なぜ、仮想通貨の盗難はあとを絶たない？
仮想通貨はどうやって管理するのが安全か?

■ザイＦＸ！編集長の怒りの矛先は…？

 編集長が怒ってる……！

 先ごろ、コインチェックは日本円の出金を再開し、大混乱は少し収束へと向かいかけている。しかし、今回の不正送金事件をきっかけに、仮想通貨の盗難リスクを強く意識した人は多いのではないだろうか。

【参考記事】
●コインチェック事件は全額返金で一転解決!? 消えた580億円分の仮想通貨NEMどうなる?
●資本金わずか1000万円。金融庁登録がある仮想通貨交換業者は100％安全なのか？

 実は、当サイト、ザイＦＸ！編集長のネコ井口もそのひとり。先日もイタリアの仮想通貨取引所から200億円相当のアルトコインが盗難される事件の発生を受けて、こうツイートしていた。

仮想通貨○○自体のプロトコルに問題はなく…という言葉は聞き飽きた。仮想通貨○○自体のプロトコルに問題はなくても、仮想通貨が消えたらユーザーは困る。

仮想通貨○○自体のプロトコルに問題がないだけでは、ユーザーはまったく安心できないことになる。 https://t.co/pIYJiUCWwL

— 井口稔＠ザイＦＸ！編集部 (@Neko_Iguchi) 2018年2月12日

 仮想通貨のセキュリティについて、強く憤っているようだ。

 たしかに、「ＮＥＭ（ネム）そのものの瑕疵ではなく、取引所の管理体制が甘かった」と説明されても、「じゃあ許す！」とは思えない。大切なＮＥＭが盗まれたことは変わらない。

 なぜ、仮想通貨は消えやすいのか？ 取引所のセキュリティはどうなっているのか？ 自分の仮想通貨はどう管理するのがいいのか？ 井口編集長の疑問に答えていこう。

 なお、この記事は、井口編集長の質問とそれに対する回答をＱ＆Ａ形式でまとめつつ、ところどころ補足説明を加えるというスタイルで全体を構成している。

■なぜ、仮想通貨の盗難はあとを絶たないのか？

Ｑ. ＦＸ口座や証券口座では「不正ログインされた！」、「買っていた米ドル/円が盗まれた！」といった話は聞かない。なぜ、仮想通貨取引所でばかり不正ログインや盗難が多発するのか？

Ａ. ＦＸや証券口座では不正ログインしても、現金化が難しいためだ。口座から現金を引き出すには銀行口座が必要。ハッカーが自分の銀行口座を出金先に登録して現金を引き出せば、その時点で足がつく。

 しかし、仮想通貨なら外部への送金が簡単だし、「どのウォレットへ送金したか」はわかっても、「そのウォレットの持ち主が誰か」を特定するのは難しい。

 今回のコインチェック事件でもウォレットは特定できているが、その持ち主が判明するまでには時間がかかりそうだ。

【話が見えない人のための補足：その１】

● そもそも「ウォレット」とは何ですか？

 ウォレットとは、仮想通貨の送金や受取りをしたり、自分が保有している仮想通貨の残高を表示したりする機能を持ったソフトウェアのこと。

 ウォレットを直訳すると「財布」ということになるが、実際はウォレットの中に、自分の仮想通貨が保管されているワケではない。ウォレットはブロックチェーン上に記録された過去の取引履歴を参照し、合算することでそのウォレットの残高を表示しているに過ぎないからだ。

 仮想通貨の送金や受取り、また、残高を表示する機能を持つという特徴を捉えると、ウォレットは、銀行のキャッシュカード・通帳のような役割を果たすモノというイメージで考えるとわかりやすいように思う。

 ただし、キャッシュカード・通帳と違って、ウォレットには一切の個人情報が記されておらず、基本的にどこの誰が使っているものかを特定することはできない。

 個人情報は記されていないウォレットだが、その代わり「秘密鍵（シークレットキー）」、「公開鍵（パブリックキー）」、「ウォレットアドレス」という３つの固有情報を持っている。「秘密鍵」を元に「公開鍵」が作られ、「公開鍵」を元に「ウォレットアドレス」が作られるというしくみだ。

 銀行を例に取ると、暗証番号・パスワード（人に知られてはいけない情報）が「秘密鍵」にあたり、送金先として他人に知らせる口座番号が「ウォレットアドレス」というイメージ。

 「公開鍵」は他の例で表現しづらいが、これも「ウォレットアドレス」同様、他人に知られて問題ない情報だ（詳細は、後述する）。

 ウォレットのしくみを知ると、上述のような技術を用いることで、仮想通貨の世界では個人名義の銀行口座を作る必要はなく、匿名のままウォレットという名のキャッシュカード・通帳を手にすることができるとも言えそうだ。

 いずれにしろ、仮想通貨の送金や受取り、残高の確認などは、ユーザー各自がこうしたウォレット機能を使って行うことになる。

Ｑ. ブロックチェーンは改ざんが不可能だと聞いたが、そもそも仮想通貨の盗難とは、何を盗むのか？

Ａ. ハッカーが狙うのは「秘密鍵」（シークレットキー）。銀行口座でいえば、暗証番号・パスワードに相当するような約30ケタの数字だ。

 秘密鍵を知っている人＝ウォレットの所有者とみなされるから、秘密鍵を使って送金を行うと正当な取引としてブロックチェーンに記録されてしまう。

 取引所利用者が保有する仮想通貨は、取引所が管理するウォレットに収納されるが、その秘密鍵が何らかの方法で漏れてしまったために、コインチェックでは不正送金された。

 仮想通貨の盗難とは、つまり「秘密鍵の漏えい」とも言える。

ウォレットアドレス例

（出所：https://segwitaddress.org/）

【話が見えない人のための補足：その２】

● 送金のしくみを知れば、「秘密鍵漏えい」の重大さがわかる

 仮想通貨の盗難が、なぜ、「秘密鍵の漏えい」とも言えるのか？ これについては、ウォレットから他のウォレットへ仮想通貨を送金する際に何が起こっているのかを知れば、理解を深めることができるはずだ。

 通常、ウォレットを使って仮想通貨を送金する際は、送金先ウォレットアドレスをＱＲコードなどで読み取るかコピー＆ペーストで貼り付けるかなどしたあと、金額を入力し、送金を了承するボタンをポチっとするだけだ。

 したがって、実はこんなことが行われているというのを意識することはないが、ウォレットは、「送金内容（トランザクション）を定められた書式で作成して電子署名を施し、ブロックチェーンを支えるＰ２Ｐネットワークへ電子文書として送信する」という役割を果たしてくれている。

 電子署名を施すというのは、もちろん自分の名前をサインするということではない。平たく言うと、送金内容を暗号化する作業だ。これを暗号化する際に使うのが、先ほど暗証番号・パスワードに相当すると紹介した「秘密鍵」。

 Ｐ２Ｐ（Peer to Peer）ネットワーク（※）に参加しているノード（パソコンなど）は、送信された電子文書が正しいものかどうかの検証作業などを行うのだが、暗号化された電子文書は、暗号化の際に使用された「秘密鍵」に対応する「公開鍵」（その「秘密鍵」から作られた「公開鍵」）でなければ復号化できないしくみになっている。

（※ ブロックチェーンを運営するネットワークのこと。参加するノードには、ブロックチェーンの全取引データを等しく保持し、記録し続けているものがたくさんある。取引の検証作業やブロックチェーンへの記録を行う彼らのことをマイナーと呼び、その作業をマイニングと呼ぶ。作業を行ったものに対し、対価として発行されるのがビットコインをはじめとする仮想通貨）

 つまり、暗号化されたその電子文書を復号化できる特定の「公開鍵」の持ち主＝本人以外誰も知るはずがない「秘密鍵」の持ち主というワケだ。このことが確認されると、本人による正当な送金だと承認され、検証作業は完了することになる。

 「秘密鍵」が盗まれて、自分のあずかり知らぬところで送金されていたとしても、仮想通貨の送金のしくみ上、それがＰ２Ｐネットワーク上では正当な送金として承認されてしまう。

 だから、仮想通貨の盗難は「秘密鍵の漏えい」とも言えるのだ。

 仮想通貨は、暗号通貨（Crypto Currency（クリプトカレンシー））とも呼ばれるが、その所以は暗号技術を基盤にしたこのしくみにあるのだろう。

（次ページでは、ホットウォレットとコールドウォレットの違いやマルチシグなどについて解説！）