たまにTwitterなどで仮想通貨が盗まれたというツイートが流れることがあります。そもそもどういう盗まれ方をしてしまうのでしょうか。それを知らないと対策のしようがないですね。
その1.流出したIDとパスワードでログインされ不正出金される
取引所のIDとパスワードを他のサービスと同一にしている場合、何かの拍子で他のサービスからIDとパスワードが流出すると不正ログインをされてしまいます。そこから、さらに不正に出金されてしまうパターンです。
つい最近Twitter界隈で不正出金されてしまったこの方は、その例に当てはまったパターンになります。
【ご報告とお詫び】
今回のコインチェックにおけるリップル不正出金の件にいて、コインチェックさんに調査をしていただいた結果、私の二段階認証が完了していない事が判明致しました。
事実とは異なる情報を発信してしまい誠に申し訳ございませんでした。 pic.twitter.com/ChJHKUYTzr? cooh (@coofln) 2018年1月19日
対策
- 他サービスと同じIDとパスワードを使わない
- 2段階認証を導入する(Google Authenticatorのような方式を強く推奨)
2段階認証を導入することにより、最悪ログインされた場合でも水際で出金を食い止めることが可能になります。メールによる2段階認証にしていると、万が一PCに不正ログインされた場合にメールも一緒に覗かれてしまうリスクもあります。そのため、Google Authenticatorのようなスマートフォンアプリを使った認証を強く推奨します。
[the_ad id=”7916″]
その2.APIキーが盗まれ不正出金される
一部の取引所ではAPIキーを発行し、サードパーティアプリと連携させることができます。特に海外の取引所ではこの方法が多く使われています。
このAPIキーに対しては、権限を割り当てることができ出金権限が含まれていると出金できるようになります。そのため、APIキーは決して外に漏らしていけないものになります。
2018年1月7日以降に、国内取引所ZaifではこのAPIキーを不正利用されたとみられる出金被害が相次いでいます。
あれれ?
BTC残高がゼロになってるぞぉ? APIなんちゃらで不正出金されちゃったのかも… やば?#zaif? lucky_tk (@luckytkb) 2018年1月8日
本日発生した、APIキーを不正使用した取引および出金について、
被害の発生は、過去にAPIキーを作成されたことのある一部のお客様に限られていることを確認しております。
ご自身のAPIキーの設定の有無については、開発者向けAPI画面からご確認いただけます。https://t.co/i62lI2d5jN? Zaif – 暗号通貨取引所 (@zaifdotjp) 2018年1月7日
今回の件はユーザーの過失ではなく、Zaif側のセキュリティホールを突かれたものだと見られていますが、当然ながらユーザー側でもAPIキーの流出により不正出金されないように対策をしておく必要があります。
対策
- APIキーの権限の見直し(必要以上の権限を与えない)
- 使用していないAPIキーの削除
- 仮想通貨の出金先アドレスの制限
上記のように、必要以上にAPIキーを発行せず、かつ権限を過大に割り当てないようにします。
[the_ad id=”7916″]
その3.秘密鍵が盗まれ不正出金される
ウォレットから出金するためには、秘密鍵を使ってウォレットをオープンにします。つまり、第三者に秘密鍵を握られると、勝手に送金されてしまうことになります。
多くの仮想通貨の保有者は、取引所の口座に仮想通貨を預けています。秘密鍵は取引所に保管されているため、取引所がハッキング被害に遭うと秘密鍵が漏洩し、不正出金に至る場合があります。BlockChain Walletのようなオンラインウォレットにも同様のリスクがあります。
実際に2018年1月26日に、日本国内大手取引所のcoincheckで取引所に保管するNEM(XEM)が根こそぎ抜き取られる事件が起きました。この事件では、XEMがホットウォレット(常時インターネットに接続されていたウォレット)に保管されており、さらにマルチシグ(複数の電子署名を受けないと送金できない仕組み)を実装されておらず、ハッキングにより盗まれる結果になりました。
秘密鍵の漏洩リスクはネット上のサービスに限った話ではなく、自身のPCでも同じことが当てはまります。万が一PCがハッキングされたり、第三者により勝手にデータが持ち出された場合、秘密鍵が盗まれてしまうと結果的に不正出金されてしまいます。
対策
- ハードウェアウォレットを利用する
- ペーパーウォレットを利用する
いずれの方法も、秘密鍵をオンラインから隔離するものになります。ただし、セキュリティが高い分使い勝手が犠牲になる方法でもあります。
ハードウェアウォレットは正規ルートから購入しないと仮想通貨が不正出金される場合がありますが、逆に正規ルートから買えばOKということになります(参考記事:ハードウェアウォレット、きちんとしたところから買わないと仮想通貨盗まれます)。ペーパーウォレットは、秘密鍵を紙に印刷するため、ハードウェアウォレット以上に紛失しやすいリスクがあります。
筆者の経験から、仮想通貨はできるだけ取引所やオンラインウォレットには入れず、ハードウェアウォレットを使うことを推奨します。筆者は実際にLedger Nano Sを利用しています。製品の使い勝手については仮想通貨のハードウェアウォレット「Ledger Nano S」を使ってみたに書いているので、興味がある方は是非ご覧ください。