「これまでとは違う」仮想通貨流出の背景、取引所トップが語る犯行の手口|DMM Bitcoinコラム(セキュリティ編)
7月に起きた某交換業者における仮想通貨流出事件。これはこれまでのハッキング事件とは性質が異なるものでした。
どのような点でこれまでと違っていたのか、また私たちがそこから得た教訓とは。今回の記事ではそれらをテーマにお話しします。
あの不正流出はこれまでにない事例だった
今年7月、某交換業者で流出事件が発生しました。暗号資産の交換業をする一員としては、率直に心が痛いです。市場が4月以降から盛り上がり、冬の時代から春の時代に、これから暖かい夏の時代が来るのではないかというときに起こってしまった事件でもあります。
さて、FSA(金融庁)の方達は今回の事案は、「これまでの事例(不正流出)とは違う」という言い方をしています。
認定業界団体による、ホットウォレットの比率を2割以下にするというルールを守っていたから、顧客財産の流出は13%くらいに抑えられて、その点でこれまでの事例とは異なる。そのように当局の方が話したというメディアの評論をみました。
しかし私は、また別の観点から今回の事例は特殊なものであったとみています。
今回の件というのは、対岸の火事ということではなく、自分たち自身にも同じようなことが起こる可能性はゼロではありません。当事者意識を持って、今回の事案も踏まえて、業界全体として向き合っていくべき課題があれば最大限取り組んでいくことが重要です。
継続的に自分たちの安全管理の状況というのが、どのようになっているのかを点検することであったり、その結果見えるリスクというのをどうやって低減すればいいのかというような取り組みが、個々の事業者に課せられた使命です。
この1年間、誰も手は抜いていない
安全管理というのは、何か事案が起こり後追いでそれに対応していくことではなくて、あらかじめ予期できるようなことに対して、最大限リスクを低減させることが重要です。これは某交換業者さんにしてもされていたはずです。
誰も手を抜いているということはなく、あらかじめ予測されることに対してリスクをどう低減するのかをこの1年以上、どの会社も取り組んできました。だからこそ、この事件が起きて心を痛めるというのは、当社にとっても間違いありません。
一方で、国内外問わず何か事件が起こった場合、それに対して分析して、分析結果から見直し改善していく必要があるので、今回についても継続的に点検していきます。それに加えて、今回の事案を含めて自分たちで見直しをするべきところというのは、すでに分析を終えて、次の3カ月、6カ月でどうしていくか、何をしていくべきかという計画を立てたところです。
流出事件は何がこれまでと違ったか
やはり、事案があることでもう一度気づかされるということはあるので、そういった点で取り組みを進めていくことは重要です。FSAの方の言葉を借りるならば、今回の事案はこれまでとは違うんですというような話で、私にとってもこれまでとは違うなと思っています。
その違いはというと、秘密鍵は暗号化かつ厳重にセキュリティ対策がなされていたにもかかわらず盗まれてしまった点です。しかも1通貨ではなく、5通貨全て(BTC、BCH、ETH、LTC、XRP)でした。
秘密鍵自身はホットウォレット上にそのまま生の状態で設置されていたり、ウォレット自身に鍵がついていたわけではなくて、ウォレットからは取り外されている状態でした。それに加えて、外部からの侵入に対して直線的に鍵が盗まれないような工夫を何段階においてやっていたとも交換業者側は説明しています。
それが具体的にどのような工夫であったかは分かりません。ただインタビューであったり、彼らがHP上で開示している情報を見て総合的に考えると、それはおそらく秘密鍵をウォレットから取り外していて、それ自体を個別で暗号化していた形ではないかと思っています。
またその暗号化された鍵を、比較的ブラックボックス化を測れるような形で分散配置をしつつ、ホットウォレットの運用をしていた可能性があると考えています。鍵自身はネットワーク上の通信から獲得できる位置にはあるものの、その鍵自身は暗号化、バイナリー化して、そのように何らかの特別な処理をしたものを分散配置するといった状態であったのではないでしょうか。
そういった状況下での管理であったのに、暗号化された秘密鍵自身が盗難、流出にあう形になり、その鍵が復号化され利用されてしまいました。
鍵自身が装着されたホットウォレットにアクセスされたのではなく、特別な処理をされて分散配置されていた鍵が全て盗られて、復号化されて使われるということが起こったのは、日本においてはこれまでなかった事案なのではないかと思っています。
これは公表された情報から得られた自分にとっての事実関係で、本当の事実関係はわかりませんが、これまでとは明らかに異なるケースでしょう。
また、前例のなかった今回の事案の発生によって、再びそれぞれの事業者でリスク管理におけるアプローチが見直されていくはずです。
ただし、安全基準の見直しが必要といっても、そこで適切でないアプローチをとると却って危険性が増してしまう可能性があリます。
例えば、業界でも指摘される「セキュリティにおける画一的な技術基準を設けるべき」といったアプローチは、まさに却ってリスクとなってしまう取り組みとなるでしょう。
なぜそれが危険であるのか、そして私が考えるリスク管理における適切なアプローチとはどのようなものなのか。それは次回でお話ししたいと思います。
セキュリティに重要なのは「多様性」、安全管理の正しいアプローチとは|DMM Bitcoinコラム(セキュリティ編)
引用元: CoinPost
「仮想通貨全般」カテゴリーの関連記事