▼忙しい人向けにまとめ!仮想通貨取引所の安全性ランキング!
【1位】米格付けでも1位に。
【2位】bitbank(ビットバンク)
積極的な研究開発!仮想通貨関連事業のリーディングカンパニーの1つ!
【3位】QUOINEX
100%コールドウォレットの運用
*セキュリティに絶対はありません。本記事のランキングは安全性を保証するものではありません。
国内取引所の安全性ランキング!
<1位> bitflyer
- 運営の信頼度、安心感
- 米格付けで世界No.1のセキュリティ評価
運営の信頼度、安心感
[bitflyer1]は、大手のメガバン系列から出資を受けており、国内の取引所では最も安定したバックグラウンドを持ちます。株主には、SMBCベンチャーキャピタル、三菱UFJキャピタル、三井住友海上キャピタル、リクルート、電通等の大企業がずらりと並んでいます。経営陣がゴールドマン・サックス出身の超エリートで、Web系のベンチャー企業というバックグラウンドを持つ企業(仮想通貨交換業社)が多い中、これは異色の経歴です。
ビットフライヤー は取引所のセキュリティ対策も積極的に行っており、マルチ・シグネチャからコールドウォレットなどの仮想通貨に特有のセキュリティ対策から、一般的なWebセキュリティ、運用面でのセキュリティまで一貫したセキュリティ対策を行っています
先日のコインチェックのハッキング事件からも明らかなように、取引所のセキュリティ対策は非常に重要です。
また ビットフライヤー は、三井住友海上火災保険株式会社と提携して、不正ログインをされて通貨の盗難被害にあった場合の損失を一定額補填するサービスを開始しています。
これにより不正に日本円で出金された場合には、最大5000万円までの不正出金が補償されます。
米格付けで世界No.1のセキュリティ評価
squeen社からのセキュリティ最高評価
先日、世界中の取引所のセキュリティ監査を行うsqueen社が、ビットフライヤーは世界最高ランクのセキュリティを持つと発表しました。
We’re not here to do any aggressive public shaming. But if pointing the finger at a couple of better-performing platforms can help cryptocurrency traders to choose a safer trading platform, that’s what we will do.
DISCLAIMER: we’re not recommending any of those platforms.
So here are the 5 best cryptocurrency exchanges:
Exchange Country 24h Volume Security Score (out of 10) bitflyer.jp Japan $252,479,706 7 coinbase.com US $216,382,640 7 bitfinex.com Hong Kong $1,489,668,291 6 kraken.com US $481,817,858 6 itbit.com US $42,310,323 6 ※squeen公式HPより引用
セキュリティスコアの部分で10段階のうち7を獲得していることがわかります。
これはアメリカの取引所coinbase.comと並び世界最高ランクタイの数字です。
この評価の判断基準は、一般的なアプリケーションに必要なセキュリティ対策の基本的な部分が大きいです。ただ、掲載されているトップ5の中で、日本の取引所では唯一のランクインを果たしています。
以上のことから、ビットフライヤーはセキュリティ対策においては国内取引所の中でもトップクラスに力を入れていることがわかります。
ビットフライヤー については、こちらの記事でも詳しく解説しておりますのでご覧ください。
<2位> bitbank
- インターネットを通じた攻撃への対策(コールドウォレット)
- 物理的な接触を通じた攻撃への対策
- ホットウォレット顧客資産の割合
インターネットを通じた攻撃への対策(コールドウォレット)
bitbankは秘密鍵がインターネットに接続可能なデバイスに保管されている場合、攻撃者はサーバーやPC、スマートフォンの脆弱性を突き不正操作を許してしまう可能性があることから、オンライン環境は常に攻撃者によるリスクに晒されているとしています。また、その攻撃は所在を問わず行うことができるため、オンライン環境における秘密鍵の管理の管理は最も脆弱と述べています。
この点に対する対応策として、コールドウォレットを挙げています。
マルチシグを用いたホットウォレットを使えば、攻撃されるリスクを抑えることは可能ですが、実際にトランザクションの発行や署名要請を行うサーバーに侵入される可能性を考慮すると、それだけでは不十分であると述べています。
コールドウォレットの適用状況
| 仮想通貨の種類 | コールドウォレット | |
|---|---|---|
| 対応 | 未対応 | |
| ビットコイン | ○ | |
| ライトコイン | ○ | |
| リップル | ○ | |
| モナコイン | ○ | |
| ビットコインキャッシュ | ○ | |
| イーサリアム | ○ | |
※公式HPから引用
物理的な接触を通じた攻撃への対策(マルチシグ)
上記のコールドウォレットによる管理も完全ではありません。オンライン環境からの攻撃に対しては非常に有効ですが、オフライン環境からの攻撃に対しては十分であるとは言えません。
コールドウォレットでの保管方法として「ハードウェアウォレット」や「ペーパーウォレット」による管理方法を挙げましたが、内部者等から秘密鍵またはバックアップ用のパスワードが盗まれてしまえば、仮想通貨の移転ができてしまうのです。このような事件は国内外で発生しています。このことから、bitbankは内部犯行の可能性や他の攻撃リスクに対してリスク分散を行う必要があるとしました。
この点に対する対応策としてマルチシグを挙げています。
・マルチシグの適用状況
| 仮想通貨の種類 | コールドウォレット | ホットウォレット | ||
|---|---|---|---|---|
| マルチシグ | 非マルチシグ | マルチシグ | 非マルチシグ | |
| ビットコイン | ○ | ○ | ||
| ライトコイン | ○ | ○ | ||
| リップル | ○ | ○ | ||
| モナコイン | ○ | ○ | ||
| ビットコインキャッシュ | ○ | ○ | ||
| イーサリアム | ○ | ○ | ||
※公式HPから引用
ホットウォレット顧客資産の割合
ホットウォレットは自己資産のみの運用とし、顧客資産は一切含まれていないと明言しています。
いつでもインターネット攻撃を受けるリスクがあるホットウォレットに、利用者の資産が置いていないというのは安心できますね。
ビットバンク については、こちらの記事でも詳しく解説してますのでご覧ください。
<3位> QUOINEX
- 100%コールド管理
- ホワイトリスト化
- プライベートサーバーの利用
- API出金の禁止
100%コールドウォレット
QUOINEXでは100%コールドウォレット&マルチシグ化というのを徹底しています。
先日のコインチェックの事件では全てのNEMがホットウォレット管理されているという報道をされました。
100%コールドウォレット管理の元、具体的にどのように取引所を運営しているのかは定かではありませんが、コールドウォレットは常にオフラインの状態なので盗難されるリスクが激減します。取引所のオペレーションコストや混雑時の売買や出金の操作性が悪くなるというデメリットが存在しますが、取引所のハッキングによる被害額を考えると致し方ないことなのかも知れません。100%コールドウォレット運用であれば、かなり安全性は高いと思われます。
ホワイトリスト化
QUOINEXでは出金する際に仮想通貨アドレスを追加し、届いたメールアドレスにある認証トークンを画面に打ち込み、さらに二段階認証を行い、出金処理完了といった流れになっています。メールアドレス認証をして登録されたアドレス以外に送金できないため、メールアドレスへのアクセス権がなければ、出金を行うことができません。
これにより、不正出金の危険性を低くすることができます。
プライベートサーバーの利用
QUOINEでは、プライベートサーバーを利用してサービスを運営しているようです。
これは、Microsoftのazureやクラウドサービスを利用せずにサービスを構築しているということのようです。これによりセキュリティが向上するかどうかは、場合によりけりですが、サードパーティリスクは抑えることができます。プライベートサーバーをセキュアに運用するにはそれなりのコストが掛かってしまうというデメリットもありますが、やり方次第では非常に高いセキュリティを実現できます。
API出金の禁止
API出金を禁止しているということはプログラムで動かしているのではなくすべて人の手によって出金を行っているということです。そのため、不正出金を防ぐことが目視によって確認されますので安全性が高まるということです。
QUOINEX については、こちらの記事でも詳しく解説してますのでご覧ください。
<4位> GMOコイン
- GMOインターネットワーク
- 顧客資産と会社資産の分別管理
- サイバーセキュリティ保険への加入
GMOインターネットワーク
GMOコインは、東証一部上場企業であるGMOインターネットを親会社としてもっています。これによりGMOコインは親会社の金融サービス提供や情報インフラ整備等のノウハウを活かせるというメリットが大きいです。
例えば、GMOインターネットは情報セキュリティへの取り組みについて、2017年4月に情報資産を様々な脅威から守り、リスクを軽減させるため、情報マネジメントシステム(ISMS)を構築し、国際標準規格であるISO27001の認証取得をしています。これは、情報セキュリティ管理における国際標準規格であり、この適用範囲の全ての情報資産を対象とした、情報の機密性等を維持していくための規格です。
GMOコインの情報機密を守る際にも、この技術のノウハウが生かされていると思われます。
これにより、一般的なWebアプリケーションに必要とされるセキュリティ対策は信頼できることがわかります。
顧客資産と会社資産の分別管理
※画像は公式HPより引用
GMOコインは利用者から預かった資産は、全て会社の資金と分別して管理していることを明記しています。具体的に金銭の分別管理と仮想通貨の分別管理と分けて説明しています。
HPでは以下のように記述しています。
・金銭の分別管理
利用者から預かった資産は、GMOコインとは別口座で管理しています。
・仮想通貨の分別管理
仮想通貨の保管場所は、GMOコインの保有分と利用者保有分とは物理的に分離しています。
また、これらの資産は毎営業日に過不足がないかを確認することで、分別管理を行っています。
セイバーセキュリティ保険への加入
GMOコインは、三井住友海上火災保険株式会社と連携し、サイバー対策攻撃への対策を行っています。この会社は中小企業をへの無償サービスを始めとした、企業向けサイバーセキュリティ支援を数多く行っています。これにより、万が一の緊急時にも、その専門分野の知識を持つ企業と対処することができます。
このようなセキュリティ対策を行っていますが、従業員の機器管理や情報管理など運用面のセキュリティ対策面に関しては積極的に発表していないようです。
GMOコイン については、こちらの記事で詳しく解説してますのでご覧ください。
<5位> DMM Bitcoin
- 安心の大手企業の運営
- 利用者資産の分別管理
安心の大手企業の運営
DMMグループは、デジタルコンテンツ配信からオンラインゲーム、インターネット、為替FX取引所、太陽光発電までありとあらゆる幅広い事業を手がけるメガベンチャーです。特筆すべきは、DMMが外為FX取引所として最大手であった点です。これまでの知見を活かし、仮想通貨事業に本格参入しています
利用者資産の分別管理
DMMBitcoinでは利用者から預かった資産(金銭及び仮想通貨)はすべて、自社の資産とは分別していると明記しています。
※画像は公式HPより引用
このように、預かった法定通貨は顧客用銀行口座に入れ、会社の自己資金とは別口座で管理しています。また、仮想通貨においては、会社が保有しているものと利用者が保有している分を物理的に分けています。これは利用者の秘密鍵(パスワードのようなもの)をコールドウォレットにて管理していることで可能にしています。コールドウォレットの詳しい説明は次の章で行います。
ただ、このように分別管理を行っていても、完全に資産の流出等のリスクが防げるわけではありません。万が一そのような事態になっても、利用者の資産を全て保証し、返還できることではないとしています。
詳しくはこちらの記事でも解説しておりますのでご覧ください。
<6位> zaif
- Zaifの利用者APIキーの不正利用及び不正取引
Zaifの利用者APIキーの不正利用及び不正取引
Zaifのセキュリティを懸念する声も上がっています。
大きな問題になった例として、2018年1月6日から7日未明にかけて発生したAPIキーの不正利用、そして1月9日に報告された不正アクセス及び不正出金があります。
APIキーとは簡単に言えば、外部から特定のサイトを利用する際に要求されるパスワードに似たようなものです。Zaif公式では、1月6日から7日にかけて10名分のアカウントで合計37の不正出金が実行され、15名分のアカウントで合計137件の不正注文が発行されたことを発表しています。
使用されたAPIキーは合計102個で、その中の18件が削除済みであることが確認されています。
アクセス経路については海外のホスティング会社のIPアドレスからの接続は確認できていますが、現在もこのAPIキーがどのようにして漏洩したのかはつかめていないようです。
さらに3日後の1月9日にも不正アクセス・不正出金があったことが確認されています。
Zaifは事件後にAPIキー利用時にIPアドレスのホワイトリスト登録の利用可能等で対応していくと述べ、利用者に使用していないAPIキーの削除や権限の見直し、2段階認証の設定の呼びかけを行うことで、このような不正出金への対策を行っています。
より詳しい内容を知りたい方はこちらをご参照ください。
https://corp.zaif.jp/info/8265/
zaif については、こちらの記事でも詳しく解説してますのでご覧ください。
(圏外) コインチェック
コインチェックはNEMの580億円盗難のハッキング事件により順位圏外としました。現在新規登録中止中です。
| 会社の信頼性 | × |
|---|---|
| サーバー | ◎ |
| マルチシグ | 未対応 |
取引所の安全性のポイントって?
取引所を使う上でその取引所のセキュリティはしっかりとしているのか、最近起きてしまったコインチェックのハッキング事件で心配になる方は多いはずです。取引所の安全性を図るには以下のような点がポイントになります。
- コールドウォレット管理されているか
- マルチシグ対応しているか
ただし、いずれの取引所も上記の2点だけで優劣をつけることは難しいです。そこで、本記事では、サービスの挙動から伺えるWeb開発力の高さやセキュリティに関連する発表をもとに順位を決定しています。これには「はじめてのビットコイン」運営の印象値も含まれますのでご了承ください。
1. コールドウォレット管理されているか
マウントゴックス事件、コインチェック事件然り、事件が起きてしまってのはホットウォレット管理されていたからだと言えます。
まずコールドウォレットとホットウォレットとは何か。簡単に説明すると、
コールドウォレット:オフラインで管理されているウォレット
ホットウォレット:オンラインで管理されているウォレット
このようにオンラインかオフラインかの違いになります。
無論、オフラインで管理されている限りは、ハッカーたちはそこに侵入することは不可能になります。その分オフラインで管理されていると、運営会社(取引所)の資金の運用などの管理コストがかかってしまい、大変になるという側面があります。
このコールドウォレット、ホットウォレットですが、ここで取り上げている国内取引所では全てコールドウォレットで管理されていると明記されています。しかしコインチェックはコールドウォレットで管理されていたのは、ビットコインとイーサリアムのみで他のアルトコインはコールドウォレット管理されていなかったということが明るみに出ました。
他の取引所もコールドウォレットで管理しているとは限りませんし、ホットウォレットとコールドウォレットに保存する資産の割合なども明らかではありません。
コインチェックでは仮想通貨を13種類取扱いしていました。種類が多い分、コールドウォレットで管理するのはオペレーションコストがかかったのではないでしょうか。
そこで一つの指標としてあるのは、取扱通貨の数になります。コインチェックでは仮想通貨を13種類取扱いしていました。種類が多い分、コールドウォレットで管理するのはオペレーションコストがかかったのではないでしょうか。
- コインチェック:13種
- Bitflyer:7種
- DMM Bitcoin:2種
- Zaif:5種+11トークン
- Bitbank:6種
- GMOコイン:5種
- QUOINEX:8種
とは言えこの点においては、取引所の発表している公式情報から優劣を明確につけることができません。
2. マルチシグ対応しているか
マルチシグを簡単に説明すると、
通常(マルチシグでないもの)、秘密鍵は一つの端末やパスワードに依存しますが、
マルチシグ(マルチシグ対応のアドレス)、秘密鍵が複数存在し、そのアドレスにアクセスするのには一定数以上の鍵を合わせなければ行けない必要があることをいいます。
このように鍵を複数にすることにより、セキュリティを向上させることが出来ます。
- コインチェック:未対応
- Bitflyer:対応
- DMM Bitcoin:未対応
- Zaif:対応
- Bitbank:対応
- GMOコイン:対応
- QUOINEX:対応
自分で出来るセキュリティ管理
後ほど、取引所の安全性を比較させてもらいますが、あくまでどの取引所でもマウントゴックスやコインチェックのような事件が起こりうる可能性はあると考えていましょう。
完全に安全なセキュリティなどありません。事故が起きてしまっても自己責任となります。
そこで、取引所を有効活用しつつも、出来る限り自分で安全性を担保していきましょう。
2段階認証
2段階認証は必ずつけるようにしましょう。
仮想通貨取引所では、通常、メールアドレスとパスワードによるログイン機能が提供されています。
これだけだと悪意のある人にパスワードが知られてしまうと、不正ログインにより取引所のお金が抜き出されてしまう可能性があります。仮想通貨はインターネット上で誰でも簡単に送金できるため海外からの盗難被害というのも多いようです。
もしものために2段階認証を設定してセキュリティを強化しましょう。
詳しく知りたい方は「こちら」の二段階認証の記事で。
ハードウォレット
上記で紹介した、二段階認証はもちろん設定すべきですが、マウントゴックスやコインチェックの事件のように取引所自体がハッキングされてしまっては何の意味も持ちません。
それではどのようにすれば、取引所自体をハッキングされても、自分の試算を守れるのでしょうか。その今できる最大の方法が、「ハードウォレット」になります。
ハードウェアウォレットとは、所持している仮想通貨を取引所に保管しておくよりも安全に仮想通貨を保管するためのデバイスです。ただ、仮想通貨そのものを保管するツールではありません。
自分が所持している仮想通貨にアクセスするために必要な「秘密鍵」を自分で管理するためのツールです。
ちなみに秘密鍵とは、ビットコインで言うと「64桁の英数字で組み合わさった文字列」です。秘密鍵は、仮想通貨が保管された口座へアクセスできるという意味において、キャッシュカードや暗証番号、通帳、印鑑などが一緒になったような概念です。
一般に仮想通貨は仮想通貨取引所で管理されています。しかし取引所で管理することは手軽である反面、自分の口座にアクセスするための「秘密鍵」を取引所に預けていることと同じです。もしマウントゴックス事件やコインチェック事件のように取引所がハッキングされると、自分の仮想通貨が奪われてしまう可能性があります。
代表的なハードウェアウォレット紹介しますね。
USB接続で使用可。ビットコイン、イーサリアムをはじめとした複数の銘柄のコインも保有できるということで多くの人に支持されているハードウェアウォレットです。
真偽は定かではありませんが、webストアでの購入は非正規品もまじっているとのうわさもありますので購入は公式サイトがおすすめ。
TOREZORはビットコインキャッシュに対応しているハードウェア端末になります。
小型で充電も不要なので持ち運ぶ際に便利です。
USBでPC接続を行うことで、ブラウザからウォレット管理を行うことができます。使用する際も、2つのボタンを利用するだけで操作ができるので、非常に簡単です。
日本語対応している点も安心して利用できるポイントです。
ハッキング事件一覧
仮想通貨の界隈では今まで様々なハッキング事件を引き起こされています。
多くの取引所がハッカーたちに狙われています。
以下では今まで起きてきた代表的なハッキング事件について取り上げていきます。
Coincheck事件
総額580億円
これは2018年1月26日にコインチェック社が管理する総額5億2300万XEM(保有者数約26万人)のアルトコインnemがハッキングにより不正流出した事件になります。
この5億2300万XEMは仮想通貨ハッキング事件過去最大の総額580億円分が流出する事件となりました。
マウント・ゴックス事件
総額115億円
これは2014年3月7日から10日の三日間で、仮想通貨取引所であるマウントゴックスから、75万btc、当時で115億円分のビットコインがハッキングされ不正流出した事件となります。
この事件は日本で数多く報道され、多くの人々が仮想通貨に対して、悪いイメージが付いてしまった事件となります。
Bitfinex事件
総額70億円
これは2016年に仮想通貨取引所であるBitfinexが12万btc、当時で70億円相当のビットコインが不正流出した事件となります。ビットコインの流出事件の中ではマウントゴックスに次ぐ、大きなハッキング事件となりました。
TheDAO事件
総額55億程度
こちらは取引所ではありませんが、上記同様にハッキング事件となります。
2016年6月17日、The DAO のプログラム(スマートコントラクト)のバグ(脆弱性)を突かれ、集まったファンド資金(1.5億ドル以上)の3分の1以上(360万ETC)を盗み取られるという事件が起こりました。
この事件によってイーサリアムはハードフォークがなされ、イーサリアムとイーサリアムクラシックに分裂していったという経緯があります。
仮想通貨取引所に登録する際に必須のセキュリティ対策
ここまで取引所の安全性をランキング付してきました。しかし、あくまで仮想通貨の取引は自己責任の面が大きいです。自分でセキュリティ管理出来るのならば、出来る限り積極的にやっていきましょう。
改めて下記にセキュリティ対策をまとめていきたいと思います。
不正ログイン対策
高額の入金をする場合、メールアドレスは専用のものを用意しよう
仮想通貨取引所に高額の入金をする場合は、専用のメールアドレスと複雑なパスワードを新規に作成してから取引所に登録しましょう。
普段のメールアドレスを使いまわすのは、メールアドレスを知られる可能性があるためリスクを高めます。
取引所のパスワードも必ず専用の複雑なものを用意しよう
メールアドレスのみでなく、パスワードも必ず専用の複雑なものを用意しましょう。
これらの対策によって、メールアドレスやパスワードが漏れて不正ログインをされるリスクは大幅に軽減できます。
二段階認証の設定は必須
更に、取引所にログインする際の二段階認証の設定は必須です。
メールアドレスとパスワードによるログインの後にランダムに生成されるワンタイムパスを設定します。これら2つの対策をすることで、不正ログインを未然に防ぐことができます。
取引所に大きな金額は置かない
取引所に大きな金額は預けないようにしましょう。できる限り複数の取引所に分散させて管理トレードすることをオススメします。
また、しばらくの間動かす予定がないのであれば、ハードウェアウォレットに保存することをオススメします。
https://www.newscrypto.jp/articles/1808
海外取引所には不用意に個人情報は登録しない
海外取引所には不用意に個人情報を登録しないようにしましょう。
これまでも海外の仮想通貨取引所がハッキングされ、顧客のパスポートなどの個人情報が盗まれた事件等が発生しています。
パスポートは非常に重要な個人情報ですので、信頼できる取引所に以外登録するのは控えましょう。
bitbank DMM Bitcoin GMOコイン QUOINEX zaif コインチェック ビットフライヤー 仮想通貨取引所 仮想通貨取引所ランキング