国内の仮想通貨取引所は数あれど、コインチェックのセキュリティはどうなのか。
仮想通貨に挑戦してみたいけど日本円を入金するのが怖い。
いざ口座を開設してみたいけど、仮想通貨がハッキングの被害に遭ったりしたら大変です。
そもそも口座を開設して大丈夫なのか・・・。
コインチェック事件などもあったから、あれから改善されてるのか知りたい。
その点も含めて、分かりやすく解説しますので、ご安心ください。
この記事では、あのコインチェック事件を経てしっかりとセキュリティ強化されたコインチェックの真の姿をご紹介します。
- コインチェックは金融庁の暗号資産交換業者に登録されている
- ホットウォレットではなく、コールドウォレットで管理しているので安心
- もちろん二段階認証も実装済み
- マルチシグで確実な取引承認
- 大手マネックスグループだから経営資金と顧客資産は完全分離
- 本人確認対策も万全
コインチェックは金融庁の暗号資産交換業者に登録されている
コインチェックは、2018年のコインチェック事件以前は金融庁の暗号資産交換業者に登録されていませんでした。
しかし事件後の2019年初頭には、金融庁の定める暗号資産交換業者に登録されています。
セキュリティ面や財務面で一定の水準を満たしていると言ってよいでしょう。
※暗号資産=仮想通貨
暗号資産交換業者に登録するための要件
金融庁が主導する暗号資産交換業者に登録するためにはいくつかの条件があります。
分かりやすい例として下記をご覧ください。
- 顧客資産を分別管理できているか
・いくらまでを顧客資産を預かるのか
・預り金をどのように分別するのか
・顧客資産残高に異常が生じた場合の措置はなにか - 秘密鍵の管理状況はどうなっているか
- 決済担当者が不正利用を行わないようにするための措置はあるのか
・またその手順と異常発見時の措置はあるのか - ウォレットの運用管理について
- サイバーセキュリティ対策について全般
※秘密鍵:取引承認のための情報
などなど、ここには書き切れないほどの項目について、金融庁の指定した条件を満たす必要があります。
コインチェックは2019年初頭以降、この暗号資産交換業者に登録されています。
詳細は仮想通貨交換業者の登録審査における主な論点等をご覧ください(PDFファイルが開きます)。
金融庁に登録された取引所の一覧は暗号資産交換業者登録一覧で確認できます(PDFファイルが開きます)。
コインチェック事件の詳細は下記wikiで確認できます。
2018年1月26日 00:02:13から08:26:13にかけて、コインチェックが保持している暗号通貨のうちNEM(ネム)(通貨記号はXEM)建ての顧客資産がクラッキングにより取引所から外部に送金され、さらに別口座に移転されてほぼ100%流出してしまう事態が発生した。
wikipedeia・CoinCheckー暗号資産流出事件より
コールドウォレットでの管理
仮想通貨を保存しておくアドレスを、一般にウォレットと言います。
コインチェックは、コインチェック事件を経てホットウォレットでの運用からコールドウォレットでの運用に切り替え、ハッキング対策を強化しました。
- ウォレットとは仮想通貨を保管する場所
- ホットウォレットとは
- コールドウォレットとは
- コインチェックはコールドウォレットで管理している
ウォレットとは
そもそもこのよく聞くウォレットとはいったい何なのでしょうか。
ウォレット=仮想通貨のお財布
というこで、現時点ではOKです。
(別記事で解説いたしますので、しばらくお待ちください。)
つまり、コインチェックで口座を開設するとコインチェック内に自分のウォレット(お財布)ができます。
そこに仮想通貨を保管しておいたり、そこから仮想通貨を出金してみたり。
仮想通貨の取引が可能になります。
口座開設とは言いますが、基本的にはコインチェック内にウォレットを作りますよということです。
これが私のウォレットです。
このように、固定の長さの文字列になっているのが特徴です。
つまりこのウォレットがハッキングされてしまうと、仮想通貨が盗まれるリスクがあるんですね。
ウォレットアドレスが分かっても秘密鍵が盗まれなければ、基本的に被害はありません。
秘密鍵が、取引の署名と暗号化を行う役割を持っていますので、アドレスだけ分かっても特に意味はありません。
ハッキングで盗まれて困るのは秘密鍵です。
ホットウォレットとは
ホットウォレットとは、ウォレットをネットワークに常時接続しオンラインで管理することです。
常にネットワークに接続されているのでハッキングされるリスクがあります。
ウォレットをオンライン上で管理すると良い点は、取引処理が簡単という点があります。
常にオンラインに接続しているので、使用したいときに即座に使用できます。
また管理者側(コインチェック)も複数の処理を間に挟むことなく取引処理を実行できます。
コールドウォレットとは
逆にコールドウォレットとは、ウォレットをオフラインで管理することです。
つまり、オンラインから切り離した状態。
オフライン状態なら、絶対にハッキングされないですね。
コールドウォレットはハッキングしようとしても物理的に不可能。
だからハッキング対策としては最も効果が高いのです。
オフラインで管理するので、管理者側(コインチェック)においてはひと手間かけて取引処理を行っています。
そのため、ホットウォレットよりも利便性は低いです。
ホットウォレット | コールドウォレット | |
概要 | オンライン状態で管理 | オフライン状態で管理 |
種類 | モバイルウォレット デスクトップウォレット ブラウザウォレットなど | ペーパーウォレット ハードウォレットなど |
利便性 | 高 | 低 |
セキュリティ | ハッキングリスクあり | ハッキングリスクなし |
コインチェックはコールドウォレットで管理している
コインチェック事件の大きな要因は、コインチェックが顧客のウォレットをホットウォレットで管理していた点でした。
従って、ハッキングされれば顧客の仮想通貨資産が抜き取られるリスクをはらんでいたと言えます。
USBやペーパーなどで秘密キーを保管するコールドウォレットを利用することで、オンラインから隔絶され、ハッキング対策には非常に有効です。
コインチェック・Coincheck(コインチェック)の安全性やセキュリティについて
コインチェックはコインチェック事件以降、ホットウォレットからコールドウォレットでの管理に移行しており、
現在ではウォレットを理由にハッキングされることはないと言ってよいでしょう。
二段階認証の導入
コインチェックはログインのたびに、ログインIDとパスワード、そして二段階認証でワンタイムパスワードを要求します。
これにより、IDとパスワードを知っているだけではログインが不可能になっています。
- 二段階認証とは
- 二段階認証のメリット
- コインチェックは二段階認証に『Google Authenticator』を導入している
二段階認証とは
二段階認証とはその名の通り、基本的なIDとパスワードを入力してログインをした後
更に別のIDやパスワードを入力させたり、異なるワンタイムパスワードを要求するシステムのことです。
最近では、IDとパスワードのみの認証作業では簡単にセキュリティを破られてしまう。
この操作を要求することで、さらに強力な不正ログイン対策が可能になります。
当然、この操作があることでユーザーも安心感をもってシステムを使用することができます。
秘密の質問で、あなただけしか知りえない答えを要求するのも二段階認証のひとつです。
二段階認証のメリット
二段階認証導入のメリットは当然、不正ログイン防止、web上からのハッキング防止です。
また、コインチェックで導入されている二段階認証の大きなメリットはユーザー側にパスワードを設定させない点にあります。
未だに簡単な文字列をパスワードに設定するユーザーはおり、そのためにセキュリティが脆弱になる傾向があります。
ユーザー側に設定させないことで、推測できない文字列を要求できる。
コインチェックは『Google Authenticator』を導入している。
コインチェックは二段階認証に、『Google Authenticator』を導入しています。
これはグーグルが開発した認証システムの一つです。
コインチェックに電話番号で登録されているスマートフォンからのみ、二段階認証に必要な6桁の数字を生成できます。
そのため、他のスマートフォンからは6桁の数字を知ることは出来ません。
また、6桁の数字は時間の経過で随時更新されます。そのためにハッキングなどの攻撃を受ける隙を与えないのが特徴です。
セキュリティ向上のためにログイン時に「二段階認証」と呼ばれる方式を採用しています。
コインチェック・二段階認証
取引画面へのログイン時には通常、登録済みのメールアドレスやパスワードを入力しますが、二段階認証ではさらにスマートフォン宛てにログインの都度発行されるワンタイムのパスワードの入力を必要としています。
この仕組みによって、仮にメールアドレスやパスワードの情報が盗まれても、アカウントにアクセスされたり、不正出金されるといった被害を防いでくれます。
下記記事では『Google Authenticator』の使用方法も含め、口座開設手順を詳細に解説しています。
マルチシグで安心の取引承認
中々聞きなれない名称ではないでしょうか。マルチシグとはマルチシグネチャー『Multi Signature』の略語です。
- マルチシグとは
- マルチシグのメリット
- コインチェックはシングルシグからマルチシグに移行している
マルチシグとは
マルチシグとはマルチシグネチャーの略語で、複数署名を意味します。
複数署名?いったい何のことやらさっぱり。
基本的に、ユーザー側はこのマルチシグに関して何か操作を行うことはありません。
コインチェック側がマルチシグで処理を行うことになります。
難しい話は省きます。
つまり、仮想通貨の取引承認において、複数の署名が必要になるということです。
単独で取引を承認するよりも、複数で承認するからセキュリティとしては良いよね!!ということでOKです。
マルチシグのメリット
取引の承認に複数の署名(鍵)を得る必要があります。
そのため、例えば1BTC(ビットコイン)をAさんからBさんに送金する取引を実行したい場合、一人の承認だけでなく、あらかじめ設定された複数名の署名(鍵)が必要になるのです。
これにより、一人の鍵が盗まれたとしても、必要な鍵が複数あるためハッカーは不正送金ができません。
たとえ自分一人のウォレットがハッキングされたとしても、不正取引が承認されないのであれば安心ですよね。
コインチェックはシングルシグからマルチシグに移行している
コインチェック事件以前はマルチシグと対極にあるシングルシグで管理を行っていました。
従って、ウォレットから鍵を1つ盗むだけで、不正送金が可能になっていました。
これをマルチシグ化することにより、セキュリティの向上が行われました。
これまでの個人認証では予め設定したIDとパスワードを入力して個人を認証する方式でしたが、秘密キーがパスワード一つのみとなるため、個人の端末などへハッキングされると簡単に保管している暗号資産が持ち出されてしまいます。
コインチェック・マルチシグ
マルチシグを利用することでハッキングが困難になり、セキュリティ対策として非常に有効です。
仮想通貨の詳しい仕組みについては下記をご覧ください。
経営資産と顧客資産は完全分離
コインチェックはコインチェック株式会社の経営に必要な資金とは分離して顧客資産を管理しています。
これは、金融商品取引法(抄) 第43条の2 分別管理で定められている内容です。
- 顧客資産を完全な状態で確保・保護しておくため
- 管理している仮想通貨の流出が多発しているから
顧客資産を完全な状態で確保しておくため
顧客資産の完全分離とは、経営に必要とされる資産と顧客から預かった資産を完全に分離して保管しておくことです。
顧客資産は基本的に、会社資産に含まれることはありません。
別の信託会社に保管委託され、一切手を付けられない状況になっています。
詳しくは金融商品取引法(抄) 第43条の2 分別管理をご覧ください。
私たちの預けた仮想通貨や日本円が、経営資本で使われるのは気持ち悪いですよね。担保がないじゃないですか。
会社の経営資産に顧客の資産が組み込まれると、どのような状況になるでしょうか
- 会社が倒産した時に返還されない
- ハッキング被害時に資産が補填されない
- 引き出したいときに引き出せない可能性
- 自転車操業状態に陥る
上記の状況にならないように、私たち顧客の資産はしっかり確保して保護しておこう、ということです。
しかしながら、コインチェックの暗号資産取引説明書おいては、経営破綻した場合返還されない可能性について言及されていますので、コインチェックの経営破綻時は返還されない可能性があるということで、しっかりご理解ください。
絶対に100%返還できます!!とは言えません。可能性が1%でもある場合は必ず記載しなければならないので。
詳細は、Coincheck 暗号資産取引説明書で確認できますので、ぜひ目を通してください。
仮想通貨暴落のリスクもあります。ぜひご一読ください。
ホットウォレット管理により資産流出が起きているから
コインチェック事件も良い一例ですが、管理しているホットウォレットから顧客の資産が流出する事件が相次いでいます。
平成30年9月14日頃以降、弊社サービスにおいて、仮想通貨の入出金等の一部のサービスが稼働しておらず、お客様には大変なご迷惑をおかけしております。
PR TIMES・仮想通貨の入出金停止に関するご報告、及び弊社対応について
弊社における調査の結果、入出金用ホットウォレットの一部が外部からの不正アクセスによりハッキング被害を受け、弊社が管理する仮想通貨のうちの一部が外部に不正流出させられたことが判明しました。
たとえば国内大手取引所のZaifでも、上記のような不正アクセスによるハッキング被害を受けているのが現状で
ユーザーである皆様の知らないところで、このようなハッキング事件は複数発生している状況です。
②ハッキング被害により弊社に生じた損失
弊社がハッキング被害により失った仮想通貨の種類及び数量は、次のとおりです。
・BTC 5966
・MONA 現在調査中
・BCH 現在調査中
以上の被害による損失の総額は、日本円で約67億円相当(MONA、BCHを含む)と思われます。現在被害数量が確定できていないのは、二次被害を防ぐため、確実な安全性の確認ができるまでサーバを再稼働させていないことが原因です。消失仮想通貨の数量が確定でき次第、速やかにご報告させていただく予定です。
PR TIMES・仮想通貨の入出金停止に関するご報告、及び弊社対応について
2018年に発生した上記のハッキング被害におり、日本円で67億円相当の仮想通貨が不正送金されたことが確認されています。
このように、不正送金があった場合、顧客の資産を補填する為に分別管理しておくことは非常に重要です。
もしハッキング被害に遭って、資産が分離されていなかったら、泣き寝入りになってしまいます。
本人確認対策も万全
コインチェックでの本人確認方法が危ないのでないか?という声があるようです。
しかし、その点はもちろん問題ありません。
- 『Liquid eKYC』を導入している
- 指定された書類に加えて、書類の厚みも提出する使用になっている
『Liquid eKYC』を導入している
『Liquid eKYC』はオンラインでの本人確認に特化したシステムです。
- ほとんどの端末で利用可能
- 最新画像処理制度で、スピーディな本人確認
- なりすましなどの多くの不正を防止
- 独自のAI画像処理技術を保有しており、特許を取得している
などなど、数えきれない特徴があります。『Liquid eKYC』
コインチェックでの本人確認については下記の証明書類が利用可能です。
- パスポート
- 在留カード
- 特別永住者証明書
- 運転免許証
- 運転経歴証明書
- 住民基本台帳カード
- 個人番号カード
上記証明書類の撮影に加えて、
書類と本人が同一の写真内に収まるように撮影することや、書類の厚みも撮影して提出する必要があります。
そういった面から見ても、本人確認は安全だと思っていただいて結構です。
まとめ
以上がコインチェックのセキュリティ状況になります。
自らが第三者に情報を提供することさえしなければ、基本的に問題ないと言って差し支えないでしょう。
- コインチェックは金融庁の暗号資産交換業者に登録されている
- ホットウォレットではなく、コールドウォレットで管理しているので安心
- もちろん二段階認証も実装済み
- マルチシグシステムで安心の取引承認
- 大手マネックスグループだから経営資金と顧客資産は完全分離
- 本人確認対策も万全『Liquid eKYC』を使用