大手仮想通貨取引所、Zaif(ザイフ)で2018年9月21日に約70億円相当の仮想通貨が不正に流出しました。
今回の事件はコールドウォレットではなくホットウォレットの管理が原因の一つでした。コインチェック事件でもホットウォレットでの管理が問題になっていましたね。
そもそもホットウォレット、コールドウォレットとは何でしょうか。そしてなぜ、コールドウォレットに入れずに事件は再び起きてしまったのでしょうか。
目次
仮想通貨流出とコールドウォレット
2018年1月26日、大手仮想通貨取引交換所、コインチェックで仮想通貨NEM不正流出事件が発生したのは記憶に新しいです。
日本円で約580億円相当の仮想通貨NEMが不正なハッキングによりわずか一晩で流出したという事件。メディアでも大々的に取り上げられ、仮想通貨の安全性を世の中に再度問うことになりました。
この時、議論の焦点となったのが「仮想通貨をなぜコールドウォレットで管理しなかったのか?」「コールドウォレットに入れていれば不正アクセスを防ぐことが出来たのではないか?」等、コインチェック側の管理体制の問題です。
そして2018年の9月21日、仮想通貨大手Zaif(ザイフ)で約70億円相当の仮想通貨が不正に流出。ビットコインはじめ、様々な仮想通貨が盗まれました。
またしても不正アクセスで流出してしまったわけです。今回の事件もコールドウォレットではなく、ホットウォレットでの管理でした。
なぜ、コインチェックNEM流出事件であれ程まで議論されていたのにも関わらず、仮想通貨をコールドウォレットで管理していなかったのでしょうか?
コールドウォレットとは?
そもそもコールドウォレットとは何でしょうか。
コールドウォレットとは、仮想通貨の秘密鍵を補完・管理するウォレットのうち、インターネットから隔離された状態で保管できるもの。安全性は高いが、送金や引き出しの手間がかかる。ー『デジタル大辞泉ーコールドウォレット』より引用
インターネットにつながっていないオフラインでの秘密鍵の保管ですね。実はコールドウォレットはこのように鍵の保管が目的です。
仮想通貨がこのコールドウォレットに入っているわけではなく、通貨自体はその特性上常にオンラインで管理されています。
仮想通貨を取引する際、秘密鍵(数字、文字列によるパスワード)がなければ取引することは出来ません。
つまり、この秘密鍵が盗まれなければ仮想通貨が勝手にどこかへ行ってしまうことはないのです。
不正アクセスで流出とはこの仮想通貨の秘密鍵を盗まれて送金を実行したということになります。
確かにこの秘密鍵をオフライン上で管理すれば盗まれることはないですよね。
コールドウォレットの具体的な方法としてはハードウォレットと呼ばれるUSBメモリのような機器での保管とペーパーウォレットと呼ばれる秘密鍵のQRコードが印刷された紙での保管などがあります。
(ちなみにホットウォレットとは反対にオンライン上での秘密鍵の保管です。)
ではなぜ、二つの事件はこのセキュリティ対策を取らなかったのでしょうか?
コールドウォレットは技術的に難しい
コインチェックがNEM流出事件を受けて、当時のコインチェック和田晃一良社長はこのように発言していました。
「ネットから隔離した「コールドウォレット」で管理していれば不正アクセスを防げたが「技術的な難しさと人材不足から対応できていなかった」
コインチェックの詳細なシステムまでは分かりませんが、取引所や交換所では仮想通貨の取引は24時間常にオンラインで行われています。それも膨大な取引量です。
仮想通貨の強みの一つとして取引スピードの速さがあります。
全顧客の仮想通貨をいちいちコールドウォレットに入れていては時間も掛かりますし、それをスピーディーに行うには高い技術がなければ難しいでしょう。
個人が自分のウォレットで管理している仮想通貨をコールドウォレットに入れて保管することと、取引所がコールドウォレットにいれて管理することは同じように見えても全く違うことなのかもしれません。
技術に差、仮想通貨取引所
しかし、難しいとは言え出来ないという事はないはずです。
こちらも仮想通貨大手であるビットバンクではビットコインやその他アルトコインの保管を全てコールドウォレットにしています。
すでにこのようなセキュリティ対策を取っている会社もあるわけで、技術的には可能なのです。
つまり、なぜコールドウォレットにしないのかという問題は各取引所における技術面によって出来る、出来ないが大きく分かれてしまうということです。
多くの取引所は技術者がいても近年、爆発的に急増していく仮想通貨取引に対するサーバー構築などで手一杯でセキュリティは二の次になっているのが現状です。
元和田社長の言う通り人材不足というのは正直な発言だと思います。
消費者も取引所の比較を
Zaifは仮想通貨の取引を一時的にストップし、2018年10月5日に仮想通貨をコールドウォレットに移動させました。
事件発生から約2週間後の事です。対応も遅いと言わざるを得ません。
私たち消費者も仮想通貨を始めるならば、取引所を比較し、よく下調べしてから登録した方が良いのです。このように会社によってセキュリティ技術に差が大きく開いているためです。
そして事件が起きてしまった時の対応についても注目するべきでしょう。
取引所は通貨の保管方法など公表しています。
全ての通貨をコールドウォレットでの保管という項目があればより安全です。
取引所によって一部コールドウォレット、一部ホットウォレット等の明記がある所は注意が必要でしょう。
コインチェックがそうであったように大部分がホットウォレットでの保管かもしれませんし、明確な数字を示していないからです。
まとめ
いかがでしたでしょうか。「なぜコールドウォレットに入れなかったのか」というのは取引所がコールドウォレットに全ての仮想通貨を保管するための技術力がなかったから、ということでした。
もちろんコインチェックやZaifもコールドウォレットに入れるのが一番安全だという認識は持っているはずです。
しかし近年爆発的に急増した仮想通貨取引量に対してコールドウォレットでの保管を行う技術力が不足していました。
ですので私たちも仮想通貨を始める際には取引所選びは非常に重要です。
特にセキュリティに関する資料には必ず目を通すようにしましょう。
これからも仮想通貨についての情報を発信していきたいと思います。
ここまでご覧いただき有難うございます(^^)/