暗号資産はハッキングされる?誰でもできる防衛手段!

 (更新) 5 分で読めます

暗号資産ってハッキングされるでしょ?

その通り、これは法定通貨にはない弱点だよ

本来、PC用語としては「ハッキング」という言葉そのものに悪意までは含まないのですが、このページでは、電子計算機に対する悪意のある侵入行為・改ざん行為まで含めて「ハッキング」および「クラッキング」として表現しています。

予習ポイント

  • 過去のハッキング事件では何が問題だった?
  • なぜ、取引所ず狙われやる?
  • ハッキングの対策はどうする?

過去のハッキング事件を振り返る

暗号資産(仮想通貨)について、これまで何度かハッキング事件が取りざたされてきました。 「ハッキング」というのは電子計算機のシステムに熟知した人が、そのシステムの弱点を逆手に利用し、本来、外部(部外者)からは保護されるべき計算機上のメモリ領域に侵入する行為です。そらに、悪意を持ってデータを盗み出したり、書き換えたり、誤動作させたりすることをクラッキング行為と呼んでいます。 本ページでは、悪意のないたまたまアクセスできてしまった、義憤に駆られてシステムの脆弱を公開するような(ホワイトな)行為も含めて、乱暴ながら「ハッキング」として書いています。

かつて、暗号資産が、未知の通貨ながらなじんでいけそうかなと皆が思い始めた頃、ニュースで「ハッキングされた」という報道がなされて話題になりました。

その当時は、あまりコアな意味がつかめなかった投資家が多かったのではないかと思います。 それを境に、「なんだか危険そう」「怪しさ抜群」という印象が一般的につきました。

日本で大手のハッキング事件としては、2017-2018年初旬のコインチェック事件が記憶に新しいところです。特に、暗号資産(仮想通貨)の大きなバブル発生後に起きた事件として衝撃的でした(発覚したのは2018年1月)。

その2017年から3年近く経過するわけですが、もちろんセキュリティ技術の進歩、人為的不正侵入防止対策が磨き上げられ、現在も進行形です。 現在では同様のハッキング(クラッキング)手法は使えず、セキュリティ対策は別次元の強固さに育っています。

それでも、暗号資産のマイナスなイメージは未だに払しょくできず、まだまだ発展途上の技術であることにも変わりなく、少しでも気を抜けば大手の取引所であろうとも、瞬間的に莫大な金額の盗難が起こりえます。 そのことを踏まえたうえでも、技術的には大きな可能性を秘めている考えられ、投資マネーを含め資金が流入していることは紛れもない事実です。

ハッキング行為は常にアクティブであることを認識しよう!

2020年9月現在でも、暗号資産(仮想通貨)に関連するハッキング事件は普通にあります。事件化しないものを含め、不正行為目的と思えるアクセスは、24時間常にあるのが普通です。レポートされるようなレベルのものでも、日本国内で一日な数百~千回(場合によっては数十万回)という程度でアクセスがあります。

そのような膨大な、不正アクセス(もどき)から、特にハッキングに成功したもの(事件化したもの)をチェックしていきます。

不正アクセスというと、マイナスなイメージだけでとらえがちですが、「パスワードを3回間違えて、ログインに失敗した」なども、不正アクセスもどきになります(「不正なパスワードでログインしようとした」ということ)。

【日本人投資家を目覚めさせた】コインチェック・ハッキング事件

暗号資産(仮想通貨)投資バブルにうまく乗れた方は、2018年の1月の「コインチェック」のハッキング事件は忘れないと思います。

コインチェックのハッキング事件

  • 2018年の1月(26日)に発生
  • 外部からの不正アクセスが成功した犯行
  • ハッキングにる損害額は当時のレートで約580億円(預かりほぼ全額)

かつてのコインチェックはどんな感じ?

コインチェックは、2012年設立の暗号資産(仮想通貨)取引所かつ販売所です。当時は大々的にタレントの出川哲朗氏を起用したCMをうっており、知名度もありました。

コインチェックは仮想通貨(暗号資産)の「アルトコイン」を取り扱っていて、販売も好調でした。日本の取引所は「アルトコイン」の販売や取引に消極的なのが普通でしたが、コインチェックは一足先にリスクをとり、積極的にアルトコインを取り扱っいました。

アルトコインというのは、ビットコイン以外の仮想通貨のことをいいます。 コインチェックは、アルトコインを自社の有利な価格で「販売」して、スプレッドで大きな利益を上げるビジネスモデルを採用していました。

2017年の暗号資産(仮想通貨)バブルは、ビットコインよりビットコイン以外のもの、つまりアルトコインが、ビットコインにつられて値上がりした現象が大きな原因だとされます。 ハッキングではアルトコインの一つである「ネム(NEM)」が狙われました。

当時、ビットコインの取引価格は一年で約20倍近くに高騰したことはまだ記憶に新しいです。ビットコインが高騰するということは、時間をおいて他の仮想通貨も上がると誰もが予想します。ビットコインはすでに高値を付けていて、大量に購入できないため、注目はむしろ、「次はどの銘柄の仮想通貨が値上がるか?」と考える投資家が多かったわけです。

事実、ビットコイン以外の仮想通貨(アルトコイン)は値上がりしました。 ビットコインを購入するより、もっと数を購入できるアルトコインへの投資が相次ぎます。中にはタダ同然の取引価格から数百倍の値段をつけるアルトコインも登場します。

コインチェック・ハッキング事件の本質は何か?

取引所を狙った暗号資産(仮想通貨)のハッキングは、当時も頻繁に行われていました。 事件化したものも少なくありませんが、どれも比較的低額でした。

コインチェック・ハッキング事件の本質

  • 不利な条件を判断できない素人投資家を囲い込んでいた
  • 日本の管轄にあり、CMをたくさんうっているという安心感
  • アルトコインの取扱価格が大きかった

繰り返しますが、インターネットでは不特定多数のハッキング行為自体は、24時間年中行われている環境が普通です。 ハッキング事件が発生した理由は、コインチェックの管理が甘かったというだけのことで、暗号資産(仮想通貨)業界ではよくきく話です。

ただし、当時のコインチェックはCMの影響で、利用者層は仮想通貨どころか金融取引初心者の方が多く参加していて、仮想通貨(暗号資産)を理解しないまま、儲かるというだけで購入している人が多いのが事実でした。ハッキング事件が起きても、何がハッキングされて何が危ないのかがわからず、事態がつかめないまま事件が広がってしまったのが現実です。

間違えてはいけないのは、「暗号資産(仮想通貨)そのもの」がハッキングされたわけではなく、取引所・販売所のサーバーがハッキングされ、秘密鍵が流出したというだけに過ぎないということです。

要は、金庫に鍵をかけ忘れて泥棒に中身を持って行かれたというだけのことです(金庫が安物すぎた)。

この秘密鍵の流出は、実のところたまたまコインチェックが狙われてしまった感があります。 当時、国内で一番知られていた取引所であり、国内外のハッカーたちが狙いやすかったことも大きいと考えられます。

多くの国内の取引所は、被害にあったコインチェックは特に、これを機会にセキュリティ体制を見直し(かつ政府通達により)ていますので、実際問題としては、以前とは比べ物にならないほどセキュリティが強靭化されています。

実際のところ、現在は、多額のハッキング被害を経験したコインチェックが、セキュリティ対策そのものは一番先端を行く取引所になっています。

コインチェック
技術的な中身はどうなの?

先ほど、「金庫に鍵をかけ忘れて泥棒に中身を持って行かれて」、暗号資産を盗まれたと表現しました。 鍵をかけるというのは、インターネットにアクセスできなくすると読み替えれば、中身がわかります。インターネットから隔離すれば、外部からの不正アクセスそのものができなくなからです。 つまり、常時ネット接続している「ホットウォレット」で顧客の暗号鍵を管理していたことが問題だとされます。

そこで、この事件を機会に、ネットと隔離した「コールドウォレット」での管理が常識化され始めました。

Ledger Nano S(レジャーナノエス)

謎の多いマウントゴックス事件

コインチェックのハッキング事件よりもっと前に、日本の世間を騒がせた仮想通貨(暗号資産)ハッキング事件といえば、2014年のマウントゴックス(MTGOX)事件です。 ただ、マウントゴックスは経営破綻前までは世界的にも大きな取引所の一つです。うまく成長させれば、現在はダントツのデファクトスタンダードの地位を占めていたと予想できるほどです。

私自身は、この事件の前後から、日本で仮想通貨(暗号資産)に興味を持つ人が増えたという認識を持っています。

マウントゴックス事件の内容は、2014年2月28日、マウントゴックスのサーバーがサイバー攻撃を受け、ハッキング被害にあったと、ビットコイン約75万BTC(当時のレートで約480億円)と顧客がビットコインの売買の資金として預けていた現金28億円が消失したというものです。 巨額なビットコインと預かり金の消失を受け、マウントゴックスの負債額が増加した結果、債務超過に陥ることになります。事実上経営破綻し、同年東京地裁に民事再生法の申請を行いました。 この事件を受け、利用者保護の観点で、仮想通貨取り扱い事業者に対する規制を導入する改正資金決済法が2017年4月1日に施行されることになります。

マウントゴックスのマルク・カルプレス社長が外国人でカタコトの日本語を使ったこともあり、何やら怪しい組織が変ことをしているという印象を持った人が多かったと記憶しています。

「謎が多い」と皆が思ったのは、何がハッキングされたのか曖昧にしか明らかにされなかったからです。ビットコイン(秘密鍵)をそのものを盗まれたようにも聞こえますが、同時に「預かり金」も盗まれたと報告しているところから、預かり金は暗号資産化して管理していたということなのか、報道からはよくわかりませんでした。 ただ、はっきりしていたことは「管理がずさんすぎる」という点で、社長の記者団に対する受け答えからも明らかでした。

事実、事件の発生当初はサイバー攻撃によるハッキングと騒がれていましたが、2015年にマルク・カルプレス元社長が自身の口座残高の水増し容疑で逮捕、同時に顧客からの預金を着服し業務上横領の疑いで再逮捕されています。

これにより、ビットコインと現金の消失はカルプレス容疑者の関与、つまり自作自演であったことが見て取れます。外部からのサイバー攻撃などという、カッコのいい犯罪によるものではないわけです。ちなみに、被告は保釈保証金1千万円を納付し、2016年に保釈されています。

この事件からもわかることは、暗号資産そのもののセキュリティがハッキングされたわけではなく、資産を扱う側の管理体制の方が問題であったということです。

なぜ取引所が狙われる?

記憶に新しい暗号資産(仮想通貨)ハッキング事件を見てみましたか、ほとんどすべてのハッキング事件は、額の多寡こそ違いますが、ほぼ同様の手口です。

暗号資産そのものがハッキングされるのではなく、暗号資産取引所がハッキングの被害のなるのが普通です。

なぜ取引所が狙われる?

  • 取引所に暗号資産が集まってくるから
  • 取引所は中央集権型の管理なので、一点突破しやすい

ルパン三世いわく「そこに金庫があるからだ」ということでしょうか。 取引所には、暗号資産を管理するデータが入った金庫があるので、ターゲットに選びやすいということでしょうか。

盗難対象は暗号資産である

大多数の暗号資産は中央で管理するようなシステムになっておらず、金塊などのモノではなく、データが欲しいだけなので、窃取する対象としては都合の良いものです。

盗む方からすれば、足がつきにくい、大掛かりな捜査が行われにくいなどのメリットがあります。

非中央集権的ゆえの欠点を探る

暗号資産(仮想通貨)は「中央集権的な通貨」ではないので、誰かが管理する必要はありません。あえて言えば、ネットにつないでいるユーザー全員が管理し続けるようなシステムになります。通貨の保有や移動に関しても、システム上、誰かが一元的に管理するようなサービスを提供する必要がありません。

通常の法定通貨の場合を考えてみます。

〇×銀行の決済システムをハッキングし、100万円分を管理するデータを盗み出しました。 この100万円を使いたいので、△□銀行に送金して引き出そうと思います。

このような場合、両銀行間のネットワーク管理者で、当該口座を凍結することにより、不正引き出しを防止することができます。管理者は銀行間の通信を自由に操作できるので、トップダウン的に通信を止めてしまうことができます。

この例で、法定通貨ではなく暗号資産(仮想通貨)だった場合はどうなるでしょうか。

仮想通貨の場合は、「100万円分を管理するデータ」の部分が「100万円分を管理する秘密鍵」というものになります。このデータを受け渡しするシステム上の管理者が存在しない仮想通貨の場合、送金側と受領側の通信を止めることができません。そのため、仮想通貨利用者の誰かがネットにつないでいれば、それを経由してデータのやり取りが完了してしまいます。

つまり、暗号資産(仮想通貨)の場合は秘密鍵さえ盗み出せば、世界中につながるインターネットを通じて、暗号資産を受け取ることができてしまいます。 また、通貨の本来の意味からすれば、通貨そのものが偽造されたものでない限り、出所がいかなるものでも通貨として使えないものは、その価値がないといえます。「出所が犯罪行為であるもの除く」という暗号資産の利用条件は現実問題つけることができないのが普通で、取り締まりにより摘発・検挙等で対応するしかないわけです。

利用する側としては、犯罪行為等の被害にあわない対策を自分で講じることも大切になります。

国家予算クラスの金額でも、一瞬に盗めてしまう

暗号資産(仮想通貨)は物理的実体のない通貨です。物理量は一切必要ありません。 紙に100円と書いても、100億円と書いても、紙の重さに違いはでせません。 電子データも同じで、暗号資産の秘密鍵は、100円だから短く単純で、100億円だから長くて複雑になるとかいう性質のものではありません。

つまり、盗む側からすれば、どちらでも同じ手間になります。 これが怖いところは、同じ手間で、莫大な金額も小銭と同じ感覚で盗めてしまうことになるところです。

実体のない通貨だから

  • 金額の大小にかかわらず盗む手間は変わらない

個人のハッキング対策はどうする?

ハッキングは、主に取引所のサーバーがターゲットになります。

個人の管理する暗号資産もターゲットになる可能性は当然ありますが、狙う側からすれば効率が悪いので、外部から直接狙われるというよりも、怪しいサイトにアクセスして、知らない間にマルウェア等がPC内に紛れ込んでしまったなどのケースの方が多いはずです。

まず初めに、「セキュリティ対策のしっかりした取引所」を選ぶことと、「ウォレットを使い分ける」ということが最も効率的な対策となります。

【対策Ⅰ】安全性の高い取引所を選ぶ

重要なのは「セキュリティを重視している取引所」「関連サポートがしっかりとしている取引所」を選ぶことが対策になります。

セキュリティ対策は取引所次第のところも多いのですが、セキュリティを重視しすぎて、使い勝手が悪くなりすぎると大変非効率ですので、この点は注意しましょう。

セキュリティは完ぺきに近いけれど、取引所での取引まに認証がありすぎて手軽に気便に使えないような場合は、システム全体の設計に問題がある取引所である可能性大です。 セキュリティは大切ですが、儲けるチャンスを逃すようなシステムになっているところは本末転倒ですので、取引所の切り替えを検討すべきです。 少なくとも複数の取引所を使い分けるのが、使いやすくて安全な取引所にたどり着くコツになります。

取引所の安全性を担保するコツ

  • 複数の取引所を使いわける

【対策Ⅱ】取引所だけでなく自己管理のウォレットも併用する

ウォレットに関しては別記事にまとめています。 取引所のウォレットのみならず、自己管理できるウォレットも所有していると、いざというときに資産を移せるため安心です。

秘密鍵保管リスクを担保するコツ

  • ウォレットも複数を使いわける

まとめにかえて教訓

まとめ/教訓

  • ハッキング事件では、何が狙われたのかに注目しよう
  • 暗号資産の秘密鍵の管理方法を複数検討しよう
  • ハッキングそのものは日常茶飯事に行われていることを認識しよう

ニュースでは今後も新たな「ハッキング・クラッキング事件」が報道されることがあると考えますが、何がハッキングされたかによって事態の深刻さは異なります。多くのハッキング事件そのものは、金庫に鍵をかけ忘れていたので中身を持っていかれた程度のものです(だからといって被害額が小さいわけではない)。暗号資産システムそのものの致命的な欠陥などがハッキングによって明らかになれば、被害そのものはなくても、取引価格に大影響すること間違いなしです。そのため、何にハッキングがかけられたかという点は軽んじないようにしましょう。

暗号資産は秘密鍵さえしっかり管理すれば、今までの通貨と同様に安全に扱えます。かといって、管理にばかり気を取られていると、肝心の上昇相場で機敏に動けなかったりと、下手な投資になってしまいかねません。そのため、秘密鍵の管理方法は複数準備し、ケース・バイ・ケースで使い分けるなどのコツを身につけましょう。ハードウェア・ウォレットはとりあえず一つ持っておくと安心です。

知識が乏しいうちは、ハッキング行為そのものが犯罪行為だという固定観念を持ちがちですが、インターネットでは普通に行われているアクセスの一形態です。ハッキングそのものを成功させる人は、かなり腕のあるハッカーですが、大多数はアクセスそのものに失敗して振るい落とされるのが普通です。国境のないインターネットでは、そういった行為を責めるだけでは何も解決せず、取引所や政府機関を非難したところで、不具合が解消されるというものではありません。行き過ぎると規制が強化され、投資に不都合が出るリスクも見逃せません。 そのため、人や団体任せにせず、個人でできることは積極的に自分で対策を打っておくのが、暗号資産の健全な運用方法だと考えます。

Ledger Nano S(レジャーナノエス)