ハッカーを追跡するホワイトハッカー…。
まるで漫画『王様達のヴァイキング』のようです!
ハッキングを防止する仮想通貨のセキュリティー対策
仮想通貨NEMが、国内取引所Coincheckから5億2300万XEM盗まれたことがわかりました。取引所がNEMをマルチシグを掛けずにホットウォレットに保管していたことが原因ではないかと考えられます。
この盗まれたNEMについて、現在ホワイトハッカーが追跡中です。ホワイトハッカーはNEMコミュニティの日本人開発者で、NEMのモザイクという仕組みを使い、盗難犯のアドレスからの送金にマーキング。犯人の追尾を行っています。
取引所がハッキングされたことで資金が流出してしまいましたが、仮想通貨のセキュリティー対策のマルチシグとホットウォレットに保管について解説します。
マルチシグとは
マルチシグ:マルチシグネチャーの略(Multisignature)
マルチ(複数の)シグネチャー(署名)という意味ですが、ざっくりと言うと「送金などの処理をする際に複数の人の合意がないと処理を進めることができない仕組み」を指します。
仮想通貨の口座である「アドレス」の中の資金を動かすためには、本人しか誰にも知らせてはいけない「秘密鍵」が必要です。
例えば、秘密鍵を3つに分割し、そのうち2つの鍵での署名がないとコインを移動できなくなります。秘密鍵が保管された端末がハッキングされ秘密鍵のうちの1つが流出したとしても、もう1つの秘密鍵がないとコインを盗むことができません。
もちろん複数の端末がハッキングされるリスクもありますが、同時に複数の場所の秘密鍵を盗むことは困難なためセキュリティーの強度が高くなります。
ちなみにビットコインのアドレスは通常”1”から始まりますが、”3″から始まるものはマルチシグ対応のものになります。仕組み自体は単純ですが応用範囲が広く、サービスや商品の支払いをブロックチェーン上に預けて置きお互いに秘密鍵をそれぞれ1つずつ共有し、取引が完了した段階で第三者に預けている秘密鍵を渡すことで3つのうち2つの暗号鍵でコインを移動させることができる「マルチシグエスクロー」という手法も存在します。
今回のコインチェックでのXEMの流出については、マルチシグを掛けずに管理していたこともセキュリティー対策が不十分だと指摘されています。
ホットウォレットとは
こちらは”コールドウォレット”と比較する概念で、仮想通貨の秘密鍵の管理がオンラインかオフラインかの違いになります。
ホットウォレット:上記ネットワークに接続された環境にあるウォレットのこと
コールドウォレット:ネットワークから隔離された環境に秘密鍵を保管しておくこと
当然ですがネットワークに繋がっている環境は常にハッキングのリスクがあるためセキュリティー面では危険度が高いです。
コインチェックは取引所のHPの”セキュリティー対策”としてコールドウォレットでの管理していると公表していますが、それがされてなかった点で批判を受けています。
コールドウォレットによるビットコインの管理
当時、Mt.GOX(マウントゴックス)のコールドウォレットの管理は完全なオフライン状態で行われていなかったため、安全性が確保されていませんでした。
coincheckでは、お客様からの預り金の内、流動しない分に関しては安全に保管するために、秘密鍵をインターネットから完全に物理的に隔離された状態で保管しています。(引用先:https://coincheck.com/ja/documents/security)
盗まれたXEMをホワイトハッカーとNEM財団が追跡中
【ドラマ風にここまでの流れを整理】
・coincheckでXEMが巨額盗難
・ホワイトハッカー、みずなしりん氏(17歳女子高生)が動く
・NEM財団と連携し、追跡ツールを開発
・NEMチーム「ハッカーではなく、我々が勝利するだろう」
・コミュニティの総力を挙げてハッカーと戦う!— イケハヤ@YouTube登録17万人 (@IHayato) January 27, 2018
コインチェックまとめ
①コインチェック(仮想通貨銀行みたいなの)がハッキング
②通貨の”NEM” 560億円分奪われる
③日本人JK(17)のホワイトハッカーが立ち上がる。不正通貨にマーキングし、ありかまでは特定
④NEM財団も対策プログラムの作成開始。JK(17)から追跡の引継ぎを受ける予定 pic.twitter.com/rV1JWLemlt— KOZEのワインブログ (@kozewine) January 27, 2018
仮想通貨の仕組みとして、分散型台帳に全ての取引が記録されているため今回引き出されたXEMの送金先のウォレットが判明されました。そのウォレットから次にどのウォレットへ資金が移動したかも把握可能なため、「うちの取引所はこのウォレットから送金されたXEMは換金しない」という措置も取ることが可能になります。
このホワイトハッカーの方の仕事がイケメンすぎる…。
年始から規制やハッキング被害で踏んだり蹴ったりな仮想通貨市場ですが、こうしたブロックチェーン技術を使っているため追跡が可能でマネーロンダリングもハッキングして盗んだお金を換金するのも難しいと理解が広まれば嬉しいです。
『王様たちのヴァイキング』の是枝君のように悪人を追うハッカーがこれから人気職業になってくれると嬉しいです!
