仮想通貨のハッキングの手口
仮想通貨取引所は、ハッキングの標的となってしまうことがあります。ハッキングはそもそもどんな手口で行われるのでしょうか?
主な手口は4つに分類されます。
- フィッシングメール
- ビットコインATM
- 51%攻撃
- ウォレット秘密鍵の盗難
1つめは、取引所の従業員宛てにマルウェアを仕込んだフィッシングメールを送る手口です。
従業員がフィッシングメールを気づかずに開くと、ウイルスが取引所内のシステムネットワークへ侵入します。経理関係者や幹部のコミュニケーション内容、ネットワーク構造、ウォレットの保管場所など、さまざまな社内の重要情報を集めていきます。
最終的に社内の重要システムへのアクセス権限が付与されたPCから取引所の仮想通貨送金自動システムを操作して、自分たちの元へ仮想通貨を送金します。
2つめは、ビットコイン (BTC) の売買取引ができる「ビットコインATM」を使った手口です。
ビットコイン (BTC) のブロックチェーンに記録された取引情報は、ブロックに格納されます。しかし新しいブロックは約10分に1つのペースで作成されるため、取引情報がブロックに書き込まれるまでには時間差が生じます。
ブロックに格納されていない取引情報はこの時間差の間にブロック生成者によって削除できるのですが、当時のATMは取引情報がブロックに格納されるのを待たずして現金が支払われていたため、現金を受け取った後に取引情報を削除して、取引がなかったことにする (二重支払い) 手口が横行しました。
現在のATMは待ち時間を導入し、取引情報がブロックに格納されるのを待ってから現金が受け取れる仕組みになっているため、この手口のハッキングには対策済みです。
3つめは、51%攻撃という手口です。
51%攻撃とは、悪意のあるグループまたは個人により、ネットワーク全体のマイニング速度の51% (過半数以上) を支配し、不正な取引を行うことです。
ビットコイン (BTC) などの仮想通貨取引は、PoW (プルーフ・オブ・ワーク) という承認システムによって支えられています。PoWでは、取引が正しく行われたかどうかを世界中のマイニングを行うコンピューターの過半数の承認によって決定します。しかし、その承認作業を担うコンピューターの51%以上が嘘の取引承認を行えば、取引が不正に改ざんされてしまうのです。
過去に51%攻撃を受けた事例としては、2018年5月に起きたモナコイン (MONA) の不正ハッキング[1] COINPOST, モナコインに対する攻撃|史上最大級のブロックチェーン攻撃事件, 2018年5月18日配信があります。悪意を持ったマイナーが51%の承認権を支配し、モナコイン (MONA) を取引所へ入金・売却し、別の仮想通貨に変えたあと出金しました。
現状51%攻撃への有効な対策手段はありません。しかし50%以上のマイニング速度を確保するのは非常に高コストで現実的には難しいうえ、たとえ51%攻撃ができたとしても、その事実が広まると通貨の価格が下がるので、結果的に期待値以上の利益を得られないためです。ただし、時価総額の少ないマイナーなコインにおいてはその限りではないので注意が必要です。
4つめは、ウォレットの秘密鍵を盗難する手口です。
ウォレットでは秘密鍵と呼ばれるコードがあり、秘密鍵がないとウォレット内の仮想通貨は使用できません。一方で秘密鍵さえあれば、ウォレット内の仮想通貨は自由に送金できてしまいます。そのため、ハッカー攻撃によって流出した情報に秘密鍵が含まれていると、ウォレット内の仮想通貨を盗まれてしまうのです。
過去のハッキング事件
過去に実際に起きたハッキング事件のうち、代表的な事件を2つ紹介します。
1つめは、2014年に起きたMt.GOXの流出事件です。
当時国内最大級の仮想通貨取引所であったMt.GOXは、顧客分75万BTCと自社保有分10万BTCの約470億円前後をハッキングによって流出[2] 日本経済新聞, マウントゴックス破綻 ビットコイン114億円消失, 2014年2月28日配信しています。
この被害によって同社は、2014年に東京地裁に民事再生法の適用を申請し、破産しました。
2つめは、2018年1月に起きたCoincheckの流出事件です。
仮想通貨取引所のCoincheckはハッキングにより5億2300万NEM、検知時のレートで約580億円が流出[3] TechCrunch, コインチェックが580億円のNEM不正流出について説明、補償や取引再開のめどは立たず, 2018年1月27日配信してしまいました。この事件は仮想通貨のハッキング事件のなかでも過去最多の被害額として知られています。
原因としては、顧客の資産をインターネットに繋がれたオンラインのホットウォレットで管理していたことがあげられます。
この事件をきっかけに、各取引所は顧客の資産をオフラインのコールドウォレットで管理するのが主流になりました。金融庁も法整備の強化に乗り出し、顧客の資産を企業の資産と別の口座で管理する分別管理を義務付けるなどしました。
ハッキングから資金を守る
資産をハッキングから守るためには取引所に預けるばかりではなく、個人のウォレットでも管理することが大切です。
ウォレットは、オフラインで管理できるハードウェアウォレットがおすすめです。安いものであれば3000円ほどから購入できます。なおハードウェアウォレットにも紛失や盗難のリスクが伴うので、取引所のウォレットと使い分けるといいでしょう。
万が一取引所がハッキングされた場合は、焦って資金を移動させないようにしましょう。個人で管理しているハードウォレットに取り出す場合を除き、焦って適当にダウンロードしたウォレットアプリに移動させたりすると、そのウォレットにウイルスが入っていて二次災害を受けた、という自体になりかねません。
金融庁が認可した国内取引所であれば、万が一流出があったとしても資産を補填する体制が整っているところがほとんどなので、焦らず適切な行動を取るようにしましょう。
仮想通貨のハッキングに関するQ&A
ハッキングで失った資金は保証されますか?
多くの国内取引所は、外部からのハッキングにより取引所のウォレットから流出した場合は保証されますが、パスワードの流出といった個人レベルの管理不足により流出した金額は保証されません。
取引所では保証に関する規約を利用規約で説明しています。口座開設の前に必ず目を通しておきましょう。
フィッシングメールにはどう対応すればいいですか?
脅迫じみた内容で仮想通貨の支払いを要求するフィッシングメールが送られてきた場合には、無視しましょう。対応する必要はありません。被害の事例は金融庁公式ページに記載されています。
これらのフィッシングメールには、送信元が自分のアドレスになっていたり、メールの件名や本文に自分がウェブサービスで設定したことのあるパスワードが記載されていたりすることもあります。これは、あたかもメールアカウントをハッキングしたかのように見せ、内容に信ぴょう性をもたせる意図があると考えられます。
この場合にもメールを無視して構いません。ただし記載されているパスワードを使用しているものは、すべて新しいパスワードへ変更手続きをしておきましょう。
仮想通貨のハッキングまとめ
仮想通貨はデジタル通貨という性質上、ネットワークを使って取引するため、ハッキングの被害に遭うリスクがあります。過去にも国内外の取引所でハッキングによって資金が流出した事件がありました。
大切な資産を失わないためには、すべての資産を取引所に預けたままにするのではなく、ハードウェアなどの個人で管理できるウォレットヘ移動しておきましょう。またパスワードを複雑なものに設定する、怪しいメールやURLは開かないといった地道にできる対策も重要です。
仮想通貨の管理はあくまでも自己責任です。被害に遭わないためにも日頃からセキュリティへの意識を持っておきましょう。