金融庁が仮想通交換業者へシステムリスク管理態勢に関する報告徴求命令を発出
1月26日に発生したコインチェック事件に関連し、2月2日、金融庁は同社以外の仮想通貨交換業者及びみなし仮想通貨交換業者に対し、システムリスク管理態勢に関する報告徴求命令を発出した。
コインチェック株式会社に対する立入検査の着手及び仮想通貨交換業者に対する報告徴求命令の発出について
発出先となる仮想通貨交換業者は以下の16社である。
- 株式会社マネーパートナーズ
- QUOINE 株式会社
- 株式会社 bitFlyer
- ビットバンク株式会社
- SBI バーチャル・カレンシーズ株式会社
- GMO コイン株式会社
- ビットトレード株式会社
- BTC ボックス株式会社
- 株式会社ビットポイントジャパン
- 株式会社 DMM Bitcoin
- 株式会社ビットアルゴ取引所東京
- エフ・ティ・ティ株式会社
- 株式会社 BITOCEAN
- 株式会社フィスコ仮想通貨取引所
- テックビューロ株式会社
- 株式会社 Xtheta
また、金融庁に登録を申請しているがまだ登録を認められないまま運営している、いわゆるみなし仮想通貨交換業者は以下の15社である(コインチェック社を除く)。
- みんなのビットコイン株式会社
- Payward Japan株式会社
- バイクリメンツ株式会社
- 株式会社 CAMPFIRE
- 東京ゲートウェイ株式会社
- 株式会社 LastRoots
- 株式会社 deBit
- 株式会社エターナルリンク
- FSHO 株式会社
- 株式会社来夢
- ビットステーション株式会社
- ブルードリームジャパン株式会社
- 株式会社ミスターエクスチェンジ
- 株式会社 BMEX
- 株式会社 bitExpress
各社、規模の大小はあれ顧客の仮想通貨を預かる以上、システムリスク管理態勢、いわゆるセキュリティは、最優先で取り組むべき事項のひとつと言えるだろう。
仮想通貨取引所各社が公表するセキュリティの取り組み
これまでは、仮想通貨取引所が評価される際、セキュリティが軽視されていたわけではないものの、取り扱いコインの種類の多さ、売買のしやすさ、APIの充実度などに焦点が当てられることが多かったように感じる。そこで、仮想通貨取引所各社が公表するセキュリティの取り組みについてまとめてみた。
注意:各社のセキュリティの取り組みを評価する目的はなく、あくまで情報の整理のために行なっている。また、仮想通貨取引所に特有の課題として、特にウォレットの運用方法に注目して整理する。
株式会社マネーパートナーズ
マネーパートナーズは、2017年9月29日にビットコインを中心とした仮想通貨取引の「仮想通貨交換業」を行うとして、関東財務局への登録をしたものの、2月3日現在、仮想通貨取引所を運営しておらず、現時点では仮想通貨交換所としてのセキュリティの取り組みについての情報を見つけることができなかった。
QUOINE 株式会社
取り扱い仮想通貨:BTC, ETH, ETC
セキュリティの取り組みについて説明する「安全対策」ページを設けており、この中でウォレットの運用方法や、不正送金対策、マネーロンダリング対策、不正ログイン対策、開発プロセスなどについて説明している。
ウォレットの運用方法としては、常時コールドウォレット運用しているとされている。また、そのため、ビットコインの引き出しには時間がかかるとも書かれている。
100パーセントコールドストレージの唯一の難点 は、ユーザーのアカウントからビットコインを払戻す際に通常より時間がかかることです。その理由として、①すべての払戻しを承認する前に、相互確認を行う必要がある。 ②すべての取引の署名をオフラインで 行う必要がある。これらは手動で行われるため時間がかかります。このような不便はユーザーの大切なビットコインを、万が一の際にハッカーの脅威からお守りするためにやむを得ない代替案と考えます。
「すべての取引の署名をオフラインで行う」と書かれており、オフライン端末で生成したトランザクションを何らかの方法でオンライン端末に移し、トランザクションを実行する方法をとっていると推測される。
なお、QUOINE柏森社長は、QUOINE - QASH / 公式テレグラムにて、週次報告の中でセキュリティ対策についても説明している。
当社も、金融庁報告、社内監査等委員会の開催、危機管理委員会の設置等、全ての安全対策を見直しております。
また、以下セキュリティ対策は既に実施しておりますので、外部ハッカーからの不正流出や盗難はございませんのでご安心下さい。
- 100% コールドウォレット管理
- 出コインのアドレスのホワイトリスト化
- プライベートサーバ
- 二段階認証の必須
- API出金の禁止
株式会社 bitFlyer
取り扱い仮想通貨:BTC, ETH, ETC, LTC, BCH, MONA, LSK
セキュリティの取り組みについて説明する「bitFlyerのセキュリティ」ページを設けており、この中で暗号化方式、ネットワークセキュリティ、不正ログイン対策、ウォレット運用、マルチシグ運用、パッチ適用ポリシー、 開発プロセスにおけるセキュリティなどについて説明している。
ウォレット運用についてはビットコインについてのみしか記載がないが、マルチシグ運用を行なっていることと、80%以上がコールドウォレットに保管されていることが書かれている。また、自社開発のビットコインデーモンを利用していることで脆弱性を突かれる可能性を低くすることができるとの記載もある。
また、「仮想通貨交換業者に関する内閣府令第 16 条および第 17 条に基づく説明書面」には、イーサリウムについても大部分をコールドウォレットで保管していることが書かれている。
(2)お預かりする仮想通貨の管理方法
利用者用として区別されたアドレスにて管理し、会社の自己資産とブロックチェーン上でも区分して管理します。また、ビットコイン及びイーサリアムについては大部分を顧客分と会社分が区分されたコールドウォレットで保有します。
コインチェック事件後には、「「bitFlyer セキュリティ・ファースト」主義、及びセキュリティ・顧客資産保護に関する取り組みについて 」と題するペーパーをリリースしている。
ビットバンク株式会社
取り扱い仮想通貨:BTC, LTC, XRP, MONA, BCH, ETH
セキュリティの取り組みについて説明する「セキュリティ施策」ページを設けており、この中でコールドウォレットとホットウォレットを併用していることを説明している。
また、コインチェック事件後には、「仮想通貨取引所ビットバンクのコールドウォレット・マルチシグ運用体制について」というページをもうけ、マルチシグとウォレットの運用について詳しく説明している。これによると、取り扱っている全ての種類の仮想通貨についてコールドウォレットを利用している(ホットウォレットには顧客資産は含まれず、自己資産のみ運用しているとのこと)。マルチシグの適用状況についても、仮想通貨の種類とウォレットの種類(ホット/コールド)ごとに適用状況を示している。コールドウォレットの運用方法についても以下のように詳しく説明している。
マルチシグに対応するコールドウォレットの運用方法について
コールドウォレットの構成複数人が個別に保管する秘密鍵
署名用のオフラインコンピュータ(通信可能なチップは破壊済、記録媒体は一切含まれない)
弊社独自開発のマルチシグ専用OS(DVD-ROMブート用)
トランザクション移動用専用物理デバイス
長くなるため、続きは「各仮想通貨取引所のセキュリティ対策まとめ2」に書く。