• 取引所のコールドウォレット・マルチシグ運用体制を比較。そもそもマルチシグって何?

取引所のコールドウォレット・マルチシグ運用体制を比較。そもそもマルチシグって何?

2018年5月7日

2018年1月26日に、大手仮想通貨取引所コインチェックで仮想通貨が盗まれる事件がありました。

ちょうど仮想通貨が盛り上がっていた段階での事件だったため、記憶に残っていらっしゃる方も大勢いるでしょう。

そこで問題視されるようになったのが仮想通貨のウォレットを守るための手段です。

より強固なセキュリティを実現するためにマルチシグが注目されるようになりました。

  • マルチシグを採用している取引所はどこ?
  • そもそもマルチシグって何?

今回はマルチシグやコールドウォレットなど、取引所のセキュリティーに関する内容を紹介していきましょう。

この記事を読んで、安心して仮想通貨の取引ができる取引所を選んでください。

ホットウォレットとコールドウォレットについて理解しよう

仮想通貨取引所のウォレットの管理方法には次の2つがあります。

  • ホットウォレット
  • コールドウォレット

それぞれ説明しましょう。

ホットウォレットは常時ネットワークに接続

ホットウォレットは常時ネットワークに接続されている環境のウォレットのことです。

常にネットワークに繋がっているため、いつでも手軽に仮想通貨のやりとりができるのがメリット。

ただし、外部からの攻撃により侵入されてしまうと、即時に仮想通貨を盗まれる危険性があります。

コールドウォレットはオフライン環境

一方のコールドウォレットはネットに繋がっていない、オフライン環境に保管されるウォレットのことです。

外部からネットワーク経由で攻撃されるリスクを最小限に抑えられるため、セキュリティーレベルが非常に高いことが強みです。

ただ一方で、取引ごとにネットワーク環境に接続しなくてはならず、即時取引や頻繁な取引には不向き。

とはいえ大事な資産を守るためには、セキリティーに優れたコールドウォレットが選ばれて当然と言えます。

マルチシグが鍵になる

ホットウォレットとコールドウォレットは使い勝手とセキュリティーのトレードオフな関係にあると言えます。

「マルチシグ(詳細は後述)」を用いることで、ホットウォレットのセキュリティーを高めることもできます。

しかしトランザクションの発行や、署名要請を行うサーバー自体が不正侵入されてしまうと、ホットウォレット+マルチシグだけでは十分なリスク対策とは言えないのが現状です。

以上のことから、現状を最適な方法はコールドウォレット+マルチシグとなります。

実際に各仮想通貨取引所はコールドウォレット+マルチシグによるセキュリティー強化をアナウンスし、実践しています。

セキュリティーを向上させる「マルチシグ」とは?

冒頭でも紹介したように、コインチェックの流出事件でなぜマルチシグを導入しなかったのか?という批判の声も挙がりました。

コインチェックはマルチシグではなくシングルシグで運営されていて、これが流出のきっかけになったという見方も強いです。

マルチシグは「マルチシグネチャ」の略称。

秘密鍵を複数に分散することで、セキュリティーレベルを大幅に向上させます。

3つの鍵が用意され、そのうち2つの鍵がそろえば取引成立です。

これを2of3と表現します。

  • 買い手:マルチシグ1
  • 売り手:マルチシグ2
  • 仮想通貨取引所:マルチシグ3

3つのマルチシグのうち「買い手」「売り手」が同意すれば「2of3」が成立し、商品のやりとりが可能になります。

仮に買い手がハッカーやマルウェアによる攻撃を受けてしまい、鍵を盗まれたとします。

シングルシグだと鍵が1つしかないので、この時点で誰にでも好きなように送金できてしまいます。

しかしマルチシグは鍵が1つだけあっても取引は成立しません。

悪意ある攻撃による資産の損失リスクを最小限に抑えられます。

もちろんすべての秘密鍵が盗まれてしまうとアウトですが、少なくともシングルシグよりは難易度が高い。
セキュリティーが高いとされるのはここにあります。

シングルシグとマルチシグを比較すると次のようになります。

シングルシグ 秘密鍵は1つだけ。すぐに送金できる利便性はあるものの、ハッカーやマルウェアに攻撃されたときの危険性が高い
マルチシグ 秘密鍵を複数に分散。即時出金などが難しく、利便性は落ちるものの、攻撃難度が高く、セキュリティーレベルが高い

利便性の高さは確かに重要なポイントですが、これが原因で資産の損失があっては元も子もありません。
多少の利便性を犠牲にしてでも、資産を守るためにマルチシグがベストとなります。

取引所各社のコールドウォレット&マルチシグの適用状況

ここまでの内容で「コールドウォレット&マルチシグ」での運用が最もセキュリティーが高く、安心して仮想通貨のやりとりができることが分かりました。

ここからは取引所各社のコールドウォレット&マルチシグの適用状況について紹介していきます。

ビットバンク

ビットバンクは取り扱っているすべての通貨を「コールドウォレット」に対応済みです。
ただし、いくつかの通貨がマルチシグに対応していないのが現状となっています。

通貨 コールドウォレット ホットウォレット
マルチシグ 非マルチシグ マルチシグ 非マルチシグ
ビットコイン
ライトコイン
リップル
モナコイン
ビットコインキャッシュ
イーサリアム

2通貨(リップル、イーサリアム)がマルチシグ未対応の理由は次のように述べられています。

リップル

システム上、マルチシグ化した親アドレスの秘密鍵が領域に残る・作業者が隠し持つリスクがあるため検討中。

イーサリアム

セキュリティに懸念があるとビットバンクは見送り態勢。

マルチシグ化に向けた検討の段階。

どちらも前向きにマルチシグ化を検討しているのが見て取れますが、もうしばらく時間がかかりそうです。

Zaif(ザイフ)

Zaifのマルチシグ対応状況は以下の表の通りです。

通貨 マルチシグ
ビットコイン
モナコイン
ネム
カウンターパーティ(トークン)

Zaifはセキュリティーレベルの引き上げのために、ユーザーの利便性を多少犠牲にしてでも次の2点を徹底させるとアナウンスしています。

  • マルチシグ環境の強化
  • コールドウォレット比率の引き上げ

マルチシグ環境の強化はすでにマルチシグ化されている通貨も含まれています。さらなるセキュリティーレベルの向上に期待が持てます。

bitflyer(ビットフライヤー)

bitflyerのマルチシグ対応状況は以下の表の通りです。

通貨 マルチシグ
ビットコイン
ライトコイン
イーサリアム
イーサリアムクラシック
モナコイン
ビットコインキャッシュ

bitflyerは「セキュリティー・ファースト」を掲げ、次の3点を導入するとアナウンスしています。

  • マルチシグの導入
  • コールドウォレットに80%以上を保管
  • 自社開発のビットコインデーモンを採用

現段階のマルチシグは一定の基準を設けた上での設定ですが、基準をさらに厳格化させ、より強固なセキュリティを目指していくと明言しています。

GMOコイン

GMOコインは「セキュリティ基準を満たす各仮想通貨に導入している」とアナウンスしています。しかし具体的に対応している通貨の表記は現段階では見られません。

通貨 マルチシグ
ビットコイン 調査中
ビットコインキャッシュ 調査中
イーサリアム 調査中
ライトコイン 調査中
リップル 調査中

コールドウォレットについてはすでに対応済み。即時送付に必要な分以外の仮想通貨はコールドウォレットにて保管されていると明言しています。

またアカウントの乗っ取り対策として次の3つが導入されています。

  • 日本円出金、仮想通貨送付時に2段階認証を必須化
  • ログイン実績のない環境からのログインで2段階認証を必須化
  • ログイン履歴の記録、メールによる通知

他にもシステムへの侵入対策も実施されていて、セキュリティに力を入れていることがうかがえます。

BITPoint(ビットポイント)

BITPointのマルチシグ対応状況は以下のようになっています。

通貨 マルチシグ
ビットコイン 調査中
ビットコインキャッシュ 調査中
イーサリアム 調査中
ライトコイン 調査中
リップル 調査中

マルチシグについて、そして対応通貨については明確な記述がありません。

ですがBITPoint独自のアルゴリズムと管理体制に基づくセキュリティー施策を行っているとアナウンスされています。

例えばホットウォレットの秘密鍵が漏洩した場合も、第3者が解読できない対策を講じているとのこと。

みんなのビットコイン

みんなのビットコインのマルチシグ対応状況は以下のとおりです。

通貨 マルチシグ
ビットコイン 調査中
ビットコインキャッシュ 調査中
イーサリアム 調査中

マルチシグ、対応通貨に関する具体的な説明はないものの、ウォレットは常時コールドストレージ管理。

外部からの攻撃を排除しています。

また透明性を確保するため、全ユーザーに固有のビットコインアドレスを付与。ビットコインの残高を表示しています。

ビットトレード

ビットトレードのコールドウォレット、マルチシグ適用状況は以下のとおりです。

通貨 コールドウォレット
対応 未対応
ビットコイン
ライトコイン
リップル
モナコイン
ビットコインキャッシュ
イーサリアム

全通貨に対してコールドウォレットをすでに対応済み。

マルチシグに関しては「リップル」「イーサリアム」は非対応ですが、その他は対応済みとなっています。この2点の非対応通貨に関して次のようにコメントされています。

リップル

親アドレスの秘密鍵領域、作業者の隠し持つリスクにより、マルチシグ移行のための方法論を検討中。

イーサリアム

セキュリティへの懸念から当面の採用を見送っている状況。
引き続きリサーチとマルチシグ化の検討を行う。

QUOINEX(コインエクスチェンジ)

QUOINEXのマルチシグ対応状況は以下の表の通りです。

通貨 マルチシグ
ビットコイン
ビットコインキャッシュ
イーサリアム 調査中
キャッシュ 調査中
ネム 調査中
リップル 調査中
ライトコイン 調査中
イーサリアムクラシック 調査中

現段階でマルチシグに対応しているのが「ビットコイン」「ビットキャッシュ」で、残りの通貨に関しては現在調査中です。

DMMビットコイン

DMMビットコインのマルチシグに関する記事や説明は現段階では公表されていません。

通貨 マルチシグ
ビットコイン 調査中
ビットコインキャッシュ 調査中
イーサリアム 調査中
ネム 調査中
リップル 調査中
ライトコイン 調査中
イーサリアムクラシック 調査中

サイトにて「仮想通貨は顧客用ウォレットで管理」と記載されていますが、これがマルチシグを示すものかは不明です。

ただ「当社保有分とお客様保有分で物理的に分離して管理しております」とあるため、コールドウォレットによる運用であると考えられます。

取引所の安全性まとめ

ということで各取引所のマルチシグ対応状況について紹介してきました。

このように、それぞれの取引所で着々とマルチシグに向けて動きが見えますね。

ここで注意しておきたいのが、マルチシグ導入により、入金方法に違いが出てくるなど、変更点が登場することです。

なかには仮想通貨を購入するだけ購入して、そのまま放置しているという方もいらっしゃるでしょう。

放置したままだと、万が一のトラブルが起こった時、資産が戻らない可能性が出てきます。

こういった事態に陥らないためにも、利用している取引所の変更点の確認を怠らないようにしましょう。

ハードウェアウォレットならネットワークから隔離して仮想通貨を保存でき安全性が高まる

上記したコールドウォレットのように、仮想通貨はネットワークから切り離されたセキュリティーを導入することで安全面をより強化できます。

そこで登場しているのがハードウェアウォレットというデバイスです。

仮想通貨自体が入っているのではなく、仮想通貨にアクセスできる秘密鍵が暗号化されたデータが含まれています。

仮想通貨のやりとりをする際には、ハードウォレット専用端末とパソコンを接続し、ごく短時間だけの接続時間でやりとりします。

接続時間が非常に短いので、外部からの攻撃リスクを大幅に軽減でき、これがセキュリティレベルの向上に役立ちます。

ただ一方で、毎回専用端末とパソコンをつなぐ必要があるので、即時取引や頻繁な取引には適していません。

もちろんハードウェアウォレット自体を紛失してしまうというリスクもあります。秘密鍵を紛失するのと同等なので、割と深刻なデメリットともいえます。

このようにハードウェアウォレットには一長一短あるものの、安全性の高さで言えば最強クラスといっていいでしょう。

おすすめのハードウェアウォレットについては以下の記事を読んでみて下さい。

ハードウェアウォレットは何を選べばいい?おすすめのハードウェアウォレットを徹底比較

仮想通貨に攻撃されるリスクとその種類

ここからはどのような方法で仮想通貨が攻撃されているのか、そのリスクと種類について紹介していきましょう。

大きく分けると次の2種類が挙げられます。

・ネット経由のハッキング
・物理的な接触や盗難

それぞれ解説していきます。

インターネット経由でハッキング

多くの方がイメージするハッキングと考えてよいでしょう。インターネットに接続されているデバイスは常に攻撃者の標的となりうるものです。
ハッカーは次のデバイスを攻撃対象としています。

  • サーバー
  • PC
  • スマートフォン

ネット環境下にあるこれらのデバイスの脆弱性をつき、セキュリティーを突破すると不正操作ができてしまいます。

あとは本人に成り済まして、勝手に送金できます。

ネット上でハッキングできる=所在を問わず不正侵入を試みることができるため、ネット環境下における秘密鍵の管理は「最も脆弱」と言えます。

上記した「ホットウォレット」は利便性の高さを維持するために、常時ネット環境下に置かれているため問題視されています。

このような背景もあって、各取引所がホットウォレットからコールドウォレットに移行している、というわけですね。

ホットウォレット、コールドウォレットについては詳しく上述しているので、そちらを参考にしてください。

物理的な接触や盗難

秘密鍵の管理はコールドウォレット、ハードウェアウォレットなどが優秀です。

ネットワークに晒さず、物理的に分離された環境下で秘密鍵を管理しているため、直接アクセスしないことには秘密鍵を取り出すことができません。

そのためネットワーク上で不特定多数の人物から攻撃されるリスクは大幅に軽減されます。

しかし、物理的に接触できる人物が不正行為を働いた場合はどうでしょうか。

秘密鍵やバックアップ用パスフレーズが盗まれてしまえば、ハードウェアウォレットであろうと仮想通貨の移転ができてしまいます。

次の5つのパターンのリスクが考えられます。

  • 強盗
  • 脅迫
  • 拉致
  • ソーシャルエンジニアリング
  • 内部犯行

ソーシャルエンジニアリングとは、新技術を用いずに重要情報を盗み出す方法。例えば…

・電話でパスワードを聞き出す(システム課の〇〇ですが、パスワードを確認させてください、など)
・肩越しに情報を盗むショルダーハッキング(情報入力の手元を盗み見る)
・ゴミ箱をあさる(トラッシング)

といった手法が挙げられます。

このように、コールドウォレットやハードウェアウォレットにも一定のリスクがあります。

その対策として用いられているのが先ほども上述しましたがマルチシグです。

秘密鍵を複数に分散することで、1か所だけ物理的な接触や盗難に遭っても被害を抑えられます。

まとめ

いかがだったでしょうか。

今回はマルチシグ、コールドウォレットなど、仮想通貨取引所のセキュリティーについて紹介してきました。

ポイントをおさらいしておきましょう。

  • マルチシグは秘密鍵を複数に分散するリスク対策
  • コールドウォレットはネットワークから切り離してハッカーによる攻撃を回避するリスク対策
  • 各取引所はマルチシグ、コールドウォレットに対応する動きを活発化させている

以上3点が挙げられます。

ご利用中の取引上がどのようなセキュリティーを導入しているのかを確認してみてください。

今後も安心して仮想通貨取引ができるように、今回の記事を参考に、セキュリティーについて今一度よく考えてみましょう。

著者情報
自虐に突っ走る投資初心者。腹八分目を肝に銘じつつ、欲と恐れと戦いながらどこまで我慢できるか毎日チキンレース繰り広げてます。

RELATED