今回のCoinCheckの問題点その1
コールドウォレットで管理していなかった = ホットウォレットで管理していた
1.ウォレットとは
ビットコインを初め、様々な仮想通貨はウォレットと呼ばれるもので管理します。
仮想通貨の多くはアドレスと呼ばれる27~34文字の英数字からなる口座番号のようなものを使用して取引を行い、それをブロックチェーン上に書き込むことでトラストレスで管理されます。
アドレスは公開鍵から生成され、また取引には秘密鍵による署名が必要になります。
アドレスに関して詳しく知りたい方は以下の記事を参照した方が良いでしょう。とても参考になります。
0から仮想通貨を作るために知っておくべき技術【第1回アドレス編】
さて、ウォレットではこの公開鍵と秘密鍵を管理することが大きな役割の一つとなります。
今回の盗難事件ではCoinCheckが管理していたウォレットの秘密鍵が盗まれてしまったため、ハッカー側が自由に取引可能となってしまったということになります。
2.ウォレットの管理場所
ではなぜ秘密鍵が盗まれてしまったのでしょうか。
その方法は秘密鍵を管理しているの場所(ウォレット)によって大きく異なります。
〇場所その1 : デスクトップ
〇場所その2 : Web
〇場所その3 : スマートフォン
〇場所その4 : 紙
〇場所その5 : ハードウェア
この内、インターネットと常に接続しているデスクトップ、Web、スマートフォンで管理されているウォレットをホットウォレットと呼ばれます。
また、紙とハードウェアのようなインターネットの接続を完全に遮断された場所で管理されているウォレットをコールドウォレットと呼びます。
ちなみに取引所のウォレット(取引所に置きっぱなし状態)も当然ホットウォレットとなります。
今回CoinCheckはホットウォレットで管理していたということが明るみに出たときは、驚きましたね。
インターネットに接続された場所でウォレットを管理するという事はとても危険だと再確認しました。
今回のCoinCheckの問題点(?)その2
マルチシグに対応していなかった
マルチシグとは
ウォレットがコールドウォレットなら解決できた問題なのでマルチシグをしていなかったという点を問題点に挙げるか悩ましいところですが、今回話題になったので取り上げます。
マルチシグ = multi signature の略ですね。
要は複数(multi)の署名(signature)を必要とするアドレスの事です。
普通のアドレスではそのアドレスの公開鍵と対になっている秘密鍵があれば取引は可能になります。
しかしマルチシグに対応したアドレスの場合、署名が複数必要になるため、その内署名をするための一つの秘密鍵が盗まれてしまったとしても、ハッカーによる取引は不可能ということになります。
取引するために必要な署名の数やどの秘密鍵による署名かというのは自分で設定できるため、ハッカーに対してセキュリティを飛躍的に高めることができます。
しかし、その分秘密鍵の管理リスクも増すため、これに皆対応すべきかどうかというのは難しい点ですね。
結論
今までさんざん言われてきている事ですがハードウォレットで管理しましょう。
取引所をトラストしてはいけません。
また、ハードウォレットは、正規の取扱店で購入しましょう。
この事件で仮想通貨やっぱ怖いと思った方は、辞めるのも吉です。