bitflyer(ビットフライヤー)のセキュリティを徹底解説!

▼おすすめの取引所ランキング

先日、コインチェックから約580億円のNEMが流出した事件が起き、大きく世間を騒がせました。

取引所を利用されている方も、今回の事件を機に一層セキュリティ面が気になることかと思います。

そこで今回はbitFlyerのセキュリティ面を徹底解説していきたいと思います!

取引所のセキュリティの必要性

仮想通貨取引を行う人の多くが取引所を利用していると思われます。しかしながら、この取引所のセキュリティは必ず安全と言い切ることはできません。

先日のコインチェック事件を始め、マウント・ゴックス事件やBitfinex事件等、取引所ハッキングによる巨額の不正流出事件は世界樹で数多く発生しています。

顧客の資産を管理・運用している以上、取引所はそのセキュリティ管理を常に強固なものにしていく必要があるのです。

本記事では仮想通貨取引所のセキュリティについて

  • どのようなセキュリティ対策が必要とされているのか?
  • これまでどのようなセキュリティ対策が行われて来たのか?
  • コインチェックの事件を受けてどのようなセキュリティ対策が発表されたか?

といった視点から見ていきたいと思います。

どのようなセキュリティ対策が必要とされているのか?

仮想通貨取引所は、お金を扱うサービスであるため、高いセキュリティが求められます。

例えば、以下の3つのようなセキュリティ対策が必須です。

  • 暗号通貨特有のセキュリティ対策
  • 一般的なWebアプリケーションに必要なセキュリティ対策
  • 従業員の機器感理など運用面のセキュリティ対策

暗号通貨特有のセキュリティ

仮想通貨取引所は、暗号通貨・仮想通貨を取り扱うサービスであるため、他のWebサービスとは異なり、暗号通貨特有のセキュリティ対策が必要です。

これには、コインチェックの事件でも問題になったマルチシグネチャ対応やコールドウォレット対応などがあります。

これについてはこちらの記事で詳しく解説しておりますのでご参照ください。

「Coincheckで大変なことが起きたらしいから、会見を見よう!」 そう思っていざ会見を見ても、用語がわからず、状況が理解できなかった、、、

一般的なWebアプリケーションに必要なセキュリティ

一般的なサーバシステムのセキュリティ対策には、以下のような要素があります。

  • ネットワークのFWやアクセス権限、SSL対応などの対策
  • XSS対策やSQLインジェクションやCSRF、パスワードの管理方法などの対策
  • サーバのソフトウェアの更新などの対策

これらはWebアプリケーションのセキュリティ対策として基礎的なことではあるものの、どのようなセキュリティ対策を発表しているかは重要なポイントです。

従業員の機器管理や情報管理など運用面のセキュリティ対策

Web系のベンチャー企業などにおいて盲点となりやすいのが、従業員の機器感理やネットワーク管理など運用面のセキュリティ対策です。

社内のネットワークにウイルスなどに感染したPCが持ち込まれるリスクや、ネットワークにアクセスするためのVPNの管理などです。

Webサービスや暗号通貨的なセキュリティリスクに気をつけていても、ここに穴があると全てが水の泡になりかねません。

これまでどのようなセキュリティ対策が行われてきたのか?

ビットフライヤーはシステム面と運用面に分けてセキュリティを行っております。

公式サイトでは、具体的なセキュリティ施策を以下のように解説しています。

システム面

A. ネットワーク

1.次世代暗号システム、最高強度の暗号化技術の導入によるセキュリティの確保

①SSL通信

②DigiCertのSSLサーバー証明書の採用

③DigiCertのSSLサーバー証明書で最高強度のEVを採用

④SHA-2(SHA-256)の採用

2.FW(ファイア・ウォール)による社内環境の防御

3.WAF(ウェブ・アプリケーション・ファイアウォール)による不正アクセスの常時監視、負荷分散

①検査機能:HTTP通信の検出パターンに基づいた検査

②処理機能:HTTP通信に対する処理

③ログ機能:WAFの動作の記録

4.DNSサーバーIP AnyCastの導入によるネットワークの負荷分散

B. ログイン

1.パスワードの強度チェック

2. アカウントロック機能

3. ログイン履歴の管理

5. 自動タイムアウト

C. ビットコイン

1. マルチ・シグネチャ

2. コールドウォレットに80%以上を保管

3. 自社開発のビットコインデーモン

D. インフラ

1. 常に最新のOSパッチが自動で適用

2. 顧客情報データベースの暗号化

3. 自己診断機能による各サーバーのヘルスチェック

E. プログラム

1. XSS(クロスサイトスクリプティング)対策

2. SQL Injection(SQL インジェクション)対策

3. CSRF(クロスサイトリクエストフォージェリ)対策

4. ブルートフォース攻撃、辞書攻撃(パスワード攻撃)、リバースブルートフォース攻撃対策

5. パスワード及びハッシュ化処理

6. IPアドレス制限

7. 自己診断によるアラート自動送信

8. 暗号学術論的に安全な擬似乱数生成器の使用

 運用面

1. 本人確認等

2. ウイルス・ハッキング対策

3. 資産の分別管理

以上の記述から、ビットフライヤーでは、暗号通貨特有のセキュリティ対策や、一般的なWebサービスにおけるセキュリティ対策にはかなり気をつけていることがわかります。

一方で、従業員の機器管理や情報管理など運用面のセキュリティ対策についてはそれほど意識的に発表をしていないように思います。

コインチェックの事件を受けてセキュリティファーストを宣言!

ビットフライヤーは先日のコインチェック事件を受け、「セキュリティ・ファースト主義」を掲げた文書を発表しました。

これまで発表してきたセキュリティ対策のさらなる向上を目指したものです。

この文書では主に以下の3つを中心としたセキュリティ対策を行っていると述べたものです。

・仮想通貨に関する施策

・セキュリティ技術に関する施策

・顧客資産の保護に対する施策

・社内セキュリティに関する施策

以下はその文書で発表されたものをまとめたものです。

以上を読むと、これまでに比べて、暗号通貨特有のセキュリティ及び一般的なWebアプリケーションに必要なセキュリティだけでなく従業員の機器管理や情報管理など運用面のセキュリティ対策についても意識した発表となっていることがわかります。

更に詳しく知りたい方はこちらの本文をどうぞ

https://bitflyer.com/pub/bitflyer-security-first-policy-and-our-measures-for-security-and-customer-asset-protection-ja.pdf

仮想通貨に関する施策

コールドウォレット

先日のNEM流出事件で大きく話題になったコールドウォレット

コインテチェックではNEMが全てホットウォレット管理となっていたのが、今回の事件のポイントでした。

コールドウォレットとは、インターネットから完全に切り離されたウォレットのことです。

オフラインのPCやスマートフォンに秘密鍵を保持しておいたとしても、それはコールドウォレットではありません。

具体的には、アドレスと秘密鍵を紙に書き記して保存する「ペーパーウォレット」や専用のハードウェア等で秘密鍵を保管する「ハードウェアウォレット」があります。

コールドウォレットは非常にセキュリティ性が高い仮想通貨の保管方法ですが、全てをそこで管理することは、送金等を手動でやらなければならないため、あまり現実的ではありません。

基本的には、運用する分をホットウォレットに移して管理していくことになります。

ビットフライヤーは今回の文書で、ビットフライヤーが所有する金額の80%以上はコールドウォレットに保管していると明記しています。

これによりハッキングによる仮想通貨の流出が仮に起きても被害は限定的に防ぐことができることがわかります。

マルチシグ(マルチ・シグネチャ)

こちらも今回の事件で話題となったマルチシグになります。

コインチェックではビットコインとイーサリアム以外に対してこのマルチシグに非対応でした。

マルチシグとは秘密鍵(署名)を複数に分けて管理する技術のことを言います。

このアドレスは仮想通貨を送付するために複数の署名を要求することによって、高セキュリティのウォレットを構築しています。

ビットフライヤーではこのマルチシグが明確にどの塚に対応しているかは明記していませんが、一定の基準を設定して行っているそうです。

また、NEM流出事件を受け、今回の文書ではその基準の更なる厳格化を実施すると明記されています。

自社開発のビットコインデーモン

ビットフライヤーでは自社開発のビットコインデーモンを利用しています。

一般的に使われているビットコインデーモンはソースコードが公開されているため、その脆弱性を狙われて攻撃されるリスクがあります。

ビットフライヤーは自社開発のビットコインデーモンを利用することにより、この攻撃されるリスクを軽減しています。

さらに万が一の不具合が起きた場合でも即座に検知・修正できるように、一般的に利用されているビットコインデーモンを併用し相互に監視しているシステムを構築しています。

暗号学的に安全な擬似乱数生成期の使用

仮想通貨の取引を行う際には秘密鍵の生成は必須です。

この秘密鍵がその所持者の個人情報と結び付けられ、第三者の手に渡ってしまった場合、所持している仮想通貨が盗難、もしくは流出されるリスクが発生してしまいます。

そのような理由から、秘密鍵作成の際には、より安全な乱数生成機が必要となります。

今回の文書でビットフライヤーは特定の条件を満たす暗号学的に安全な擬似乱数生成期の使用していると明記しています。

その条件とは

1.生成されたビット列からその次に生成されるビットを50%を超える確率で推測する方法が存在しない。

2. 乱数生成器の途中の内部状態が明らかになってもそれまでに生成された過去の乱数列を再現できない。

この2つの条件により、乱数の品質と内部状態を知るものによる攻撃に耐えることを保証しているのです。

セキュリティ上問題のないコインに限った取り扱い

アルトコインは匿名性が高く、マネーロンダリングに利用される危険性が存在します。

ビットフライヤーではそれを踏まえ、上場コインを決める際、金融庁や専門家との争議を行っているそうです。

セキュリティ技術に関する施策

通信セキュリティ

ビットフライヤーでは個人情報の安全性を確保するために、全てのデータ通信を暗号化しています。

この暗号化の技術は大手金融機関のものより高いものを使用しているそうです。

FW(ファイアウォール)/WAF(ウェブ・アプリケーション・ファイアウォール)

ビットフライヤーはFW/WAFを利用しています。

FWとは、外部の侵入者から企業内部のネットワークを守るための機器やソフトウェアのことを指します。

それだけではなく、WAFも併用することによりFWでは制限しきれないウェブ・アプリケーションへの通信内容を検査し、不正な通信を遮断しています。

IPアドレス制限

IPアドレス制限によって第三者によるアクセスを防いでいます。

不正なアクセスを試みたIPアドレスは自動的にブラックリストに入れられます。

さらに今回の文書では、国ごとのアクセス制限を行っており、北朝鮮は厳重警戒の対象国であることを発表しました。

二段階認証の推奨

利用者自身がセキュリティを強化する手段として、ビットフライヤーは二段階認証の設定を推奨しています。

二段階認証とは、ログイン時や出金時等に必要なパスワードに加えて、確認コードによる追加認証を行うことで、アカウントのセキュリティをさらに強固にするための仕組みです。

また、仮想通貨を外部に送付する際には二段階認証を必須にしています。重要な機能でより強固なセキュリティ担保しています。

顧客資産保護に対する施策

ビットフライヤーは今回の文書で、顧客資産の安全性の向上を図るために、国内大手損害保険会社と契約していることを発表しました。

こちらは、ビットフライヤーの利用者のうち、2段階認証を実施している利用者を対象に、「日本円の不正出金」に対しての補償を示したものです。期間は2018年6月1日までで、1ユーザーににつき1回までの補償となります。上限金額は、預かり金が100万円を超えているユーザーには最大500万円、それ以外のユーザーには最大10万円となっています。

しかし、補償するのはあくまで日本円の不正出金のみであり、ビットコインやイーサリアム等の仮想通貨が不正ログインによって盗難された場合の補償は行われないので注意が必要です。

また、仮想通貨決済サービスにおける賠償責任保険についても、三井住友海上株式会社と共同開発をしています。

これは利用者がビットコイン等で支払いを行った際、システム側の問題で送金が正しく行われなかった場合、店舗に補償を行うサービスです。これにより、加盟店がより決済システムに仮想通貨を導入しやすくしています。店舗向けのサービスとしては国内初です。

他にもビットフライヤーはあらゆる仮想通貨サービスにおいて保険の検討・契約を行っていくことを示しています。

社内セキュリティに関する施策

ビットフライヤーは2017年10月に本社を東京ミッドタウンに移転し、24時間常時監視システムをはじめとした厳重なセキュリティシステムを導入しているそうです。

また、すべての職員に対しセキュリティ研修を行い、利用する端末に関してもサイバーセキュリティチームにより厳重なチェックを行っています。

これにより会社内部からのハッキングや攻撃を未然に防いでいます。

squeen社からのセキュリティ最高評価

先日、世界中の取引所のセキュリティ監査を行うsqueen社が、ビットフライヤーは世界最高ランクのセキュリティを持つと発表しました。

We’re not here to do any aggressive public shaming. But if pointing the finger at a couple of better-performing platforms can help cryptocurrency traders to choose a safer trading platform, that’s what we will do.

DISCLAIMER: we’re not recommending any of those platforms.

So here are the 5 best cryptocurrency exchanges:

ExchangeCountry24h VolumeSecurity Score (out of 10)
bitflyer.jpJapan$252,479,7067
coinbase.comUS$216,382,6407
bitfinex.comHong Kong$1,489,668,2916
kraken.comUS$481,817,8586
itbit.comUS$42,310,3236

squeen公式HPより引用

セキュリティスコアの部分で10段階のうち7を獲得していることがわかります。

これはアメリカの取引所coinbase.comと並び世界最高ランクタイの数字です。

この評価の判断基準は、一般的なアプリケーションに必要なセキュリティ対策の基本的な部分が大きいです。ただ、掲載されているトップ5の中で、日本の取引所では唯一のランクインを果たしています。

以上のことから、ビットフライヤーはセキュリティ対策においては国内取引所の中でもトップクラスに力を入れていることがわかります。

まとめ

今回はビットフライヤーのセキュリティについて最新の情報も踏まえて解説してきました。

bitFlyerは国内最大級の資本金をもとに、更なるセキュリティ対策の向上を目指しています。

セキュリティに絶対はないため、ある程度のリスクは必ず残りますが、コインチェックの発表を受けていち早くセキュリティ対策の見直しに発表するなど、意欲的にセキュリティに取り組んでいるようです。

ビットフライヤー公式サイトへ


ビットフライヤー 仮想通貨取引所