仮想通貨交換所のセキュリティ対策

近年ハッキング等による仮想通貨の流出で膨大な金額が消失する事件が何どもニュースをにぎわせており、仮想通貨を預けるのは危険と思っている方も多いのではないでしょうか。

仮想通貨交換業者ではこのような事件の発生によりセキュリティ強化に努めていますが、業者によって対策は異なります。

口座を開設する前に必ず自身でセキュリティについて確認することが重要です。

ここでは仮想通貨交換業者によるセキュリティ対策どのようなところに注目したがほうがいいかなどご紹介します。

確認すべき仮想通貨交換所の5つのセキュリティ対策

義務化されている顧客資産の分別管理

顧客資産と交換業者が保有する資産は分別して管理することが義務付けられています。資産には法定通貨、仮想通貨両方が含まれ、それぞれ分別管理を行うことが定められています。

分別管理を行うことで、万が一仮想通貨交換業者が倒産した場合も、顧客より預かった資産は原則返金されるため、投資家も安心して取引が行えるようになっています。

また分別管理が正確に行われているか、公認会計士や監査法人による監査が義務付けられていますので、仮想通貨交換業者内だけで完結することなく、第三者によるチェックを入れ、信頼性を高めています。

なお、これらは登録された仮想通貨交換業者への義務となっていますので、その他でお取引する場合は注意が必要です。

コールドウォレットの採用

コールドウォレット

仮想通貨の流出はホットウォレットに保管していた仮想通貨が狙われるケースが多いです。

ホットウォレットはインターネットに接続している状態のため、仮想通貨の送金や受取りが手軽に行えるというメリットがありますが、同時にハッカーに狙われやすいというリスクがあります。

そのため、仮想通貨は外部からの侵入を防ぐため、インターネットに接続していないコールドウォレットに保管することが望ましいです。

しかし、利便性などを考慮し、すべてをコールドウォレットにいれることも難しいので、コールドウォレットとホットウォレットを併用している業者が多いです。

比率は100%のところもあれば、80%、比率を記載していないが、コールドウォレットの使用について記載があるところなど、業者によって様々なので、確認するといいでしょう。

マルチ・シグネチャーの採用

マルチ・シグネチャー(マルチシグ)とはセキュリティ技術の1つで、通常公開鍵に対し、秘密鍵(署名)1つで送金などの取引が行えるところ、複数の秘密鍵が必要となります。

マルチ・シグネチャーで一般的なのは、2/3(2 of 3)

これは秘密鍵3つのうち、2つ揃えば、取引が可能となります。他にも、3/5(3 of 5)や、5/8(5 of 8)などあります。

シングル・シグネチャー(シングルシグ、公開鍵に対し、1つの秘密鍵が必要)の場合、1つの秘密鍵が盗まれた場合、不正出金されてしまったり、紛失した場合に資産を損失してしまったりする可能性があります。

それに比べ、マルチ・シグネチャーでは複数秘密鍵が存在するので、1つ盗まれたり、紛失してしまったりしても直接損失につながることがありません。

しかし、マルチ・シグネチャーはシングル・シグネチャーに比べ、送金などの取引時に複数の秘密鍵が必要になるため、手間と時間はかかります。

シングル・シグネチャーの方が利便性は高いと言えます。また、マルチ・シグネチャーを複数人で管理する場合、必要時にその人に連絡が取れず送金ができない、などタイムリーに取引が行えない場合も考えられます。

セキュリティ向上の面では必要な対策になりますが、顧客自身で必要か必要じゃないか検討することが大切です。

不正ログインを阻止する2段階認証

2段階認証とは仮想通貨業界に限らず、多くの企業が採用しているログインのセキュリティ対策です。

通常IDとパスワードでログインが可能なところ、2段階認証を利用した場合、IDとパスワードを入力後に、登録したメールアドレスやSMSあてに認証コードが送信され、届いた認証コードを入力し、はじめてログインが完了します。

また、認証アプリを利用している企業もあり、その場合、IDとパスワードを入力後に、認証アプリを開き、認証コードを発行し、入力、ログインを行うパターンもあります。認証コードはログイン毎に変化します。

IDとパスワードが万が一盗まれた場合も、認証コードで本人確認を行っているため、不正ログインの可能性が低くなります。

社内セキュリティやシステム面の対策

仮想通貨交換業者へのハッキングを阻止するため、下記の対策も行っているか確認を行うことが大切です。

・通信や社内端末の24時間365日体制での監視

・外部セキュリティ専門家による定期的なシステム脆弱性診断

・外部からのウェブアプリケーションへの攻撃を防御するツール、WAF(ウェブ・アプリケーション・ファイアウォール)の導入。WAFはウェブアプリケーションへの通信内容を検査し、不正が疑われる場合は通信を遮断する機能を持ちます。

・ファイアウォール(外部からの攻撃や不正アクセスから社内端末やネットワークを守るためのソフト/ハードウエア)による社内システムへの防御

これらは仮想通貨交換業者のウェブサイトに記載がないと、自分では確認することが難しいです。最近ではセキュリティ対策を行っていることを大々的に出している業者も多いので、探してみるといいです。

自分で確認できる業者のセキュリティ対策も

  • SSL暗号化通信(個人情報の保護対策、なりすましなどフィッシング被害対策)確認方法:サイトのURLの横に鍵マークがあるか、URLがhttpsから始まるかを確認。また鍵マークをクリックし、暗号化通信が行われているか確認できます

  • SSL証明書の発行者の確認:SSL証明書は運営会社(企業)の「実在証明」を行ったうえで発行されます。URL横の鍵マークをクリックすると、証明書の発行者が確認できますので、証明書を発行している認証局が信頼できるところか、調べることができます。

  • SSL証明書種類の確認:アドレスバーが緑色に表示されている場合、証明書の種類はEV(Extended Validation)になります。EVはサーバー証明書の中でも最も取得するのが厳しい証明書になり、信頼性が最も高いと言われています。

上記のように自身で確認できる内容もありますが、多くは確認できませんので、仮想通貨交換業者のウェブサイトを確認するか、もしくは記載がない場合は、直接連絡をしましょう。

また、不正アクセス等で資産が損失してしまった場合の補償を提供する仮想通貨交換業者もいます。こちらについても万が一に備え、チェックするといいかもしれません。

自身の資産を守るために口座開設前に細かい部分について確認することをおすすめします。