重にしたトリプルDESよりも強固と言われています。

どのような場面で使われるのかというと、メールでの重要機密書類のやり取りに、この「AES-256」が使われることがあるそうです。

冗長化や暗号化に関しても最善と言えるものを取り扱っていることが伺えますね。

署名に関するRFC6979の採用

「RFC6979」また難しそうな単語が出てきましたね。

こちらは楕円曲線セキュリティともいう技術となります。

通常、送金などコインをやり取りする際は、私たちが知らないところで署名というものが暗号化されて行われています。

その署名の際に使用されるnonceという不正防止のための番号があるのですが、この情報取得が可能ということが指摘されました。

nonceの情報が漏れてしまうと簡単に秘密鍵をあぶりだすことができるため、非常に大問題となります。

この対策でRFC6979が使用されることとなったのです。

これは「データ1つ1つに乱数の値が変わるような計算式を組み込もう!」というもので、データが異なる場合は必ず違う値のnonceが生成されるようになりました。

そのことにより従来懸念されていた、nonceの問題が回避できるようになったのです。

預かり金の管理方法

当然と言えば当然のことなのですが、コインチェックでは経営資金と預かり金はきっちりと分けて管理されています。

お客様からの預り金は経営資金とは完全に分離して管理しています。
預り金を会社の資金として運営に用いられることは決してございません。

コインチェックホームページより

仮想通貨業界と別の話ですが、実際に顧客の資金を自社の経営のために資金を流用していたという事件もあるので、このような点を明確に表記してくれている点も安心感に繋がりますね。

二段階認証の設定

こちらは、コインチェック側が自動で行ってくれるものではありません。

しかしこの二段階認証は非常に重要です。

二段階認証を行なう方法は2種類

・SMSによる認証

登録した携帯番号にメッセージとして認証コードが送られます。

・Google Authenticator

こちらはグーグルが提供しているアプリです。コインチェックを連動させることによって、定期的に変化するコードが確認できるようになります。

実際に2017年の1月から6月の間に、仮想通貨に関する不正アクセスの被害は23件報告されています。

しかしこのうちのほとんどの人が二段階認証の設定を行っていなかったことが判明

改めて「自分の資産は自分で守る」ということを考えさせられる事例となりました。

不正アクセスへの補償

コインチェックは東京海上日動と連携し「なりすまし」で資金に損失が出た場合、補償を行うことを発表しています。

ただ元は6月からこの対応が開始されるはずでしたが、11月を迎えようとしている現在もその制度が実装されたという報告はありません。

ビットフライヤーでは、「日本円の損失」「二段階認証の設定している場合」などの条件のもと補償制度が開始されているので、コインチェックもいち早く対応してほしいものです。

安全性は非常に高そうだが何故登録業者になれない?

上記で説明した以外でも、SSL暗号通信や顧客情報の暗号化など然るべき対応をとっているコインチェックですが、なぜ未だに登録業者になれないのか?

ここに関しては、取り扱い通貨が多くて審査に時間がかかっていると発表されていました。

実際に取り扱いの通貨の中には秘匿性の高いものがあるという点で、まだ金融庁の許可が下りていないという状態ことも考えられます。

セキュリティに関しては徹底した管理やシステムを使用していることが伺えるので、そのような点ではコインチェックは安心できる業者と言って問題ないでしょう。

※事実と異なる部分などがありましたら、すぐに修正いたしますので、ご報告ください。

フォローする