コインチェックのNEM(XEM)流出問題はコールドウォレットとマルチシグが搭載されていなかったことによるハッキングが原因でした。
今回は日本円でビットコインが買える国内取引所を徹底的に調べ、セキュリティーレベルの高い取引所を調査してみました。
マルチシグ・コールドウォレットとは
今回コインチェックがハッキングされた事件は、NEMをマルチシグとコールドウォレットで管理していないことが原因で起きてしまいました。
まずはこの言葉の意味を説明します。
コールドウォレット
コールドウォレットとは、インターネットと切り離されたオフラインで仮想通貨を保護する仕組みになります。
必要な時以外、ユーザーの資産を常にオフラインで仮想通貨を保存することになるので、ハッキング対策として一番有効な手段になります。
コインチェックではこの反対の「ホットウォレット」(=オンライン常態で資産管理)していたため流出事件が置きました。
マルチシグ(マルチ・シグネチャ)
マルチシグとは内部による不正を防ぐための管理体制のことです。
「コールドストレージ」からの送金、出金作業を強制的に複数部署の承認を必要とする仕組みにしておくことで、複数人が入出金を監視することになります。
取引所内部の担当者が意図的に送金先を変更することが不可能になります。
コインチェックでは1人の送金処理でお金を動かすことが出来たため、このような事件が起きました。
マルチシグ・コールドウォレット完備の取引所
bitFlyer(ビットフライヤー)
私がセキュリティ面で一番信用しているのは「bitFlyer(ビットフライヤー)」です。
ビットフライヤーでは徹底したセキュリティ対策に努めており、以下のようなセキュリティ機能を実装しています。
1.最高強度のSSL通信
SSL通信とは暗号化通信のことで、例えばログイン情報を入力した際にSSL通信が行われていなければハッカーは送信した情報を盗み見ることが出来るようになります。
ビットフライヤーでは最高強度と呼ばれるSSL通信を実装しており、世界最高の認証局の一つであるDigiCertを採用しています。
2.ファイアウォールによる外部攻撃の防御
社内のネットワークは全てファイアウォールによる防御体勢を整えており、外部からの攻撃や不正アクセス対策を常に行っています。
社内でもアクセスできる範囲は決まっており、外部からの侵入を防ぎつつ、社内でも外部に情報が出ないよう情報保護に努めています。
3.不正アクセスの常時監視
外部からの特徴的なアクセス攻撃の動きなどは常に監視を行っており、アクセス情報はログを取って常時確認しています。
検査制度もかなり高く、複数の処理機能や検査パターンを用いて外部からの侵入を防ぎます。
4.アカウントロック・二段階認証
ビットフライヤーでは登録者のセキュリティーレベルをあげるために強度の高いパスワードを必要とします。
特定されやすい文字列や短いパスワードを禁止し、一定以上正しくないパスワードを入力した場合アカウント保護のためにロック機能がかかるためハッカーのログインを防ぎます。
また、二段階認証を必要とするためアカウント自体のハッキングがされても侵入を防ぐことが出来ます(自身で設定する必要があります)
5.マルチシグ完備
重要なポイントですがビットフライヤーではもちろんマルチシグを完備しています。
入出金が行われた場合、不正出金などが行われていないか内部で複数人がしっかりと確認し、問題ないことを確認して処理を行っています。
そのため資産の移動には少々時間がかかりますが、安全な資産管理のためなら十分許容出来る範囲だと思います。
6.コールドウォレットで管理
コインチェックでは管理している資産をホットウォレットで100%管理していたため流出事故が起きてしまいました。
ビットフライヤーではコールドウォレット(オフライン)で管理することによって、ハッカーが預かっているビットコインアドレスから現金を引き出すリスクをなくすことが出来ます。
7.常に最新のOSでウィルス対策
ハッカーはパソコンのOSの脆弱性を突いて攻撃してくることもあります。
ソフト側の問題になりますが、ビットフライヤーでは常にOSを最新状態のものにし、最新のセキュリティ状態を維持しています。
顧客情報も常に暗号化された状態で管理保管しているため、流出のリスクは限りなく少なく、万が一の事態に備えて自己診断機能と強制シャットダウン機能で被害を最小限に抑えます。
8.ユーザー補填サービス付き
万が一の流出に備えて、ビットフライヤーではユーザー補填サービスも行っています。
条件として二段階認証を設定している場合に限るのですが、以下の条件で補填が可能と明記されており、流出が起きた場合も報告をすれば返金される可能性が高い用です。
- 預かり資産の合計が円換算にて100万円を超える二段階認証登録ユーザーに対しての補償上限金額は500万円
- 上記以外の二段階認証登録ユーザーに対しての補償上限金額は10万円
国内だけでなく海外の認可も受けている
ビットフライヤーは金融庁から正式に「仮想通貨交換業者」の第1号の認可を受けており、コインチェックでは認可を受けていなかったため、コレは信用度がかなり高い証拠と言えます。
また、米国・EUでも正式に仮想通貨交換事業のライセンスを取得した実績を持っており、海外からも信頼されるセキュリティ強度を持っているといえます。
当社子会社の bitFlyer EUROPE S.A. は Payment Institution License を取得し、本日より欧州連合(EU)において仮想通貨交換業を開始しました。当社グループは日本・米国・EU において仮想通貨交換業のライセンスを取得した世界で初めての事業者となりました。 https://t.co/zIbaqnhVmy pic.twitter.com/dina6BOEmX
— bitFlyer(ビットフライヤー) (@bitFlyer) January 23, 2018
顧客保護を第一に考えている代表の加納氏
当初数ヶ月で取れると言われていたライセンスですが、ヨーロッパは仮想通貨業の法律がなく、当局との話し合いに2年かかりました。
ビットフライヤーは、顧客保護のためには絶対に本人確認やセキュリティー要件を満たした法を遵守しなければないないと考えています。
— 加納裕三 (Yuzo Kano) (@YuzoKano) January 23, 2018
コンプライアンス意識の低い取引所では、本人確認もせずにマネーロンダリングに関与したり、顧客資金の流用やハッキングが散見され、結果顧客資産を毀損したり、逮捕者が出ているのも残念な事実です。
— 加納裕三 (Yuzo Kano) (@YuzoKano) January 23, 2018
競合他社が無免許でサービスを開始するなか、社員にはずっと我慢を強いて来ました。これで正々堂々と安全なサービスが提供でき、仮想通貨業界がまた一歩信頼されることになれば幸いです。
— 加納裕三 (Yuzo Kano) (@YuzoKano) January 23, 2018
代表の加納裕三氏はお客様の資産を預かっているという自覚と責任をキチンと持っており、資産保護を第一に考えています。
仮想通貨業界の信用を獲得するためにもビットフライヤーのセキュリティが強固なわけですね。
セキュリティが世界一と評価された
bitFlyerはセキュリティで世界一と評価されました。https://t.co/JmhB5jv6AU pic.twitter.com/D4LeRUicPa
— 加納裕三 (Yuzo Kano) (@YuzoKano) February 3, 2018
2018年2月にビットフライヤーは世界一のセキュリティ水準を持つ仮想通貨取引所として認可されました。
セキュリティレベルが高いと言われている海外取引所のコインベースと並んだ国内取引所は全世界初の快挙です。
顧客の資産管理を徹底していることがわかります。
資産を守るならビットフライヤー一択
国内取引所は複数ありますが、国内外問わず正式な仮想通貨交換事業の認可を受けているという信用のあるビットフライヤーは資産を第一に考えている取引所といえます。
数百万、一千万信用して預けられる場所はなかなかないと思いますが、私もビットコインはウォレットかビットフライヤーに預けて管理しています。
サービスのセキュリティ対策や代表の意識の高さを考慮するとビットフライヤー一択しか無いかなと思います。
他の取引所とセキュリティを比較したい方はこちらの記事も参考にしてください。