ビットフライヤー・ビットバンクのセキュリティ施策をまとめ

▼おすすめの取引所ランキング

先日のコインチェックのハッキング事件によって、多くの方が仮想通貨の取引所のセキュリティ面を心配していることだと思います

そこで、ビットフライヤーとビットバンクはセキュリティに関する取り組みをユーザーに向けて発表しました。

それを本記事ではまとめていきます。

ハッキング対策の文書の中では、今回のハッキング事件で話題になった

コールドウォレット」、「マルチシグ

も含まれています。

ビットフライヤー、ビットバンクそれぞれの取引所のセキュリティ施策をまとめていきます。

コインチェックのハッキング事件

2018年1月26日に起きたコインチェックのハッキング事件は、最終的に5億2,300万NEM、日本円にして約580億円近くの盗難事件となりました。

このコインチェックのハッキング事件では2つのセキュリティ施策がポイントとなってきました。

それが「コールドウォレット」と「マルチシグ」です。

コインチェックはハッキングされたnemを

コールドウォレットではなく、ホットウォレット

マルチシグに未対応

で管理していました。

コールドウォレット、マルチシグに関してはこちらで詳しくまとめています。

「Coincheckで大変なことが起きたらしいから、会見を見よう!」 そう思っていざ会見を見ても、用語がわからず、状況が理解できなかった、、、

事件の流れや、記者会見の内容はこちらの記事でまとめています。

2018年1月26日、12時頃に発表されたコインチェックのNEMの入出金停止措置、 最終的に、5億2,300万NEM、日本円にして約580億円近くの盗難事

ビットフライヤーのセキュリティ施策

ビットフライヤーは文書の中で「セキュリティファースト主義」を掲げています。

また、その中で金融分野に精通した経営陣の紹介などもされていますね。

文書の中でセキュリティ施策が書いてありましたので、まとめていきます。

セキュリティ施策

・コールドウォレット

今回のハッキング事件で話題になったコールドウォレットになります。

コインチェックはNEMが全てホットウォレット管理とされていたのが、今回の事件のポイントでした。

基本的に仮想通貨取引所が仮想通貨を運用するにあたって、全てをコールドウォレットで管理することは、送金を手動で行わければならないため、あまり現実的ではありません。運用する分をホットウォレットに移して、運用していきます。

ここのオペレーションコストが高いために、コインチェックはnemを全てホットウォレット管理していたのでしょう。

ビットフライヤーではビットフライヤーが所有している80%以上はコールドウォレットで管理されているような形となっているそうです。

お客さまおよび当社が所有する金額で 80% 以上の仮想通貨は、ネットワークから隔離されたコールドウォレットに保管されています。コールドウォレットは多重の物理的セキュリティ対策により保護され、24 時間監視システムにより強固に守られております。当社では 各種取扱仮想通貨に関し一定の基準を設けてコールドウォレットでの管理をしております が、基準のさらなる厳格化を実施する予定です。また、コールドウォレットに限らず、秘密鍵は常に暗号化されており、万が一漏洩した場合でも第三者が秘密鍵を利用することは 不可能です。

・マルチシグ

こちらも今回のハッキング事件で話題となったマルチシグになります。

コインチェックではこのマルチシグがビットコイン、イーサリアム以外の通貨に対して未対応でした。

ビットフライヤーでは明確にどの通貨に対応しているかは、明記されていませんが、基準を設けて設定しているそうです。さらにマルチシグ対応の基準のさらなる厳格化をすすめるそうです。

マルチシグとは送金に複数の秘密鍵を要求することができる技術のことであり、マルチシグを採用することで高セキュリティのウォレットを構築できます。マルチシグを適切に構成することで、最重要データである秘密鍵が仮に 1 つ漏洩したとしても別の秘密鍵が無け れば仮想通貨の送付ができないように設定できます。一般的に、攻撃者が 2 つ以上の異なる設計のプラットフォームに同時に侵入することは非常に困難です。当社では各種取扱仮想通貨に関し一定の基準を設けてマルチシグ化をしておりますが、基準のさらなる厳格化 を実施する予定です。

・自社開発のビットデーモン

ビットフライヤーは自社開発のビットコインデーモンを利用しているそうです。

一般的に利用されているビットコインデーモンはソースコードが公開されているために脆弱性を突かれ攻撃されるリスクがあります。当社は自社開発のビットコインデーモンを利用することで脆弱性を突かれるリスクが低くなっています。また、自社開発のビットコインデーモンと一般的に利用されているビットコインデーモン(bitcoind)を併用し常に相互チェックしているため、当社のビットコインデーモンに万が一の不具合があった場合でもすぐに検知、修正することができます。

・セキュリティ上問題のないコインに限った取り扱い

金融庁、専門家と協議した上での、上場コインを決めているそうです。

アルトコインの中には匿名性が高く取引が追跡できないことでマネーロンダリングに使用され問題視されているものがあります。当社は、金融庁とも協議した上で社内のエンジニアや社外の専門家の意見を交え、セキュリティ上問題ないと判断したコインのみを取り扱いしております。

より詳しく読みたい方はこちらの本文をどうぞ

https://bitflyer.com/pub/bitflyer-security-first-policy-and-our-measures-for-security-and-customer-asset-protection-ja.pdf

ビットバンクのセキュリティ施策

ビットバンクはセキュリティ施策として、今回話題となった「コールドウォレット」「マルチシグ」の2つに絞って、発表しています。

まとめていきます

セキュリティ施策

・コールドウォレット

コールドウォレットの対応に関しては取扱通貨全てに対応しているみたいですね。

コールドウォレットの適用状況

仮想通貨の種類コールドウォレット
対応未対応
ビットコイン
ライトコイン
リップル
モナコイン
ビットコインキャッシュ
イーサリアム
・マルチシグ

ビットバンクは基本的にコールドウォレットを適切に利用することでインターネットを利用した攻撃に充分に対応できると考えているそうです。なので、コールドウォレットのオペレーションが上手く回るようになった通貨から随時マルチシグ対応を進めているとのことです。

マルチシグの適用状況

仮想通貨の種類コールドウォレットホットウォレット
マルチシグ非マルチシグマルチシグ非マルチシグ
ビットコイン
ライトコイン
リップル
モナコイン
ビットコインキャッシュ
イーサリアム

コールドウォレット内で代表的な通貨であるイーサリアム、リップルのみがマルチシグ対応していないのが気になります。それについてはこのように説明されています。

・イーサリアム

イーサリアム・アドレスのマルチシグ化は、ビットコインやリップル等と異なり、プロトコルレベルでなくスマートコントラクトを用いて行われます。

先般、イーサリアムのマルチシグを巡り事故が相次いでいる()ように、スマートコントラクトの脆弱性を突き、秘密鍵なしで不正移動できてしまうリスクが内在しておりました。本脆弱性については既にパッチが当てられているものの、プロトコルレベルのマルチシグではなく、依然セキュリティに懸念があることから、当社においては当面の採用を見送っている状況です。

イーサリアムにおいても、引き続きセキュリティ面のリサーチを進め、マルチシグ化に向け検討を行っていきます。

・リップル

ビットコイン等の仮想通貨と異なり、複数のシードキーからマルチシグアドレスを導出することはできず、マルチシグ化する親アドレスから、マルチシグに使用するアドレスを登録する方式をリップルでは採用しています。そのため、マルチシグ化した親アドレスの秘密鍵が領域に残っていたり、作業者が隠し持ったりするリスクが内在しています。

この点において、弊社では親アドレスの秘密鍵を削除したことを証明しつつ、安全にマルチシグに移行するための方法論を優先的に検討を進めております。

より詳しく知りたい方はこちらの本文をどうぞ

https://bitbank.cc/blog/statement-for-our-wallet-structure/

まとめ

両社のセキュリティ施策を

今回のコインチェックのハッキング事件で話題となった

「コールドウォレット」「マルチシグ」でまとめると、、

・ビットフライヤー
  • 80%以上の通貨をコールドウォレット管理
  • 明確に通貨名は出していないがマルチシグに対応している通貨はある
・ビットバンク
  • 全通貨コールドウォレット対応(ホットウォレットとの比率は出していない)
  • 明確に通貨名を出してマルチシグ対応を発表

両社ともに今回のコインチェックのハッキング事件によって、よりセキュリティに関して力を入れていくことと思います。

また、世間からの目もその部分に対して、より向いていくことでしょう。

今後も注目していく要素であることは間違いないです。


bitbank ニュース ビットフライヤー 仮想通貨取引所