徹底解説!!コインチェックは危ない!?セキュリティは万全なのか?

国内の仮想通貨取引所は数あれど、コインチェックのセキュリティはどうなのか。
仮想通貨に挑戦してみたいけど日本円を入金するのが怖い。

いざ口座を開設してみたいけど、仮想通貨がハッキングの被害に遭ったりしたら大変です。
そもそも口座を開設して大丈夫なのか・・・。

OLのお姉さん

コインチェック事件などもあったから、あれから改善されてるのか知りたい。

かいくん

その点も含めて、分かりやすく解説しますので、ご安心ください。

この記事では、あのコインチェック事件を経てしっかりとセキュリティ強化されたコインチェックの真の姿をご紹介します。

生まれ変わったコインチェック
  • コインチェックは金融庁の暗号資産交換業者に登録されている
  • ホットウォレットではなく、コールドウォレットで管理しているので安心
  • もちろん二段階認証も実装済み
  • マルチシグで確実な取引承認
  • 大手マネックスグループだから経営資金と顧客資産は完全分離
  • 本人確認対策も万全
目次

コインチェックは金融庁の暗号資産交換業者に登録されている

コインチェックは、2018年のコインチェック事件以前は金融庁の暗号資産交換業者に登録されていませんでした。
しかし事件後の2019年初頭には、金融庁の定める暗号資産交換業者に登録されています。
セキュリティ面や財務面で一定の水準を満たしていると言ってよいでしょう。

暗号資産=仮想通貨

コインチェック

暗号資産交換業者に登録するための要件

金融庁が主導する暗号資産交換業者に登録するためにはいくつかの条件があります。
分かりやすい例として下記をご覧ください。

暗号資産交換業者に登録するには
  • 顧客資産を分別管理できているか
    ・いくらまでを顧客資産を預かるのか
    ・預り金をどのように分別するのか
    ・顧客資産残高に異常が生じた場合の措置はなにか
  • 秘密鍵の管理状況はどうなっているか
  • 決済担当者が不正利用を行わないようにするための措置はあるのか
    ・またその手順と異常発見時の措置はあるのか
  • ウォレットの運用管理について
  • サイバーセキュリティ対策について全般

※秘密鍵:取引承認のための情報

などなど、ここには書き切れないほどの項目について、金融庁の指定した条件を満たす必要があります。
コインチェックは2019年初頭以降、この暗号資産交換業者に登録されています。

詳細は仮想通貨交換業者の登録審査における主な論点等をご覧ください(PDFファイルが開きます)。

金融庁に登録された取引所の一覧は暗号資産交換業者登録一覧で確認できます(PDFファイルが開きます)。

コインチェック事件の詳細は下記wikiで確認できます。

2018年1月26日 00:02:13から08:26:13にかけて、コインチェックが保持している暗号通貨のうちNEM(ネム)(通貨記号はXEM)建ての顧客資産がクラッキングにより取引所から外部に送金され、さらに別口座に移転されてほぼ100%流出してしまう事態が発生した。

wikipedeia・CoinCheckー暗号資産流出事件より

コールドウォレットでの管理

仮想通貨を保存しておくアドレスを、一般にウォレットと言います。
コインチェックは、コインチェック事件を経てホットウォレットでの運用からコールドウォレットでの運用に切り替え、ハッキング対策を強化しました。

ウォレットあれこれ
  • ウォレットとは仮想通貨を保管する場所
  • ホットウォレットとは
  • コールドウォレットとは
  • コインチェックはコールドウォレットで管理している

ウォレットとは

そもそもこのよく聞くウォレットとはいったい何なのでしょうか。

ウォレット=仮想通貨のお財布

というこで、現時点ではOKです。
(別記事で解説いたしますので、しばらくお待ちください。)

つまり、コインチェックで口座を開設するとコインチェック内に自分のウォレット(お財布)ができます。
そこに仮想通貨を保管しておいたり、そこから仮想通貨を出金してみたり。
仮想通貨の取引が可能になります。

かいくん

口座開設とは言いますが、基本的にはコインチェック内にウォレットを作りますよということです。

これが私のウォレットです。
このように、固定の長さの文字列になっているのが特徴です。

つまりこのウォレットがハッキングされてしまうと、仮想通貨が盗まれるリスクがあるんですね。

コラム

ウォレットアドレスが分かっても秘密鍵が盗まれなければ、基本的に被害はありません。
秘密鍵が、取引の署名と暗号化を行う役割を持っていますので、アドレスだけ分かっても特に意味はありません。
ハッキングで盗まれて困るのは秘密鍵です。

ホットウォレットとは

ホットウォレットとは、ウォレットをネットワークに常時接続しオンラインで管理することです。
常にネットワークに接続されているのでハッキングされるリスクがあります。

ウォレットをオンライン上で管理すると良い点は、取引処理が簡単という点があります。
常にオンラインに接続しているので、使用したいときに即座に使用できます。

また管理者側(コインチェック)も複数の処理を間に挟むことなく取引処理を実行できます。

ホットウォレット

ホットウォレットとはオンライン管理のウォレットのこと。コールドウォレットと比較して利便性が高い。
その反面、ハッキングに弱い。

コールドウォレットとは

逆にコールドウォレットとは、ウォレットをオフラインで管理することです。
つまり、オンラインから切り離した状態。

OLのお姉さん

オフライン状態なら、絶対にハッキングされないですね。

コールドウォレットはハッキングしようとしても物理的に不可能。
だからハッキング対策としては最も効果が高いのです。

オフラインで管理するので、管理者側(コインチェック)においてはひと手間かけて取引処理を行っています。
そのため、ホットウォレットよりも利便性は低いです。

コールドウォレット

コールドウォレットはオフラインで管理されるウォレット。ハッキングリスクはない。が、利便性は下がる。

ホットウォレットコールドウォレット
概要オンライン状態で管理オフライン状態で管理
種類モバイルウォレット
デスクトップウォレット
ブラウザウォレットなど
ペーパーウォレット
ハードウォレットなど
利便性
セキュリティハッキングリスクありハッキングリスクなし
ホットウォレットとコールドウォレット比較

コインチェックはコールドウォレットで管理している

コインチェック事件の大きな要因は、コインチェックが顧客のウォレットをホットウォレットで管理していた点でした。
従って、ハッキングされれば顧客の仮想通貨資産が抜き取られるリスクをはらんでいたと言えます。

USBやペーパーなどで秘密キーを保管するコールドウォレットを利用することで、オンラインから隔絶され、ハッキング対策には非常に有効です。

コインチェック・Coincheck(コインチェック)の安全性やセキュリティについて


コインチェックはコインチェック事件以降、ホットウォレットからコールドウォレットでの管理に移行しており、
現在ではウォレットを理由にハッキングされることはないと言ってよいでしょう。

二段階認証の導入

コインチェックはログインのたびに、ログインIDとパスワード、そして二段階認証でワンタイムパスワードを要求します。
これにより、IDとパスワードを知っているだけではログインが不可能になっています。

二段階認証あれこれ
  • 二段階認証とは
  • 二段階認証のメリット
  • コインチェックは二段階認証に『Google Authenticator』を導入している

二段階認証とは

二段階認証とはその名の通り、基本的なIDとパスワードを入力してログインをした後
更に別のIDやパスワードを入力させたり、異なるワンタイムパスワードを要求するシステムのことです。

最近では、IDとパスワードのみの認証作業では簡単にセキュリティを破られてしまう。

この操作を要求することで、さらに強力な不正ログイン対策が可能になります。
当然、この操作があることでユーザーも安心感をもってシステムを使用することができます。

OLのお姉さん

秘密の質問で、あなただけしか知りえない答えを要求するのも二段階認証のひとつです。

そのため、二段階認証を要求することはある意味では顧客満足度の向上に役立っているとも言えます。

二段階認証のメリット

二段階認証導入のメリットは当然、不正ログイン防止、web上からのハッキング防止です。

また、コインチェックで導入されている二段階認証の大きなメリットはユーザー側にパスワードを設定させない点にあります。

未だに簡単な文字列をパスワードに設定するユーザーはおり、そのためにセキュリティが脆弱になる傾向があります。

ユーザー側に設定させないことで、推測できない文字列を要求できる。

コインチェックは『Google Authenticator』を導入している。

コインチェックは二段階認証に、『Google Authenticator』を導入しています。
これはグーグルが開発した認証システムの一つです。

コインチェック・二段階認証画面

コインチェックに電話番号で登録されているスマートフォンからのみ、二段階認証に必要な6桁の数字を生成できます。
そのため、他のスマートフォンからは6桁の数字を知ることは出来ません。

また、6桁の数字は時間の経過で随時更新されます。そのためにハッキングなどの攻撃を受ける隙を与えないのが特徴です。

セキュリティ向上のためにログイン時に「二段階認証」と呼ばれる方式を採用しています。
取引画面へのログイン時には通常、登録済みのメールアドレスやパスワードを入力しますが、二段階認証ではさらにスマートフォン宛てにログインの都度発行されるワンタイムのパスワードの入力を必要としています。
この仕組みによって、仮にメールアドレスやパスワードの情報が盗まれても、アカウントにアクセスされたり、不正出金されるといった被害を防いでくれます。

コインチェック・二段階認証

下記記事では『Google Authenticator』の使用方法も含め、口座開設手順を詳細に解説しています。

あわせて読みたい
コインチェック(Coincheck)での仮想通貨口座開設方法を解説します シンプルで使いやすいアプリ画面で好評なコインチェック。仮想通貨初心者でも簡単に登録できて、直感的に使えるのが大きな魅力。まずはとりあえずコインチェックといっ...

マルチシグで安心の取引承認

中々聞きなれない名称ではないでしょうか。マルチシグとはマルチシグネチャー『Multi Signature』の略語です。

マルチシグって・・・?
  • マルチシグとは
  • マルチシグのメリット
  • コインチェックはシングルシグからマルチシグに移行している

マルチシグとは

マルチシグとはマルチシグネチャーの略語で、複数署名を意味します。

OLのお姉さん

複数署名?いったい何のことやらさっぱり。

基本的に、ユーザー側はこのマルチシグに関して何か操作を行うことはありません。
コインチェック側がマルチシグで処理を行うことになります。

難しい話は省きます。
つまり、仮想通貨の取引承認において、複数の署名が必要になるということです。

かいくん

単独で取引を承認するよりも、複数で承認するからセキュリティとしては良いよね!!ということでOKです。

マルチシグのメリット

取引の承認に複数の署名(鍵)を得る必要があります。
そのため、例えば1BTC(ビットコイン)をAさんからBさんに送金する取引を実行したい場合、一人の承認だけでなく、あらかじめ設定された複数名の署名(鍵)が必要になるのです。

マルチシグ一例

これにより、一人の鍵が盗まれたとしても、必要な鍵が複数あるためハッカーは不正送金ができません。

OLのお姉さん

たとえ自分一人のウォレットがハッキングされたとしても、不正取引が承認されないのであれば安心ですよね。

コインチェックはシングルシグからマルチシグに移行している

コインチェック事件以前はマルチシグと対極にあるシングルシグで管理を行っていました。
従って、ウォレットから鍵を1つ盗むだけで、不正送金が可能になっていました。

これをマルチシグ化することにより、セキュリティの向上が行われました。

これまでの個人認証では予め設定したIDとパスワードを入力して個人を認証する方式でしたが、秘密キーがパスワード一つのみとなるため、個人の端末などへハッキングされると簡単に保管している暗号資産が持ち出されてしまいます。
マルチシグを利用することでハッキングが困難になり、セキュリティ対策として非常に有効です。

コインチェック・マルチシグ

仮想通貨の詳しい仕組みについては下記をご覧ください。

あわせて読みたい
ビットコイン・仮想通貨とは?仕組みを解説 なんやかんやネットニュースや世界の投資家や実業家の間で話題になる仮想通貨。この記事をご覧の方は、仮想通貨ってなんなの??みんな分かってやってるの??と疑問に...

経営資産と顧客資産は完全分離

コインチェックはコインチェック株式会社の経営に必要な資金とは分離して顧客資産を管理しています。
これは、金融商品取引法(抄) 第43条の2 分別管理で定められている内容です。

資産分離がなぜ必要?
  • 顧客資産を完全な状態で確保・保護しておくため
  • 管理している仮想通貨の流出が多発しているから

顧客資産を完全な状態で確保しておくため

顧客資産の完全分離とは、経営に必要とされる資産と顧客から預かった資産を完全に分離して保管しておくことです。

金銭信託・通常

顧客資産は基本的に、会社資産に含まれることはありません。
別の信託会社に保管委託され、一切手を付けられない状況になっています。
詳しくは金融商品取引法(抄) 第43条の2 分別管理をご覧ください。

OLのお姉さん

私たちの預けた仮想通貨や日本円が、経営資本で使われるのは気持ち悪いですよね。担保がないじゃないですか。


会社の経営資産に顧客の資産が組み込まれると、どのような状況になるでしょうか

経営資本に組み込まれると
  • 会社が倒産した時に返還されない
  • ハッキング被害時に資産が補填されない
  • 引き出したいときに引き出せない可能性
  • 自転車操業状態に陥る

上記の状況にならないように、私たち顧客の資産はしっかり確保して保護しておこう、ということです。

金銭信託・破綻時

しかしながら、コインチェックの暗号資産取引説明書おいては、経営破綻した場合返還されない可能性について言及されていますので、コインチェックの経営破綻時は返還されない可能性があるということで、しっかりご理解ください。

OLのお姉さん

絶対に100%返還できます!!とは言えません。可能性が1%でもある場合は必ず記載しなければならないので。

詳細は、Coincheck 暗号資産取引説明書で確認できますので、ぜひ目を通してください。

仮想通貨暴落のリスクもあります。ぜひご一読ください。

あわせて読みたい
【暴落】ビットコイン・仮想通貨大幅下落!!その理由は? ビットコインが過去最高、1BTC = 760万円代を記録したことはニュースにも取り上げられるほどでした。しかし、その約4か月前は320万円代と、その差実に2倍以上あること...

ホットウォレット管理により資産流出が起きているから

コインチェック事件も良い一例ですが、管理しているホットウォレットから顧客の資産が流出する事件が相次いでいます。

平成30年9月14日頃以降、弊社サービスにおいて、仮想通貨の入出金等の一部のサービスが稼働しておらず、お客様には大変なご迷惑をおかけしております。
弊社における調査の結果、入出金用ホットウォレットの一部が外部からの不正アクセスによりハッキング被害を受け、弊社が管理する仮想通貨のうちの一部が外部に不正流出させられたことが判明しました。

PR TIMES・仮想通貨の入出金停止に関するご報告、及び弊社対応について

たとえば国内大手取引所のZaifでも、上記のような不正アクセスによるハッキング被害を受けているのが現状で
ユーザーである皆様の知らないところで、このようなハッキング事件は複数発生している状況です。

②ハッキング被害により弊社に生じた損失

弊社がハッキング被害により失った仮想通貨の種類及び数量は、次のとおりです。

・BTC  5966

・MONA 現在調査中

・BCH 現在調査中

以上の被害による損失の総額は、日本円で約67億円相当(MONA、BCHを含む)と思われます。現在被害数量が確定できていないのは、二次被害を防ぐため、確実な安全性の確認ができるまでサーバを再稼働させていないことが原因です。消失仮想通貨の数量が確定でき次第、速やかにご報告させていただく予定です。

PR TIMES・仮想通貨の入出金停止に関するご報告、及び弊社対応について

2018年に発生した上記のハッキング被害におり、日本円で67億円相当の仮想通貨が不正送金されたことが確認されています。
このように、不正送金があった場合、顧客の資産を補填する為に分別管理しておくことは非常に重要です。

かいくん

もしハッキング被害に遭って、資産が分離されていなかったら、泣き寝入りになってしまいます。

本人確認対策も万全

コインチェックでの本人確認方法が危ないのでないか?という声があるようです。
しかし、その点はもちろん問題ありません。

コインチェックの本人確認は安心
  • 『Liquid eKYC』を導入している
  • 指定された書類に加えて、書類の厚みも提出する使用になっている

『Liquid eKYC』を導入している

『Liquid eKYC』はオンラインでの本人確認に特化したシステムです。

Liquid eKYC
eKYCとは
  • ほとんどの端末で利用可能
  • 最新画像処理制度で、スピーディな本人確認
  • なりすましなどの多くの不正を防止
  • 独自のAI画像処理技術を保有しており、特許を取得している

などなど、数えきれない特徴があります。『Liquid eKYC』

コインチェックでの本人確認については下記の証明書類が利用可能です。

  • パスポート
  • 在留カード
  • 特別永住者証明書
  • 運転免許証
  • 運転経歴証明書
  • 住民基本台帳カード
  • 個人番号カード

上記証明書類の撮影に加えて、
書類と本人が同一の写真内に収まるように撮影することや、書類の厚みも撮影して提出する必要があります。

OLのお姉さん

そういった面から見ても、本人確認は安全だと思っていただいて結構です。

まとめ

以上がコインチェックのセキュリティ状況になります。
自らが第三者に情報を提供することさえしなければ、基本的に問題ないと言って差し支えないでしょう。

まとめ
  • コインチェックは金融庁の暗号資産交換業者に登録されている
  • ホットウォレットではなく、コールドウォレットで管理しているので安心
  • もちろん二段階認証も実装済み
  • マルチシグシステムで安心の取引承認
  • 大手マネックスグループだから経営資金と顧客資産は完全分離
  • 本人確認対策も万全『Liquid eKYC』を使用
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

目次