bitbank (ビットバンク) のセキュリティについて徹底解説!

▼おすすめの取引所ランキング

2018年1月、コインチェックから大規模NEM流出事件が起き、大きく世間を騒がせました。

取引所を利用されている方も、今回の事件を機に一層取引所のセキュリティ面が気になることかと思います。

そこで今回は ビットバンク のセキュリティ面を徹底解説していきたいと思います!

「コインチェック事件後、どこの取引所を使えばいいかわからない…」

そんな風にお困りの方は、ぜひ参考にしてみてくださいね。

▼そもそもbitbankってどんな取引所?という方はこちらを併せてご覧ください。

本記事は仮想通貨取引所である「  」の概要から登録方法・使い方・手数料・評判をまとめていきます。 ビットバンクは他の国内取引所と比べて比較

取引所のセキュリティの必要性

仮想通貨取引を行う人の多くが取引所を利用していると思われます。

しかしながら、この取引所のセキュリティは必ず安全と言い切ることはできません。

先日のコインチェック事件を始め、マウント・ゴックス事件Bitfinex事件等、取引所ハッキングによる巨額の不正流出事件は世界中で数多く発生しています。

顧客の資産を管理・運用している以上、取引所はそのセキュリティ管理を常に強固なものにしていく必要があるのです。

本記事では仮想通貨取引所のセキュリティについて

どのようなセキュリティ対策が必要とされているのか?

・これまでどのようなセキュリティ対策が行われて来たのか?

・コインチェックの事件を受けてどのようなセキュリティ対策が発表されたか?

といった視点から見ていきたいと思います。

どのようなセキュリティ対策が必要とされているのか?

仮想通貨取引所は、お金を扱うサービスであるため、高いセキュリティが求められます。

例えば、以下の3つのようなセキュリティ対策が必須です。

・暗号通貨特有のセキュリティ対策

・一般的なWebアプリケーションに必要なセキュリティ対策

・従業員の危機管理など運営面のセキュリティ対策

暗号通貨特有のセキュリティ

仮想通貨取引所は、暗号通貨・仮想通貨を取り扱うサービスであるため、他のWebサービスとは異なり、暗号通貨特有のセキュリティ対策が必要です。

これには、コインチェックの事件でも問題になったマルチシグネチャ対コールドウォレット対応などがあります。

▼これについてはこちらの記事で詳しく解説しております

「Coincheckで大変なことが起きたらしいから、会見を見よう!」 そう思っていざ会見を見ても、用語がわからず、状況が理解できなかった、、、

一般的なWebアプリケーションに必要なセキュリティ

一般的なサーバシステムのセキュリティ対策には、以下のような要素があります。

  • ネットワークのFWやアクセス権限、SSL対応などの対策
  • XSS対策やSQLインジェクションやCSRF、パスワードの管理方法などの対策
  • サーバのソフトウェアの更新などの対策

これらはWebアプリケーションのセキュリティ対策として基礎的なことではあるものの、どのようなセキュリティ対策を発表しているかは重要なポイントです。

従業員の危機管理や情報管理など運用面のセキュリティ対策

Web系のベンチャー企業などにおいて盲点となりやすいのが、従業員の危機管理ネットワーク管理など運用面のセキュリティ対策です。

社内のネットワークにウイルスなどに感染したPCが持ち込まれるリスクや、ネットワークにアクセスするためのVPNの管理などです。

Webサービスや暗号通貨的なセキュリティリスクに気をつけていても、ここに穴があると全てが水の泡になりかねません。

これまでどのようなセキュリティ対策が行われたのか?

※画像は公式サイトより引用

bitbankでは、仮想通貨の管理においてマルチシグ(複数人署名)によるホットウォレットとコールドウォレットの管理システムを採用しています。

コールドウォレット

先日のNEM流出事件で大きく話題になったコールドウォレット

コインチェックではNEMが全てホットウォレット管理となっていたのが、今回の事件のポイントでした。

コールドウォレットとは、インターネットから完全に切り離されたウォレットのことです。

オフラインのPCやスマートフォンに秘密鍵を保持しておいたとしても、オンラインになることがあるのならば、それはコールドウォレットではありません。

通常コールドウォレットは、アドレスと秘密鍵を紙に書き記して保存する「ペーパーウォレット」や専用のハードウェア等で秘密鍵を保管する「ハードウェアウォレット」で実現されます。

コールドウォレットは非常にセキュリティ性が高い仮想通貨の保管方法ですが、全てをそこで管理することは現実的ではありません

送金等を手動で行う必要が生じ、オペレーションコストが高くなるからです。

基本的には、オンライン上で資金の移動が可能なホットウォレットに通常の運用分の資金は移して管理していくことになります。

ホットウォレット

上記のコールドウォレットとは異なり、ホットウォレットは常時ネットワークに接続された環境にあるウォレットのことを言います。

メリットとしては「安全性」「送金時の利便性」のトレードオフになっています。

こうしてみるとコールドウォレットとホットウォレットのメリット・デメリットは、対になっていることがわかりますね。

bitbankではホットウォレット管理に当たって、専門企業のBitGoと提携し、秘密鍵を物理的・仮想的に分散させています。

取引を行う際にこの二社の電子署名を必要とするシステム体制を採用することで、利用者のビットコイン引き出しを安全かつ安定したサービスを提供可能にしています。

二段階認証・SMS認証の併用可能

実際に仮想通貨取引所を利用されている方は「二段階認証」や「SMS認証」という単語を耳にしたことがあるのではないでしょうか。

仮想通貨取引所では通常、メールアドレスとパスワードによるログイン機能が提供されています。これだけだともし悪意ある人にパスワードが知られてしまうと、不正ログインにより取引所のお金が勝手に引き出される可能性があります。

このもしもを防ぐ手段としてあるのが「二段階認証」や「SMS認証」です。

「二段階認証」は、ログインパスワードに加えて更に確認コードによる認証を加えることでアカウントのセキュリティをより強固にする方法であり、「SMS認証」は利用者の携帯電話番号を利用して、本人確認を行う方法です。

これにより二段階認証のみを採用している取引所より、さらに安心できるセキュリティを提供しているといえます。

上記にある暗号通貨特有のセキュリティ対策を積極的に行っていることがわかります。ホットウォレットに関しては専門会社と提携していることも、ハッキング等の攻撃のリスクを抑えようとしている面から、安心できるポイントです。

一方で、一般的なWebサービスにおけるセキュリティ対策従業員の危機管理や情報管理等の運用セキュリティ対策関してはそれほど意識的に発表していないように思われます。

コインチェックの事件を受けてどのようなセキュリティ対策が発表されたか?

コインチェックの大規模なNEM流出事件を受けて、bitbankは新たに取り組んでいるセキュリティ面に関しての発表を行いました。

仮想通貨の運用管理には、いかに安全性を高めつつ、現実的な運用を行うかを至上命題とし、そのセキュリティは「秘密鍵」(パスワードのようなもの)の運用方法に集約されるとし、その具体的な施策を述べたものです。

以下はその発表をまとめたものになります。

もっと詳しい記述がみたい!という方は下のリンクから本文をご覧になってください。

https://bitbank.cc/blog/statement-for-our-wallet-structure/

仮想通貨に対する攻撃の種類とリスク

bitbankでは仮想通貨に対する攻撃を具体的に

  1. インターネットを通じた攻撃
  2. 物理的な接触を通じた攻撃

の二つに分けられるとしました。

インターネットを通じた攻撃

bitbankは秘密鍵がインターネットに接続可能なデバイスに保管されている場合、攻撃者はサーバーやPC、スマートフォンの脆弱性を突き不正操作を許してしまう可能性があることから、オンライン環境は常に攻撃者によるリスクに晒されているとしています。また、その攻撃は所在を問わず行うことができるため、オンライン環境における秘密鍵の管理の管理は最も脆弱と述べています。

この点に対する対応策として、今回の文書では前述したコールドウォレットを挙げています

マルチシグを用いたホットウォレットを使えば、攻撃されるリスクを抑えることは可能ですが、実際にトランザクションの発行や署名要請を行うサーバーに侵入される可能性を考慮すると、それだけでは不十分であると述べています。

物理的な接触を通じた攻撃

上記のコールドウォレットによる管理も完全ではありません。オンライン環境からの攻撃に対しては非常に有効ですが、オフライン環境からの攻撃に対しては十分であるとは言えません。

コールドウォレットでの保管方法として「ハードウェアウォレット」や「ペーパーウォレット」による管理方法を挙げましたが、内部者等から秘密鍵またはバックアップ用のパスワードが盗まれてしまえば、仮想通貨の移転ができてしまうのです。このような事件は国内外で発生しています。このことから、bitbankは内部犯行の可能性や他の攻撃リスクに対してリスク分散を行う必要があるとしました。

この点に対する対応策としてマルチシグを挙げています。

コールドウォレット・マルチシグの適用状況

・コールドウォレットの適用状況

仮想通貨の種類コールドウォレット
対応未対応
ビットコイン
ライトコイン
リップル
モナコイン
ビットコインキャッシュ
イーサリアム

※公式HPから引用

コールドウォレットに関しては全ての取り扱い通貨に対応しているみたいです。

・マルチシグの適用状況

仮想通貨の種類コールドウォレットホットウォレット
マルチシグ非マルチシグマルチシグ非マルチシグ
ビットコイン
ライトコイン
リップル
モナコイン
ビットコインキャッシュ
イーサリアム

※公式HPから引用

これを見ると、まだ全ての通貨に対応していないことがわかります。

理由としては、bitbankはまずコールドウォレットの適切な採用による、インターネット攻撃からのセキュリティを優先しているからです。そのため、bitbankが取り扱う仮想う通貨はコールドウォレットの運用方法が確立しているものだけだそうです。

その上で、オフライン環境からの攻撃への対応として、マルチシグを採用し、bitbankの仮想通貨セキュリティチームによる安全性検証を終えたものから、そちらに移行しているそうです。

しかし、コールドウォレット内で代表的な通貨であるイーサリアム、リップルのみがマルチシグ対応していないことが気になりますよね。

それについては以下のように説明されています。

・イーサリアム

イーサリアム・アドレスのマルチシグ化は、ビットコインやリップル等と異なり、プロトコルレベルでなくスマートコントラクトを用いて行われます。

先般、イーサリアムのマルチシグを巡り事故が相次いでいる()ように、スマートコントラクトの脆弱性を突き、秘密鍵なしで不正移動できてしまうリスクが内在しておりました。本脆弱性については既にパッチが当てられているものの、プロトコルレベルのマルチシグではなく、依然セキュリティに懸念があることから、当社においては当面の採用を見送っている状況です。

イーサリアムにおいても、引き続きセキュリティ面のリサーチを進め、マルチシグ化に向け検討を行っていきます。

・リップル

ビットコイン等の仮想通貨と異なり、複数のシードキーからマルチシグアドレスを導出することはできず、マルチシグ化する親アドレスから、マルチシグに使用するアドレスを登録する方式をリップルでは採用しています。そのため、マルチシグ化した親アドレスの秘密鍵が領域に残っていたり、作業者が隠し持ったりするリスクが内在しています。

この点において、弊社では親アドレスの秘密鍵を削除したことを証明しつつ、安全にマルチシグに移行するための方法論を優先的に検討を進めております。

ホットウォレット顧客資産の割合

ホットウォレットは自己資産のみの運用とし、顧客資産は一切含まれていないと明言しています。

いつでもインターネット攻撃を受けるリスクがあるホットウォレットに、利用者の資産が置いていないというのは安心できますね。

今回の発表を見ていると、従来のセキュリティ対策で極的に明記されていなかった、一般的なWebサービスにおけるセキュリティ対策従業員情報管理等の運用セキュリティ対策も、コールドウォレットやマルチシグを用いた暗号通貨特有のセキュリティ対策によってカバーできるものだと捉えることができます。

従来のセキュリティ対策の部分で、Webサービスや従業員情報管理等のセキュリティ対策に関して意識的に発表していなかったのも、このような根拠があったのかもしれません。

まとめ

仮想通貨取引所でセキュリティ面を見定めるポイントはこの3つでした。

・暗号通貨特有のセキュリティ対策

・一般的なWebアプリケーションに必要なセキュリティ対策

・従業員の危機管理など運営面のセキュリティ対策

簡単にbitbankの主なセキュリティ対策にまとめてみるとこのようになります。

  • すべての通貨にコールドウォレット採用
  • マルチシグ化をすすめている(現在は一部採用)
  • コインチェック事件を受けてセキュリティ対応策を明確化

いかがでしたでしょうか。

今回はbitbankセキュリティの最新情報も踏まえて解説しました。

結論として述べると、bitbankは

全ての通貨にコールドウォレットを対応させ、着実にそのマルチシグ化に移行させています

セキュリティに絶対はないので、ある程度のリスクは必ず残りますが、

セキュリティの明確な対応策を積極的に実践していることから、セキュリティに対する意欲がうかがえます

bitbankは取引所運営だけでなく仮想通貨メディア「BTCN」を運営していたり技術開発にも積極的であったりと、仮想通貨業界を盛り上げてリードしている企業のひとつです。

そのため取引所のセキュリティ面においても更なる強化を率先して行っていくのではないかという期待のもてる取引所です。

ビットバンク公式へ


bitbank アルトコイン イーサリアム ビットコイン モナコイン リップル (ripple) 仮想通貨 仮想通貨取引所