Zaif不正流出額70億円に修正 各取引所の対応まとめ 

こんにちは。「どきどきビット」サイト管理人のしんすけです。

Zaifより仮想通貨流出の発表があってから2日が経ちました。

Zaifからは新たな発表があり、被害額は67億円から70億円に修正されました。

 

またその間に各取引所より続々とセキュリティに関する案内が届いています。

本記事では仮想通貨取引所の取るべき最低限のセキュリティ対策、Zaifの不正流出事件後に各取引所から届いた案内などについて解説します。

マルチシグとホット・コールドウォレット

2018年1月26日に発生したcoincheckの流出事件を受けてZaifが1月29日に設置したセキュリティ対策室によるとマルチシグとホット・コールドウォレット環境の強化とあります。

強化ということなので完全なマルチシグ化とホット・コールドウォレット環境への移行はこの時点ではできていないということなのでしょうか。

このマルチシグとホット・コールドウォレットというのは仮想通貨取引所を選ぶ際に理解しておくべき重要なセキュリティ対策です。

今後仮想通貨投資を行う人はマルチシグとホット・コールドウォレットを概要だけでも理解して起きましょう。

今回のZaifで発生した仮想通貨流出事件、また2018年1月に発生したcoincheckでの仮想通貨流出事件は両取引所が顧客資産をインターネットに繋がった仮想通貨の保管場所であるホットウォレットに保管していたことが大きな要因です。

インターネットに繋がった状態で仮装通貨を保管しているとハッキングにより仮想通貨を盗むことが理論上可能となってしまいます。

あなたはパソコンやスマホでEメールを使ったことがありますよね?

もしあなたのスマホやパソコンがハッキングされるといとも簡単にあなたのEメールが勝手に送信されたり盗まれたりするのは想像できると思います。

しかしもしあなたのスマホやパソコンをインターネットに繋いでいない状態だったらどうでしょう。

外部からあなたのスマホやパソコンにはアクセスできないため盗むことがでいません。

仮想通貨も同じことが言えます。

そこでインターネットから隔離されている仮想通貨の保管場所であるコールドウォレットに保管することが対策となります。

でももしあなた自身はいつでもメールを送ることも見ることもできますよね?

また他人にEメールのパスワードを教えてしまうとその人もメールを送ったり見ることができます。

Eメールのパスワードを他人に教えてしまうのは致命的です。

仮想通貨におけるパスワードは秘密鍵と呼ばれます。

コールドウォレットに保管していたとしても内部犯行や脅迫などにより秘密鍵を盗めば仮想通貨を盗むことが可能となってしまうのです。

これに対応するためにはマルチシグと呼ばれる複雑な秘密鍵の保管方法があります。

そこで仮想通貨取引所は以下の2点をクリアしておくべき最低条件ということができます。

  • コールドウォレットに仮想通貨を保管していること
  • マルチシグの適応

各取引所からの案内まとめ

各取引所からの案内をZaifにおける流出を受けての各取引所での流出の有無、ホットウォレット、マルチシグに関してのみツイッターやホームページに記載されていることを意訳してまとめてみました。

bitbank

  • Zaifの流出事件を受け点検した結果仮想通貨の不正流出は確認されず
  • 顧客の仮想通貨はコールドウォレットで管理
  • コールドウォレットではイーサリアムを除いてマルチシグ対応
  • ホットウォレットではビットコイン以外非マルチシグ

 

Liquid

  • 他の国内仮想通貨取引所におけるハッキングおよび仮想通貨流出に関して各種メディアが報道されているがLiquid by Quoineにおいては同様の事象は発生していない
  • 100%コールドウォレット管理
  • マルチシグ対応(BTC,BCH対応済)

 

bitFlyer

  • Zaifの流出事件を受け点検した結果仮想通貨の不正流出は確認されず
  • さらなるセキュリティ強化に努める

bitFlyerの案内にはコールドウォレットとマルチシグには触れられていません。

bitFlyerのセキュリティに関する案内はこちらをご確認ください。

この案内によると、顧客およびbitFlyerが所有する80%以上のビットコインはコールドウォレットに保管と記載されています。

またビットコインの欄にマルチシグネチャ(=マルチシグ)の解説があります。

※bitFlyerは2018年6月22日に金融庁から業務改善命令を受け、自主的にアカウント作成の新規受付を停止しています(2018年9月22日現在)。

coincheck

ツイッター、ホームページではZaifの不正流出に関するお知らせは確認できませんでした。

マネックスの傘下の元でセキュリティ体制を立て直しているものと想像します。
9月22日時点での最新ツイート

※coincheckはNEMの流出以降、新規アカウント登録を停止しています。

GMOコイン

  • 本日ならびに過去の確認結果においても問題がないことを確認
  • ホットウォレットにおける仮想通貨の保管割合の見直しを含め、顧客から預かった資産の管理に努めているが、さらなる管理体制の強化とお客様利便の両立に努める

マルチシグについては触れられていませんが、案内にも貼られているリンクより同社のマルチシグの状況が確認できます。

DMM Bitcoin

ツイートや同社サイトのお知らせでZaifの流出事件に関する情報は確認できませんでした。

※9月20日のツイート

同社のホームページには「コールドストレージによるオフライン保管」との表記があります。

マルチシグに関しては確認できませんでした。

BITPoint

ツイッターでのお知らせはありませんが、ホームページのお知らせで以下の内容を確認することができます。

  • 緊急の再点検を実施し、仮想通貨の不正流出が行われていないこと、セキュリティ的な措置に問題がないことを確認

※9月22日時点での最新のツイート

またホームページで以下のように記載が確認できました。

  • ホットウォレットの管理について、当社独自の管理システムを構築
  • 秘密鍵を複数用意し、お預かりしている仮想通貨をより安全に管理
    ※一部の仮想通貨はマルチシグに対応していません

BitTrade

  • 点検の結果、仮想通貨において不正な流出は確認されなかった
  • セキュリティ強化に努める

またホームページで以下のような内容が確認できました。

  • マルチシグによるホットウォレットとコールドウォレットの管理体制を構築
  • 全ての種類の仮想通貨をコールドウォレットで管理

みんなのBitcoin

・再度点検を行った結果同様の事象が発生していないことを確認
・100%コールドウォレット管理
・マルチシグ対応(BTC,BCH対応済)

 

さてみなさんはこの案内を受けてどの取引所を利用したいと思いましたか?

私はここでご案内した全ての取引所のアカウントを持っています。

しかしどのアカウントにも多量の仮想通貨資産を置いてはいません。

各取引所はそれぞれセキュリティ対策を講じてはいますが、取引所に仮想通貨資産を置いておく以上ハッキングや倒産で仮想通貨資産を失う可能性はゼロではないからです。

私はそんなに頻繁に取引をしない中長期保有目的での投資をしています。

よって仮想通貨を購入したらハードウォレットに保管しています。

私が持っているのはTREZOR(トレザーLedger NanoSの2種類です。

ハードウォレットはインターネットから隔離されたコールドウォレット。

秘密鍵を無くしたらハードウォレットの中の資産を全て失うので、ホットウォレットにも分散して保管しています。

※TREZORの使い方はこちら
※Ledger Nano Sの使い方はこちら

ハードウォレットの使用方法は取引所に比べると若干難しいので、もし取引所のみを利用して仮想通貨投資をするというのであれば、複数の取引所のアカウントを解説することをお勧めします。

早めにアカウントを開設することは、リスクヘッジになると同時にチャンスを逃さないためにも重要です。

昨年12月には仮想通貨の価格が軒並み上昇し取引所にはアカウント開設のアクセスが集中しどの取引所でも数週間待ち、中には1ヶ月以上も待たされた取引所もあります。

アカウント開設は無料ですし、どの取引所も5分程度で完了します。

これを機に複数の取引所のアカウントを持ってもいいかもしれません。

Zaifの流出事件を機にアカウント開設をする場合は以下のポイントを押さえておくと良いでしょう。

  • コールドウォレットとマルチシグを公言している取引所
  • 証券やFXでセキュリティの経験が豊富な親会社を持つ取引所

最後に

朝日新聞によるとZaifから盗まれた仮想通貨はミキシングサービスが使われたようです。

ミキシングサービスとはコインチェックの事件でも使われた手口で、盗んだ仮想通貨をおびただしい数の口座に分散し追跡を困難にするマネーロンダリングの一種です。

コインチェックの事件の犯人は現時点では分かっていませんが、今回はどうでしょうか。
9月21日は各紙がZaifの件を伝えています。

  • 「仮想通貨 遠のく信頼(日経新聞)」
  • 「業者に3度目改善命令(産経新聞)」
  • 「仮想通貨 また安全軽視(毎日新聞)」
  • 「仮想通貨 67億円分流出(朝日新聞)」

金額が金額なのでしょうがないですね。

ネガティブなニュースが掲載されると当然仮想通貨のイメージも悪くなり新規参入者が少なくなってしまうかもしれませんが仕方がありません。

ちょっと印象的だったのは産経、毎日ではZaifの事件の概要の後に、「仮想通貨って何?」という感じのQ&Aコーナーが設けられていたことです。

世間一般の仮想通貨の認知度はこんなものなのでしょうね。

Zaifは金融庁の定める仮想通貨登録業者で初の流出となってしまいました。

また金融庁はZaifに対して2018年3月と6月に業務改善命令を出しています。

今後、金融庁の仮想通貨交換業者への取り締まりは一層厳しくなるでしょう。特に証券やFXで金融セキュリティの経験の無い、仮想通貨取引所からスタートした会社は特に厳しくなるかもしれません。

金融庁はイノベーションの利用者保護の両立を促進する立場にありますが、立て続けに大規模なハッキングがあれば利用者保護に傾かざるを得ないでしょう。

このような状況下で新会社が新たに仮想通貨交換業に登録するのは極めて難しいと思われます。

既に楽天がみんなのBitcoinを、香港法人のフォビ・ジャパン・ホールディングスがビットトレードを買収しています。

海外を含めた大手企業などによる日本の仮想通貨取引所の買収の動きが加速するかもしれません。

最後まで読んでいただきありがとうございました。
「どきどきビット」サイト管理人 しんすけ

セキュリティに信頼の置ける取引所

Liquid:100%インンターネットから隔離された環境で顧客資産を管理

GMOコイン:証券で金融キュリティ経験豊富

 COMMENT

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

関連記事

Zaifで67億円分の仮想通貨ハッキング。記者会見、倒産の可能性は?Zaifユー...

Zaifの運営会社テックビューロが解散 Zaifはフィスコに譲渡

金融庁がZaifへ3度目の業務改善命令。混乱に乗じた詐欺にも注意