お金の参考書

仮想通貨取引所の機能とセキュリティ対策

コインチェック社で発生した大規模な仮想通貨NEMの盗難事件については、被害補償内容やハッキングされた多額の通貨NEMの行方等に加え、あらためて仮想通貨取引所のセキュリティのあり方にも関心が強まった。
中央集権型と分散型に区分される仮想通貨取引所の機能とセキュリティレベルの比較、取引所等に求められるセキュリティ対策等について、実例を踏まえながら考えてみたい。

仮想通貨取引所の形態

一般投資家が仮想通貨購入等の取引を行うときは、通常「取引所」と呼ばれる「オンラインプラットフォーム」を利用して購入する方法が一般的だ。
既存の法定通貨(仮想通貨に対し「フィアット」とも呼ばれる)から仮想通貨を売買する、法定通貨と仮想通貨の取引(通貨ペア)や、ビットコインとアルトコイン等の仮想通貨同士での売買取引に加え、他の取引所への仮想通貨送金等も取り扱っている。


こうした取引所間の送金もブロックチェーン取引であり、当該仮想通貨ネットワーク全体が一つの巨大なオンライン市場とも捉えられる。

中央集権型取引所

信頼できる第三者に個人資産を委託管理する金融機関はセキュリティ等から従来は「中央集権型」に限られていた。
銀行等の金融機関は、預託者が信頼する仲介機関として資産や取引内容等を受託する中央集権型の機関で、銀行預金はタンス預金等よりも安全であり、預託利子が得られるメリットもある。

その前提として、銀行は高度なセキュリティ機能を有しており、顧客資産の管理で多額の資金を集めている。
この点は、一般的な「中央集権型の仮想通貨取引所」も同じで、投資家は(利子は得られないが)、取引所のセキュリティを信頼して保有通貨を預託しており(但し、個人でウォレットを購入して、自己管理することが可能な取引所もある)取引所はブロックチェーン全体の維持管理にも寄与している。

預託された仮想通貨自体は取引所の管理下にあり、銀行口座と同様に通貨の送金や他取引所等からの口座入金が出来る仕組みだ。
一般的には取引所が顧客の秘密鍵を管理するので、顧客はアカウント用のパスワードを持ち、口座内の通貨は実質的に取引所の保有となっている。
このため、取引所の秘密鍵管理に問題があれば、口座に記録された通貨残高(預託者の資産)が奪われてしまう可能性がある。その代わり、ウォレットなどで自己管理している場合と異なり、取引所への資産預託者は設定したパスワードや2段階認証手順等を忘れた場合でも、取引所でパスワードの復元や再発行等を受けられる。

自己管理でブロックチェーンによる仮想通貨を保有する場合、パスワードを忘れてしまえば、自己保有通貨を利用することは事実上不可能で、ビットコインでは保有者のパスワード忘失や死亡等で発行枚数の数%~1割以上が既に利用できない「休眠通貨」になっているのではないかという観測もある。(秘密鍵を忘れて、個人投資家が数十万ドル以上の損害を受けた例もある)

顧客が取引所を信頼して通貨へのアクセス権すべてを預託していることは、仮想通貨資金の管理リスクを取引所のセキュリティと利用のシステムを信頼することで通貨保有リスクを転嫁していることになる。

分散型の仮想通貨取引所

一般的な中央集権的取引所に対し、分散型の取引所も可能だ。
そもそもブロックチェーン技術による仮想通貨は分散型システムであり、取引所を分散型のシステムとすれば、取引所への信頼(セキュリティ保証)が不要となる利点がある。

こうした分散型仮想通貨取引(「DEX」と呼ばれる)はスマートコントラスト等の制御能力で処理されるP2P(ピアツーピア)取引で利用できる仕組みが多い。
最近注目されているクリプトブリッジ方式もDEXの一例であり、中央集権的な取引所と同じ機能を持つが、取引の仕組みは基本的にP2Pで行われる。
特定の運営元(管理者)不在で(運営者があっても個人資産にアクセスできない仕組み)仮想通貨の取引が可能なプラットフォームだ。

取引過程は取引所のシステムを介さないため、実感上は瞬時に取引が終了する素早さだ。
仮想通貨相場が急変しても、DEX型取引所には中央集権型取引所等の様に(取引集中により)極端な取引速度低下や停止はなく、機敏な対応が可能となるメリットもある。
しかも、個人でウォレット等にて管理する場合に比べるとパスワードの管理は必要だが、取引方法が簡便で資産管理ツールも豊富な場合が多い利点がある。
通貨取引時点までは個人管理下資産なので、取引所の破たんやハッキングによる保管仮想通貨の盗難等のリスクも回避できる可能性が高く、今後の進展が予想されている。

仮想通貨取引所のセキュリティ

中央集権型取引所は、集中的なハッキング攻撃を受けやすく、高度なセキュリティを持っていないと投資家も含めた被害の可能性が高くなる。
これまでにもビットコインやその他の仮想通貨取引で多くのハッキング事件が起きている。

ハッカーの攻撃を受けた取引所は、これまでは自己資金等で被害金額を被害顧客に返還するケースが多く、実害が生じたケースは少なかった。(コインチェック社も、現段階では盗難NEM相当分を顧客に返還予定で、大規模な例外は倒産したマウントゴックス社の事案程度)

しかし分散型取引所の場合、そもそも同様なハッキング攻撃がほとんど不可能と考えられる。(但し、前述の秘密鍵忘失で資産引き出しが出来なくなるリスクは中央集権型取引所にないリスク)
暗号通貨である仮想通貨には、取引所に限らず常にハッキング被害の可能性があり、完全に防護することは難しいが、主な対策として、下記の様な対策がとられている。

分別資産管理と認証方式

取引所所有資産と顧客資産の分別管理は、2017年に施行された仮想通貨法によりすべての取引所が義務付けられている。
また国内取引所には、二段階(複数要素)以上の認証システムがすべて導入されているが、海外取引所にはないところもある。
(二段階認証とは、パスワードに加え、携帯電話等に送られる暗証や、スマホアプリの発行するトークン等をログイン必須要件とし、不正ログインリスクを軽減させること)

コールドウォレットによる保管

オンラインネットワークから切り離された状態で保管されているウォレット(オフライン)を「コールドウォレット」という。
顧客保有の仮想通貨を保管する方法で、ビットコインについては国内の全取引所が導入済だが、アルトコイン等に未対応の場合がある。(コインチェックの社のNEM保管もこのケース)

マルチシグネチャウォレット

一つのアドレスに対して複数の秘密鍵が割り当てられているウォレットを導入する方式として「マルチシグネチャウォレット」がある。
仮想通貨の送金等に、複数のパスワードが必要となり、一般的なウォレットよりもセキュリティが高い。(但し、仮想通貨によっては導入・実装が出来ない場合もある)

セキュリティの高い仮想通貨

上記の方法は絶対的なものではなく、ウェブ上で取引を行う限り、ハッキング被害を完全に防ぐ方法はないと考えられているが、今後コインチェック社のNEM盗難事件で行われたように、不正アクセスによる流出コインにタグ等を自動付帯してハッカー探索が容易になる方法も考えられる。

さらに、いくつかのアルトコインでは、コイン自体の安全性を高めて発行するものもある。
匿名性を高めた仮想通貨は、一般にその性質から機密性も高いが、その中でもトークンペイ(TPAY)は高度な暗号化鍵システムを実装し、政府のセキュリティ機関の最高機密ファイル等の保護と同レベルの機密性を保証していると言われる。
また 「セキュアコイン(SRC)」もゲーム用に開発されたトークンだが、複数のハッシングアルゴリズム等でセキュリティを強化している。
SecureCoin (SRC) price, charts, market cap, and other metrics | CoinMarketCap
匿名性の高いアルトコインには悪用の危険性も指摘されているが、ハッキング被害軽減を重視する投資家に一定の支持を受けそうだ。

資産分散等のフェールセイフ

仮想通貨取引所で秘密鍵が盗まれ、外部からハッキングされても取引所の全資産を失わない対策として、物理的に各ウォレットを可能な限り分散させハッキング攻撃に対する被害総額を低減させる方法や、会社そのものの機能を複数の取引所や機関に分割し、持株会社等で統括して全体的には被害発生の場合に必要な補償額を縮小して、顧客保障を可能にする方法も考えられる。

なお、2018年2月2日に、金融庁はコインチェック社及び同社以外の仮想通貨交換業者及びみなし仮想通貨交換業者に対して、システムリスク管理態勢に関する報告徴求命令を出している。(対象は仮想通貨交換業者、国内16社)
国内の仮想通貨取引所については、(Bitcoin情報サイト「国内取引所比較(セキュリティ編)」に取引所別のデータが掲載されている。
国内取引所比較(セキュリティ編) – 取引所 – ビットコインの入手 | Bitcoin日本語情報サイト

国内取引所「bitflyer」では、不正ログイン等の出金被害(二段階認証登録済ユーザー)に対し、最大500万円まで補償するという制度がある。
中央主権型取引所の利用には、ユーザー側のセキュリティ対策としても、最低限、二段階認証方式のログイン方法が必要だろう。

仮想通貨取引所の取り扱い高と取引の安定性

取扱高の大きな取引所ほど安定した取引が出来るので、価格乱高下や相場の混乱が少ない傾向がある。
取引量が少ない取引所や通貨の取引では、一方的な注文によってトレンドから離れた価格への急変が起きたり、誤注文等で実勢を大きく越えた価格になったりして、取引参加者が混乱し、結果として損失を受けることもある。

国内の取引所「Zaif」には、最近ビットコイン購入で巨額損失の可能性のある取引事例もあった。
今後、同様のケースで投資家に巨額の損害が出ないような注文方法等のシステム整備も併せて必要となるだろう。

取引所のハッキング被害対策

ビットコインの歴史は、ハッキングの歴史と言えそうなほど、ハッキング等の事件と関連した価格の下落が繰り返し起きている。
コインチェックによる仮想通貨NEMの巨額盗難事件に対する、ホワイトハッカーを含むNEM財団の対応と不法引き出し防止に対応した大半の取引所の姿勢から、仮想通貨取引所の持つ役割が改めて浮き彫りにされた。

最近、この様なハッカーの攻撃に対し、世界最大級の仮想通貨取引所のバイナンス(Binance)社は、将来的な盗難やフィッシング詐欺等のハッカー攻撃に対する防護策として、総額1千万ドルの懸賞金提供を発表した。
バイナンスは、3月7日にハッキング攻撃を受け(攻撃は失敗)、このフィッシング詐欺で大規模盗難事故となる可能性があった。(実害はなかったと発表)
このハッキング未遂も含め、ハッカー等の犯人逮捕関係情報の最初の提供者(法令違反がない限り匿名情報も可能)に25万ドル相当の懸賞金(仮想通貨バイナンスコイン【BNB】で支払い)を支出すると11日に発表している。

同社のブログには「安全な暗号通貨(=仮想通貨)コミュニティーを保証するためには、私達はただ防護するだけではなく、ハッキングが起きる前にその行為に対し攻撃し、積極的に防止する必要がある」とし、「将来的のハッカー攻撃に対応できるように、報奨金用に1千万ドルを用意した。顧客資産の防護が最優先事項だと考えている」とも記載している。
Binance Hacker Bounty – Binance

今後の仮想通貨取引所には、セキュリティ面から、分散型取引所増加やより高度で安心できるセキュリティの確保、ハッキング被害発生時の効果的な対策等が、利便性や幅広い取り扱いなどに加えて、さらに求められるてゆくことだろう。

このコラムの執筆者

和気 厚至
和気 厚至

慶應義塾大学卒業後、損害共済・民間損保で長年勤務し、資金運用担当者や決済責任者等で10年以上数百億円に及ぶ法人資産の単独資金運用(最終決裁)等を行っていた。現在は、ゲームシナリオ作成や、生命科学研究、バンド活動、天体観測、登山等の趣味を行いつつ、マーケットや経済情報をタイムリーに取り入れた株式・為替・債券・仮想通貨等での資産運用を行い、日々実益を出している。


関連記事

お金の参考書
おすすめランキング

記事一覧

仮想通貨とは

仮想通貨の種類

仮想通貨取引所

仮想通貨のニュース

仮想通貨の取引方法

© Copyright 2017 お金の参考書. All rights reserved.

MENU

カテゴリ一覧

仮想通貨

資産管理

保険

クレジットカード

投資関連

インフォメーション