ビットコイン

【仮想通貨】ビットコインは常にハッキングされている?資産を守るための対策法

広がる仮想通貨のサイバー被害

先日、コインチェックの被害者たちが集団訴訟を起こしたとニュースになっていました。その記事を見た時、釈然としないものを覚えたのです。なぜなら、

『訴訟を起こした被害者たちのセキュリティは万全だったのか?』

という疑問が湧き上がって来たからです。

被害者たちはコインチェック取引所にコインを預けていたために、NEMコインを奪われた訳ですが、本当に彼らは被害者なのでしょうか?もしかすると彼らは被害者ではなく加害者側の人間、共犯者かも知れないのです。

インターネットの世界では、被害者が知らず知らずのうちに加害者になることが普通に起こります。

今回はあなたがそうならないための方法、万が一取引所がサイバー攻撃にあっても、自らの資産を守る方法をお伝えします。

ビットコインをハッキングするとは?

『ハッキング』=『不正侵入』ではない

まずはWikipediaに書かれているハッキングの説明をご覧ください。

ハッキング (英語: hacking、別名:ハック,hack) とは、コンピュータの隅々までを熟知した者が行うハードウェアソフトウェアエンジニアリングを広範に意味する言葉。他人のコンピューターに不正に侵入するなどの行為がハッキングと呼ばれる場合もあるが、これは正式にはクラッキングと呼ぶ。本来ハッキングという言葉はエンジニアリングという行為そのものを指す用語であり、悪意・害意を持った行為に限定されるものではない。-Wikipedia(ハッキング)より引用

『ハッキング』とは上記の引用文にもあるように、コンピュータシステムの動作やソフトウェアの機構を詳細に解析し、必要に応じてプログラムの改変をする事を指す言葉です。

マイニング(採掘)され続けているビットコインをはじめとする仮想通貨・暗号通貨は、常に見張られ続けていて、解析され、改変され続けていますから、常にハッキングされ続けていることになるのです。

そしてそれが、ビットコインや仮想通貨・暗号通貨のセキュリティを高めているのです。

ハッキングとクラッキング

先にお話しした通り、コンピュータを熟知したエンジニアが行うエンジニアリングを広範に意味する言葉が『ハッキング』です。

一方、他人のコンピューターに不正に侵入するなどの行為は『クラッキング』と呼びます。今回のコインチェック事件のような不正侵入や、昨今話題になったランサムウェア(身代金ウィルス)をはじめとするマルウェアもこれに含まれます。

ハッカーとクラッカー

繰り返しになりますが、ハッカーはコンピュータに関して、高度な技能と深い知識を有するエンジニアの総称であり、新しいシステム開発やオープンソースソフトウェアの進化に寄与している人たちのことです。

彼らは自分のことを「ハッカー」だと名乗ることはまずありません。「あの人は優れたハッカーだ」という風に他人に使う言葉であり、その中には『敬意』や『賞賛』の意味が込められています。

対して、悪意を持って技術を悪用するエンジニアのことを『クラッカー』と呼びます。

ハッカーと同一視される場合が多いのですが、これはクラッカー自身が自らをハッカー(優れたエンジニア)であると名乗ることが多いからであり、自己顕示欲が強い者が多いからでもあります。

ハッカーからすれば、クラッカーは『ならず者』でありハッカーの風上にも置けない『面汚し』なのです。

昔のクラッカーは自分の技術がいかに優れているかを見せることが主でしたが、今は自分の技術を見せつけるというよりも犯罪者の傾向が強く、個人よりも集団で活動し、目的は金であることがほとんどです。

今回は、正しい知識を身につけていただきたいので、ハッキングとクラッキング、ハッカーとクラッカーをここまで説明した通りにしっかりと分けていきます。

ビットコインハッキング(クラッキング)事件簿

今回起こったコインチェック事件を含め、これまでに何度もビットコインをはじめとする仮想通貨・暗号通貨を狙ったクラッキングは後を絶ちません。

ここではこれまでに起こった主要な事件の名称、発生時期、狙われたコイン、被害金額、侵入経路などを一覧表にまとめてみました。被害金額については様々な解釈があるので、その時奪われた対象コイン数にしました。

ビットコインはクラッキング(悪意あるハッキング)されやすい?

ブロックチェーンのセキュリティが堅牢な理由

取引所のクラッキング事件が起こる度に「ブロックチェーンのセキュリティに問題はなかった」と言われますが、これには理由があります。

ちなみに『ブロックチェーン』とは、ビットコインや仮想通貨・暗号通貨の取引データを記憶させたデータの集合体のことで、ブロックチェーンには全ての取引のデータが入っています。ですから、ブロックチェーンを乗っ取ることが出来れば、全ての仮想通貨・暗号通貨を手にすることができるのです。

実はブロックチェーンの改ざんができない訳ではありません。

ブロックチェーンは改ざんしてもその労力に見合った対価が得られないように作られているから、改ざんされないのです。ブロックチェーンを改ざんするには、最初から最後までの取引データ全てを変える必要があります。

これはブロックチェーンのブロックがそれぞれ前後のブロックと「ハッシュ関数」というものでつながっていて、あるブロックのハッシュ関数を変えようとすると、その前のブロックのハッシュ関数を変えねばならず、その前のブロックのハッシュ関数を変えようとすると、そのまた前のブロックのハッシュ関数を・・・という具合に暗号化関数が数珠つなぎになっていて、一つを変えようとすると全部を変えなければならないように作られているからです。

しかもこの仕組みは最初にブロックチェーンを作った人にも変えられないようになっていて、クラッカーたちもそれを知っているので、ブロックチェーンを直接改ざんしようとするクラッカーはいないのです。

狙われてるのは『秘密鍵』

ブロックチェーンが改ざんできない(やっても意味がない)のなら、クラッカーたちは一体何を狙っているのでしょうか?

クラッカーたちが狙っているのは、『ビットコインをはじめとする仮想通貨・暗号通貨』ではなく、取引に使われる『秘密鍵』です。元々、ビットコインや仮想通貨・暗号通貨には形がありません。あるのは取引データだけです。

そしてその取引データの内、コインの所有権を証明する証明書を開けることができる鍵、『秘密鍵』がそのターゲットになるのです。

逆に言えば、私たちが守らねばならないものは『秘密鍵』であるということです。極論になりますが、『秘密鍵』が守れるなら、それ以外のデータは別に見られても盗まれても良いのです。

狙われるビットコイン取引所。ハッキング(クラッキング)の手口とは?

なぜ取引所は次々とクラッカーにやられるのか

クラッカーがどれほど技術を持っていたとしても、セキュリティの外からは手の出しようがありません。そのため、クラッカーたちが一番最初にすることは、セキュリティの中に入り込むことです。

クラッカーがサイト内部に入る方法は大きく分けて二つあります。

  1. 鍵(パスワード)が掛かっていない入り口(セキュリティホール)から侵入する。
  2. ユーザーになりすまして侵入する。

コインチェック事件の時に一番に問われたのは、取引所であるコインチェックのセキュリティでした。確かに取引所のセキュリティは大事です。簡単にクラッカーの侵入を許すレベルでは話になりません。

上記で挙げた1の例にあるように、パスワードが設定されていない入り口があってはいけないのです。

ですが、この1の方法はクラッカーにとって『時間がかかる』という欠点があります。加えて、ある一定のセキュリティが確立しているサイトでは、鍵のかかっていない扉や窓はほとんどありません。ですので最近は、2の例が先に使われることが多いのです。

クラッカーはあなたを狙っている

クラッカーが2.の方法を実行する時、一番に狙われるのが、セキュリティレベルの低い一般ユーザーです。

あるインターネットセキュリティ会社が世界16カ国で実施した『ネット常識力テスト』で、日本はなんと最下位。2014年に総務省が行なったセキュリティテストでも同じく最下位になっています。

この『セキュリティレベルが低い一般ユーザー』は具体的にどんなことをしているのかと言うと・・・

  1. パスワードを設定していない
  2. IDとパスワードが同じ
  3. パスワードが短い

などが挙げられます。クラッカーはこのような、セキュリティレベルが低く、ネット知識がない人間を狙います。なぜなら、そうした人間になりすますのは、セキュリティホールから侵入するより簡単だからです。

自分が知らないうちに、クラッカーの手助けをしてしまっている。マルウェアを拡散してしまったり、セキュリティに穴を開けてしまったり、被害者がいつの間にか加害者側になってしまっている。

これらはインターネットでは当たり前に起こることで、その原因は一人一人のセキュリティレベルの低さにあります。だからこそセキュリティレベルの向上はインターネット上で金銭を扱う以上、絶対に備えなければならないスキルなのです。

なぜならそうしなければ今回のコインチェック事件の様に、自分だけでなく他人にも迷惑をかけるからです。最初に「被害者の中に加害者や共犯者がいる」と言ったのはこのためです。

コインチェック事件から学ぶ

実際「コインチェックのセキュリティはずさんな管理だった」と書かれた記事も見ました。

中でも話題になったのが、ビットコインはコールドウォレットに保管していたので無事だったが、NEMはホットウォレットに保管していたために盗まれてしまったという点です。

このホットウォレットとコールドウォレットとは、ウォレット(財布・金庫の意味)の保管場所の違いを表すもので、ホットウォレットはオンライン上に保管するウォレット。コールドウォレットはオフラインで保管するウォレットです。

ビットコインをコールドウォレットに保管していたということは、コインチェック側はセキュリティに対して知識はあったということになります。なのに、なぜNEMはホットウォレットで保管していたのか?

いやそれ以前に、クラッカーはどうやってそのウォレットの存在を確認したのでしょうか?

考えられるのはただ1つ。この時すでにクラッカーはユーザーの誰かになりすましてサイト内に侵入していたのです。そしてサイト内のログを確認して、NEMコインがホットウォレットに保管されていることを突き止め、そこから『秘密鍵』を盗み出すことに成功したわけです。

確かにコインチェック側にも非はあります。セキュリティの観点からすればNEMコインをホットウォレットに保管していたことは問題です。ただ、NEMコイン専用のコールドウォレットはまだ市販されておらず(汎用タイプはある)、今回使用していたホットウォレットは、発売直後のNEMコイン専用ウォレットだったという事実もあるのです。

お断りしておきますが、筆者はコインチェックを擁護しようとしているのではありません。ですが、コインチェック(取引所)側がどれほどセキュリティを強固にしようと、それを利用するユーザーのセキュリティ意識が向上しない限り、こうしたクラッキング事件は無くならないと言っているのです。

なぜならクラッカーは必ずセキュリティ意識の低いユーザーを狙ってくるからです。

ビットコインをハッキング(クラッキング)から守る対策法

取引所は銀行ではない

当たり前ですが、取引所は銀行ではありません。取引所に預けて何かあったとしても返金保証はないし、補填もされないのは当然のことです。

取引所を現実のものに例えるなら、オークション会場やセリ市などでしょう。オークション会場やセリ市に用意されたロッカーに、大切なお金を入れて帰るでしょうか?そんなことは絶対にしないはずです。

自分のコインは自分で守る。それが鉄則

ビットコインをはじめとする仮想通貨・暗号通貨の取引をする以上、自分のコインは自分で守ることが鉄則になります。

なぜなら取引所を利用するユーザーのセキュリティレベルは様々だからです。コイン毎に専用のウォレットを準備している人もいれば、パスワードを設定していない人もいるのです。

例えクラッカーが誰かになりすまして取引所がクラッキングされたとしても、自分のコインだけは守れるようになっておきましょう。

方法論は次の3つ

  1. セキュリティソフトをインストールする
  2. ウォレットを活用する(二段階認証の設定は必須)
  3. パスワードではなく、パスフレーズを使う
1. セキュリティソフトをインストールする

セキュリティソフトは必須です。しかし、どれを選べばいいのかわからない、ということもあるでしょう。選び方としては、セキュリティソフトの無料お試し版を利用しましょう。

実はセキュリティソフトはPCやスマホとの相性があり、性能が低い機種だと動作が遅くなってしまうことがありますし、アプリが動かなくなることもあります。

そこで無料お試し版を使って、自分のPCやスマホとの相性を見て、動作が遅くならないものを選びましょう。また、セキュリティソフトをいくつも入れたら安心だと思っている人がいますが、それは間違いです。

セキュリティソフトはライバル社のソフトをウイルスとみなす場合があります。冗談に聞こえるかも知れませんが、これは事実です。インストールするセキュリティソフトは必ず一つにしておきましょう。

2. ウォレットを活用する(二段階認証の設定は必須)

ウォレットを選ぶ時はできるだけコイン専用のものを選びましょう。それと必ず二段階認証の設定を行うこと。二段階認証をしていないウォレットは鍵を挿したままの金庫と同じです。

また、短期運用で頻繁にコインの出し入れを行うなら、ホットウォレットを利用しましょう。長期で運用するのならコールドウォレットを選択した方が普段の使い勝手が良くなるという一面があるので、覚えておいてください。

3. パスワードではなく、パスフレーズを使う

「パスワードが覚えられない」という声をよく聞きます。意味のない単なる英数字の羅列ですから無理もありませんし、だからついつい自分に関連づけたものを選びがちです。ですが、そうした自分に関連づけたパスワードは、クラッカーからすると『カモがネギを背負ってくる』状態なのです。

そこで『パスワード』ではなく、『パスフレーズ(合言葉)』を使うという方法があります。パスフレーズというと難しいですが、合言葉と考えれば理解しやすいと思います。

例えばアラジンと魔法のランプに出てくる合言葉「ひらけゴマ」ですが、これをローマ字変換すると

「HirakeGoma」

になります。これだけで10文字のパスフレーズ(合言葉)が出来上がりです。

しかもこの例では、ひらけのHとゴマのGを大文字にしています。簡単な細工ですが、これだけでもセキュリティレベルは向上するのです。もちろん間にスペースを入れてもOKです。

このように覚え難いパスワードではなく、簡単な合言葉(パスフレーズ)を使った方が、文字数も増えてセキュリティレベルが上がり、しかも覚えやすいのです。

これ以外にも、

  • 無料提供のWi-Fiには接続しない。
  • ブラウザソフトにパスワードを保存しない。

などもありますので、しっかりと覚えて活用していきましょう。

自分の身は自分で守ることが重要

今回はかなり長くなってしまいましたが、それもこれも全ては「自分の身は自分で守らなければならない」ことを自覚していただきたいからです。

ビットコインを始めとする仮想通貨・暗号通貨の世界はまだまだ未成熟です。セキュリティレベルもまちまちですし、法整備も十分ではありません。

だからこそ「自分の身は自分で守る」ことが求められるのです。

その自覚なしにこの世界に足を踏み入れ、その結果、痛い目に遭ったとしても、それは自業自得だと言われても仕方がないのです。それがビットコインを始めとする仮想通貨・暗号通貨世界の現状です。

この記事を読まれた方の中から一人でも多くの方が、『自分の身を守る方法』を身に付けられることを願ってやみません。

関連記事