■ザイFX!編集長の怒りの矛先は…?
編集長が怒ってる……!
先ごろ、コインチェックは日本円の出金を再開し、大混乱は少し収束へと向かいかけている。しかし、今回の不正送金事件をきっかけに、仮想通貨の盗難リスクを強く意識した人は多いのではないだろうか。
【参考記事】
●コインチェック事件は全額返金で一転解決!? 消えた580億円分の仮想通貨NEMどうなる?
●資本金わずか1000万円。金融庁登録がある仮想通貨交換業者は100%安全なのか?
実は、当サイト、ザイFX!編集長のネコ井口もそのひとり。先日もイタリアの仮想通貨取引所から200億円相当のアルトコインが盗難される事件の発生を受けて、こうツイートしていた。
仮想通貨○○自体のプロトコルに問題はなく…という言葉は聞き飽きた。仮想通貨○○自体のプロトコルに問題はなくても、仮想通貨が消えたらユーザーは困る。
— 井口稔@ザイFX!編集部 (@Neko_Iguchi) 2018年2月12日
仮想通貨○○自体のプロトコルに問題がないだけでは、ユーザーはまったく安心できないことになる。 https://t.co/pIYJiUCWwL
仮想通貨のセキュリティについて、強く憤っているようだ。
たしかに、「NEM(ネム)そのものの瑕疵ではなく、取引所の管理体制が甘かった」と説明されても、「じゃあ許す!」とは思えない。大切なNEMが盗まれたことは変わらない。
なぜ、仮想通貨は消えやすいのか? 取引所のセキュリティはどうなっているのか? 自分の仮想通貨はどう管理するのがいいのか? 井口編集長の疑問に答えていこう。
なお、この記事は、井口編集長の質問とそれに対する回答をQ&A形式でまとめつつ、ところどころ補足説明を加えるというスタイルで全体を構成している。
■なぜ、仮想通貨の盗難はあとを絶たないのか?
Q. FX口座や証券口座では「不正ログインされた!」、「買っていた米ドル/円が盗まれた!」といった話は聞かない。なぜ、仮想通貨取引所でばかり不正ログインや盗難が多発するのか?
A. FXや証券口座では不正ログインしても、現金化が難しいためだ。口座から現金を引き出すには銀行口座が必要。ハッカーが自分の銀行口座を出金先に登録して現金を引き出せば、その時点で足がつく。
しかし、仮想通貨なら外部への送金が簡単だし、「どのウォレットへ送金したか」はわかっても、「そのウォレットの持ち主が誰か」を特定するのは難しい。
今回のコインチェック事件でもウォレットは特定できているが、その持ち主が判明するまでには時間がかかりそうだ。
【話が見えない人のための補足:その1】
● そもそも「ウォレット」とは何ですか?
ウォレットとは、仮想通貨の送金や受取りをしたり、自分が保有している仮想通貨の残高を表示したりする機能を持ったソフトウェアのこと。
ウォレットを直訳すると「財布」ということになるが、実際はウォレットの中に、自分の仮想通貨が保管されているワケではない。ウォレットはブロックチェーン上に記録された過去の取引履歴を参照し、合算することでそのウォレットの残高を表示しているに過ぎないからだ。
仮想通貨の送金や受取り、また、残高を表示する機能を持つという特徴を捉えると、ウォレットは、銀行のキャッシュカード・通帳のような役割を果たすモノというイメージで考えるとわかりやすいように思う。
ただし、キャッシュカード・通帳と違って、ウォレットには一切の個人情報が記されておらず、基本的にどこの誰が使っているものかを特定することはできない。
個人情報は記されていないウォレットだが、その代わり「秘密鍵(シークレットキー)」、「公開鍵(パブリックキー)」、「ウォレットアドレス」という3つの固有情報を持っている。「秘密鍵」を元に「公開鍵」が作られ、「公開鍵」を元に「ウォレットアドレス」が作られるというしくみだ。
銀行を例に取ると、暗証番号・パスワード(人に知られてはいけない情報)が「秘密鍵」にあたり、送金先として他人に知らせる口座番号が「ウォレットアドレス」というイメージ。
「公開鍵」は他の例で表現しづらいが、これも「ウォレットアドレス」同様、他人に知られて問題ない情報だ(詳細は、後述する)。
ウォレットのしくみを知ると、上述のような技術を用いることで、仮想通貨の世界では個人名義の銀行口座を作る必要はなく、匿名のままウォレットという名のキャッシュカード・通帳を手にすることができるとも言えそうだ。
いずれにしろ、仮想通貨の送金や受取り、残高の確認などは、ユーザー各自がこうしたウォレット機能を使って行うことになる。
Q. ブロックチェーンは改ざんが不可能だと聞いたが、そもそも仮想通貨の盗難とは、何を盗むのか?
A. ハッカーが狙うのは「秘密鍵」(シークレットキー)。銀行口座でいえば、暗証番号・パスワードに相当するような約30ケタの数字だ。
秘密鍵を知っている人=ウォレットの所有者とみなされるから、秘密鍵を使って送金を行うと正当な取引としてブロックチェーンに記録されてしまう。
取引所利用者が保有する仮想通貨は、取引所が管理するウォレットに収納されるが、その秘密鍵が何らかの方法で漏れてしまったために、コインチェックでは不正送金された。
仮想通貨の盗難とは、つまり「秘密鍵の漏えい」とも言える。
(出所:https://segwitaddress.org/)
【話が見えない人のための補足:その2】
● 送金のしくみを知れば、「秘密鍵漏えい」の重大さがわかる
仮想通貨の盗難が、なぜ、「秘密鍵の漏えい」とも言えるのか? これについては、ウォレットから他のウォレットへ仮想通貨を送金する際に何が起こっているのかを知れば、理解を深めることができるはずだ。
通常、ウォレットを使って仮想通貨を送金する際は、送金先ウォレットアドレスをQRコードなどで読み取るかコピー&ペーストで貼り付けるかなどしたあと、金額を入力し、送金を了承するボタンをポチっとするだけだ。
したがって、実はこんなことが行われているというのを意識することはないが、ウォレットは、「送金内容(トランザクション)を定められた書式で作成して電子署名を施し、ブロックチェーンを支えるP2Pネットワークへ電子文書として送信する」という役割を果たしてくれている。
電子署名を施すというのは、もちろん自分の名前をサインするということではない。平たく言うと、送金内容を暗号化する作業だ。これを暗号化する際に使うのが、先ほど暗証番号・パスワードに相当すると紹介した「秘密鍵」。
P2P(Peer to Peer)ネットワーク(※)に参加しているノード(パソコンなど)は、送信された電子文書が正しいものかどうかの検証作業などを行うのだが、暗号化された電子文書は、暗号化の際に使用された「秘密鍵」に対応する「公開鍵」(その「秘密鍵」から作られた「公開鍵」)でなければ復号化できないしくみになっている。
(※ ブロックチェーンを運営するネットワークのこと。参加するノードには、ブロックチェーンの全取引データを等しく保持し、記録し続けているものがたくさんある。取引の検証作業やブロックチェーンへの記録を行う彼らのことをマイナーと呼び、その作業をマイニングと呼ぶ。作業を行ったものに対し、対価として発行されるのがビットコインをはじめとする仮想通貨)
つまり、暗号化されたその電子文書を復号化できる特定の「公開鍵」の持ち主=本人以外誰も知るはずがない「秘密鍵」の持ち主というワケだ。このことが確認されると、本人による正当な送金だと承認され、検証作業は完了することになる。
「秘密鍵」が盗まれて、自分のあずかり知らぬところで送金されていたとしても、仮想通貨の送金のしくみ上、それがP2Pネットワーク上では正当な送金として承認されてしまう。
だから、仮想通貨の盗難は「秘密鍵の漏えい」とも言えるのだ。
仮想通貨は、暗号通貨(Crypto Currency(クリプトカレンシー))とも呼ばれるが、その所以は暗号技術を基盤にしたこのしくみにあるのだろう。
■ホットウォレットとコールドウォレットの違いは?
Q. マウントゴックス事件をはじめ、過去にも仮想通貨取引所では盗難が相次いでいる。有効な対策は打てないのか?
A. ハッカーの多くはインターネットを経由して取引所内のネットワークへ侵入し、秘密鍵のありかを見つけ出す。
そのため、外部から侵入してくるハッカーに対してもっとも有効なのは、インターネットから切り離した状態で秘密鍵を保管する「コールドウォレット」だ。
ただし、すべての仮想通貨についてコールドウォレット対応をしていると、利用者が「今すぐビットコインを取引所外部の自分のウォレットへ送金したい」というときなどに、すぐに対応できない。
そのため、「大半はコールドウォレットで保管し、一部は『ホットウォレット』(インターネットに接続された状態のウォレット)で保管する」といったやり方で運用している取引所が多いようだ。
Q. ホットウォレット、コールドウォレットについてもう少し詳しく知りたいのだが…?
A. ホットウォレットとコールドウォレットのもっとも大きな違いは、ざっくり言うと、基本インターネットに接続された端末で運用される(秘密鍵をオンライン状態で保管する)か、インターネットから切り離された端末で運用される(秘密鍵をオフライン状態で保管する)かという点にある。
<ホットウォレットとコールドウォレットの違い>
・ ホットウォレット…インターネットに接続された端末で運用される(秘密鍵をオンライン状態で保管する)ウォレット
・ コールドウォレット…インターネットから切り離された端末で運用される(秘密鍵をオフライン状態で保管する)ウォレット
ホットであれコールドであれ、仮想通貨の送金や受取り、残高を確認するなどのウォレットの基本機能に違いはない。
ホットウォレットは、いつでも仮想通貨の入出金ができ、利便性が高いのが特徴だが、インターネットに接続されている以上、秘密鍵がオンライン状態に晒されている時間が少なからず存在し、ハッカーなどの侵入者に漏えいしてしまう危険性がある。
反対に、基本インターネット環境から隔離されているコールドウォレットは、仮想通貨の入出金などの利便性は低下するものの、秘密鍵がオフライン環境で保管されることから、インターネットを通じた漏えいの危険性はかなり低くなる。
【話が見えない人のための補足:その3】
● 取引所に口座開設する=取引所にウォレットの管理を任せること
仮想通貨取引所とウォレットの関係性がイマイチ見えてこない人もいるだろう。
そういう人は、仮想通貨取引所を利用する=ただ、その取引所に口座やアカウントを開設するというイメージを持っているのではないかと思うが、それはちょっと違う。実際は、その取引所に仮想通貨の送金や受取りが可能なウォレットを作成していると表現する方が正しい。
その証拠に、取引所にアカウントを開設すると、各自、以下のような仮想通貨を受け取るためのウォレットアドレスも付与される。
(出所:GMOコイン)
とはいえ、取引所から仮想通貨を送金したり、外部ウォレットから仮想通貨を受取る際に、自分で「秘密鍵」や「公開鍵」を意識することはない。
なぜ、「秘密鍵」や「公開鍵」を意識せずに仮想通貨の送金や受取りができるのか? それは、取引所に自分のウォレットの管理をまる投げしている状態だからだ。
もう少し詳しく言うと、取引所においては、ユーザーの個別ウォレットは、あくまで外部から送金される仮想通貨の受け口としての役割しか果たしておらず、実際に仮想通貨の管理が行われているのは、ユーザーの仮想通貨を一括して保管している取引所のウォレット。
ユーザーの個別ウォレットから外部に仮想通貨を送金する際も、取引所内のデータベースで記録は行われるものの、実際には、ユーザーの個別ウォレットからではなく、取引所のウォレットから送金が行われているということのようだ。
取引所のウォレットでユーザーの仮想通貨が一括管理されるということは、当然、取引所のウォレットのセキュリティが気になるところ。
Q&Aの中で紹介したとおり、ウォレットは、大別してオンラインで運用されるホットウォレットとオフラインで運用されるコールドウォレットに分けられる。ハッキング予防などのセキュリティ面で安全性が高いのはコールドウォレットだが、利便性で勝るのはホットウォレットだ。
現状、日本国内では改正資金決済法(通称:仮想通貨法)によって、顧客資産との分別管理は法的に義務付けられているが、その管理方法にまで明確な規定は見当たらない。
コインチェック事件などを受けて、今後、取引所が管理するユーザーの仮想通貨において、ホットウォレットとコールドウォレットでの保管比率やその運営体制などについて細かな規定が定められることになっていくのかもしれないが、それはこれから検討されるであろう課題。
今のところ、ユーザーとしては、各取引所が自主的に公表する情報を見ながらその取引所が管理するウォレットの安全性を判断するしかなさそうだ。
Q. もしも万が一、秘密鍵を管理する取引所内部の人が悪意を持っていた場合、不正送金は防ぎようがないのか?
A. 一部の仮想通貨では、送金にあたって2つ以上の秘密鍵を必要とする「マルチシグ(マルチシグネチャ)」が実装されている。
これは、AからXへ送金する場合に、A1の秘密鍵だけでなく、A2の秘密鍵もなければ送金が承認されないといったしくみだ。
外部送金の際にマルチシグを有効にし、秘密鍵の管理者を複数に分散させることは内部犯を防ぐ手立ての1つとなる。
大手取引所ではマルチシグを導入していることが多いようだが、マルチシグに対応していない仮想通貨があるなどの理由により、導入状況は異なるのが現状。たとえば、ビットバンクは個々の通貨ごとに対応状況を発表しており、下記のようになっているので紹介する。
(出所:bitbank)
【話が見えない人のための補足:その4】
● 主要仮想通貨取引所の仮想通貨管理体制まとめ
コールドウォレットに加え、さらにセキュリティを強固にするために用いられる施策がマルチシグ(マルチシグネチャ)だ。
ただし、仮想通貨によって、マルチシグに対応しやすいものとそうでないものがあるようで、すべての仮想通貨に同一のセキュリティ基準を一括で設けるのは難しそう。
ちなみに、Q&Aの中で紹介したビットバンクでは、技術的な問題から今のところイーサリアムのマルチシグ対応を見送っているらしいが、マルチシグ対応へ向けた調査は進めているそう。
なんでも、今あるイーサリアムのマルチシグ対応ウォレットには、深刻な脆弱性が認められるそうで、セキュリティ面からとても採用できるものではないらしい。人気アルトコイン(ビットコイン以外の仮想通貨)の一角、イーサリアムだけに、今後の対応が気になるところだ。
せっかくなので、ビットバンク以外の各主要仮想通貨取引所が公表しているウォレットの管理体制を確認しておこう。
ただし、いずれもビットバンクのように、各仮想通貨ごとに管理状況を表などで示してくれているワケではない。セキュリティ上の問題でもあるのか? 個々の状況を明らかにしていない、ざっくりした案内に留まっているケースが多い印象だ。
コールドウォレット・マルチシグ対応状況 | |
業者名 | コールドウォレット・マルチシグ対応状況 |
bitFlyer (ビットフライヤー) |
・顧客およびビットフライヤーが保有する80%以上のビットコインをコールドウォレットに保管 ・ビットコインについてマルチシグ対応 ※ビットコイン以外の仮想通貨に関する対応状況は見当たらず |
GMOコイン | ・即時送付に必要な分以外の仮想通貨は、コールドウォレットに保管 ・GMOコインのセキュリティ基準を満たす各仮想通貨についてマルチシグ対応。さらに、秘密鍵をセキュリティ構成の異なる複数の場所で保管し、リスク低減を図っている ※仮想通貨ごとの対応状況は見当たらず |
DMM Bitcoin | ・コールドストレージ(コールドウォレット)によるオフライン保管 ※仮想通貨ごとの対応状況は見当たらず ※マルチシグに関する対応状況も不明 |
Zaif (ザイフ) |
・預かり仮想通貨のうち、流動しないものは複数個所に分けてコールドストレージ(コールドウォレット)によるオフライン保管 ・マルチシグ対応 ※仮想通貨ごとの対応状況は見当たらず |
※各業者のウェブサイトを参考にザイFX!編集部が作成
※ビットバンク以外は、仮想通貨ごとの保管状況などの詳細が記載されていない。詳しくは、各業者のウェブサイトを参照
※コールドストレージ=コールドウォレットと解釈して掲載している
Q. ある新聞では、金融庁に登録された取引所のオフィスがシェアオフィスではないか、そんなことで適正に管理できるのかと疑問が呈されていた。取引所のオフィスって、その程度なのか?
A. 仮想通貨の取引所では、物理的な侵入もリスクの1つ。何らかの手段で侵入されてパソコンにウィルスを仕込まれるかもしれないし、盗聴器が仕掛けられるかもしれない。
そのため、大手の取引所では顧客資産を預かるウォレットを分散させるだけでなく、オフィスも物理的に分散させる場合がある。
ホームページなどに記載する住所には最低限の機能しか置かず、重要な部門は住所非公開のオフィスに配置して侵入リスクを低下させるためだ。
新聞で指摘された取引所がこのケースにあたるかはわからないが、「物理的なオフィス分散」も重要なセキュリティ対策の1つであることは間違いない。
■自分で自分の仮想通貨・秘密鍵を守る方法は?
Q. 仮想通貨・秘密鍵の管理は取引所任せにするしかないのか?
A. 取引所もセキュリティ対策は行っているが、多くの仮想通貨が集積する取引所のウォレットはハッカーにとって格好の標的。コインチェック事件のように、成功すれば500億円が盗み出せてしまう。
【参考記事】
●コインチェック事件は全額返金で一転解決!?消えた580億円分の仮想通貨NEMどうなる?
「仮想通貨を預けっぱなし」にしておくということは、自分のウォレットの秘密鍵を取引所へ預けているのと同じこと。
そのため、狙われやすい取引所ではなく、秘密鍵を自分で管理する人も多い。そうすればハッカーの標的になるリスクは減らせるが、一方で秘密鍵を自分で管理する必要がある。
当然、「秘密鍵を付箋に書いてパソコンに貼っておく」、「単語登録で『ひみつかぎ』と入力したら秘密鍵の文字列が表示されるよう設定しておく」、「オンラインストレージやEvernoteでいつでも見られるようにしておく」といったような甘い管理だと盗難のリスクは高まる。
Q. 自分で仮想通貨・秘密鍵を管理する方法には、どんな種類があるのか?
A. インターネット上のサービス、自分のパソコンやスマホ、保管用の専用ツール、紙などが、おもな管理方法だ。以下に、おもなウォレットの種類と概要などを一覧で掲載する。
おもなウォレットの種類一覧 | ||||
種類 | 概要 | タイプ | 例 | |
インターネット (オンラインウォレット、ウェブウォレットなどと呼ばれる) |
特徴 | ウェブ上で提供されているウォレットサービス。アカウントを作成し、専用のサイトからログインして利用するケースが多い | ホット ウォレット |
blockchain.info coinbase BitGo (各取引所もここに含まれる) |
メリット | 自分のパソコンやスマホ以外からでもアクセス可能で利便性が高い。パソコンやスマホが盗まれて使えなくなるといった心配はない | |||
デメリット | ウォレットサービスが提供されているサイトがハッキングされ、パスワードが漏えいしたり、サーバーダウンした際に利用できなくなる | |||
パソコン (デスクトップウォレットなどと呼ばれる) |
特徴 | ソフトウェア型のウォレット。自分のパソコンにウォレットソフトをインストールして利用する | ホット ウォレット |
Bitcoin Core Electrum Copay |
メリット | パソコンの電源をOFFにしている時は、外部からの攻撃に晒されることはないため、インターネット上のウォレットよりは安全性が高いと言われている | |||
デメリット | パソコンの故障やウイルスによる乗っ取りにより、仮想通貨を永久に取り出せなくなったり、秘密鍵が漏えいする可能性がある。外出先からの利用が難しい | |||
スマホ (モバイルウォレットなどと呼ばれる) |
特徴 | ソフトウェア型のウォレット。自分のスマホにウォレットアプリをインストールして利用する | ホット ウォレット |
Copay breadwallet Mycelium |
メリット | 外出先からでも気軽に利用できる | |||
デメリット | スマホの故障や盗難、紛失により仮想通貨を永久に取り出せなくなる可能性がある | |||
ハードウェア (ハードウェアウォレットなどと呼ばれる) |
特徴 | ウォレット機能を持つ専用のハードウェアを購入して利用する | コールド ウォレット |
TREZOR Leger Nano |
メリット | 秘密鍵をオフラインで保管するためセキュリティレベルが高い。物理的に盗難されても基本的に秘密鍵が漏えいする心配はない | |||
デメリット | 購入に1万円~2万円程度のコストがかかる。また、復元フレーズを盗まれると仮想通貨を盗難されてしまう恐れがある | |||
ペーパー (ペーパーウォレットなどと呼ばれる) |
特徴 | ペーパーウォレット作成サービスに作成を依頼し、その紙を印刷して保管するタイプのウォレット | コールド ウォレット |
bitaddress.org walletgenerator |
メリット | 秘密鍵をオフラインで保管するためセキュリティレベルが高い | |||
デメリット | 紙を紛失したり、毀損した場合に仮想通貨を永久に取り出せなくなる可能性がある。また、紙を盗難される危険性もある | |||
ブレイン (ブレインウォレットなどと呼ばれる) |
特徴 | サービス提供元のサイトで入力する特定のフレーズが秘密鍵の代わりを果たすウォレット | コールド ウォレット |
- |
メリット | 自分の脳にだけウォレットのアクセス手段が保持されるので、セキュリティレベルは高い | |||
デメリット | 忘却した場合や他人のフレーズとたまたま同じだった場合は、ウォレットにアクセスされ、仮想通貨を盗難される恐れがある |
※ホットウォレットとコールドウォレットの区分けは、基本、秘密鍵がオンライン状態で保管されているかどうかで行ったが、個々のサービスによっては、ホットウォレットとコールドウォレットの区分けが異なる可能性もある
※デバイスを跨いで利用できるものもあり、各サービス個々の状況などにより、上述の分類とは異なる分類が成立する可能性もある
※例として掲載したウォレットサービスは、インターネット上などで見かけたサービスの一例であり、安全性や信頼性について確実な情報は提供できない。また、日本語対応の状況や対応仮想通貨が、それぞれで異なるケースもある。各サービスについて、ザイFX!が推奨するものではない
仮想通貨取引所では、秘密鍵の管理も取引所にお任せ状態だったが、自分で作成するウォレットについては、秘密鍵などの管理も自分で行うというのが基本になるということをまず、覚えておきたい。
そのうえで、少し個々のサービスを見ていくと、たとえばインターネット上のウォレットサービス(オンラインウォレット)であれば、仮想通貨取引所のウォレットと似たようなイメージで利用することができるだろう。
自分のパソコンやスマホでなくても、インターネットが使える環境であれば基本的にデバイスを選ばず、どこからでも自分のウォレットにアクセスすることが可能で便利。秘密鍵の管理については、サービス提供元にお任せするタイプのものと自分で管理するタイプのものがあるようだ。
利便性の高いオンラインウォレットだが、サービス提供元のサイトがハッキングされてパスワードが漏えいしたり、サーバーダウンした際に利用できなくなるリスクもある。
パソコンやスマホに専用のソフトやアプリをインストールするタイプのウォレットも比較的とっつきやすいウォレットサービスだろう。ただし、利用する場合は、ウォレットをインストールしているパソコンやスマホ本体の故障や盗難、紛失などにも気をつけたいところ。
このほか、コールドウォレットの代表的な例として高いセキュリティレベルを保つと言われているハードウェアウォレットや秘密鍵とウォレットアドレスをQRコードにして紙に印刷するペーパーウォレットというものもある。
なんだか逆にアナログな方法だが、インターネットからは切り離された環境で秘密鍵の管理ができるので、セキュリティレベルは高いと言えるだろう。
また、詳細は触れないが、インターネット上のウォレットサービスの応用版で特定の単語の並びによって秘密鍵を代替してくれるブレインウォレットというものも、併せて紹介しておこう。
これは、「Boku no BTC wo Nusumuna!!」といったフレーズを決めておき、それを入力することで送金可能にしてくれるという、ちょっと興味深いサービスだ。気になる人は、一度、調べてみるといいかも。
紹介したようなウォレットを利用して自分で自分の仮想通貨・秘密鍵を守るにしても、もしかしたら、スマホアプリにウィルスが仕込まれているかもしれないし、オンラインウォレットならハッキングによって不正ログインされてしまう可能性だってある…。
それぞれのサービスに一長一短があるため、利用にあたっては、「普段使わない仮想通貨はセキュリティレベルが高いハードウェアウォレットに、支払い用に少額だけスマホウォレットに入れておこう」というように、用途に応じてウォレットを使い分けているケースが多いようだ。
■安心できる仮想通貨・秘密鍵の管理方法は?
Q. いろいろなウォレットサービスがあるのはわかったが、特に安全な仮想通貨・秘密鍵の管理方法はどれなのか?
A. セキュリティ意識の高い人が行っている保管方法の1つに、先ほどのQ&Aでも出てきた「ハードウェアウォレット」の利用がある。ウォレット機能を持つ専用のハードウェアを用意して、インターネット環境から秘密鍵を隔離する方法だ。
ハードウェアウォレットは、万が一、物理的に盗まれてもパスコードなどを入力しないと中身を見られることはないし、紛失しても初期設定時の復元フレーズ(20個前後の単語の組合わせ。リカバリーフレーズとも呼ばれる)をあらかじめ記録(脳内で記憶するか紙に書いておくなど)しておけば、復元することもできる。
復元フレーズの機能については、スマホアプリのウォレットでも採用されていたりするので、ここで紹介しておこう。
しかし、逆に言えば、復元フレーズなどを誰かに知られてしまえば、容易に盗み出せるため、ハードウェアウォレットも100%安全とは言えない。
また、ハードウェアウォレットを購入するには1万円から2万円程度のコストがかかるため、少額で取引したい人は、やや高いと感じるかもしれないし、初期設定などを自分で行う必要がある点は、少し手間かも。
【話が見えない人のための補足:その5】
●安心して使えるハードウェアウォレットは、どこで買えるのか?
ハードウェアウォレットは、ヤフオクなどでも簡単に購入することが可能だが、ネット上では、よく「ヤフオクで買わない方がいい」などと書かれているのを見る。
全部が全部そうでないにしろ、すでに初期設定が終わってしまったものが出品されている悪質なケースもあるらしい。初期設定済み、つまり、そのハードウェアウォレットの復元フレーズなどがあらかじめ他人に知られてしまっているものが売られていることがあるようなのだ。
ハードウェアウォレットは、復元フレーズさえあればウォレットの同期ができてしまうため、何も知らずに初期設定済みのウォレットに仮想通貨を入れると、いつの間にか盗まれていたなんてことになる可能性も…。
とにかく、ハードウェアウォレットの何たるかもよくわからないまま、ネットオークションなんかで迂闊に購入するのは、やめた方がいいだろう。
では、どこで購入するのが安全なのか?
お目当てのハードウェアウォレットの販売元から直接購入するか正規の代理店から購入するのが一般的だ。ただ、販売元は海外だったりするので、言葉の問題が購入のハードルを上げる可能性がある。そうなると、日本国内にある正規代理店で購入するのが手っ取り早い。
たとえば、仮想通貨取引所のZaif(ザイフ)は、ハードウェアウォレットの「TREZOR(トレザー)」の正規代理店だ。自社サイト内でトレザーの販売も行っている(購入画面は、ザイフのサイトからAmazonへ遷移する)。
トレザーは、「ハードウェアウォレット」とグーグルなどで検索すると、よく見かける製品で、日本国内でもメジャーなハードウェアウォレットの1つ。価格は、1台1万4800円(税・送料込み)となっている。
もう1つ、ザイフは、「Ledger Nano(レジャー・ナノ)」「Ledger Nano S(レジャー・ナノS)」というUSB型ウォレットの正規代理店でもある。こちらも、トレザー同様、日本国内で比較的、知名度のあるウォレットの1つ。
価格はそれぞれ、1台4500円(税・送料込み)、9000円(税・送料込み)とトレザーより少し安めだ。
ザイフで利用マニュアルなども用意してくれているので、はじめてハードウェアウォレットを持つ人は、こうした情報を参考にしてみるのもいいかもしれない。
Q. もっとも安全性が高そうなハードウェアウォレットも100%安全とは言えないということだが、結局のところ、完全無欠の仮想通貨・秘密鍵保管方法はないということなのか!?
A. 残念ながら、どんな保管方法でも管理が甘いと盗難のリスクはあると言わざるを得ない。結局は利用者のリテラシー次第であり、「100%安全」と言い切れる保管方法はないのが実情だ。
仮想通貨取引所任せにせず、仮想通貨のしくみをよく理解して自分が安心だと思える方法を選択し、しっかり管理していこう! というのが理想的ではある。
しかし、そこまで取引している仮想通貨の金額は大きくないし、ハードウェアウォレットやペーパーウォレットを用意するのもなんだか大変そうだし…という人は、もしかすると安心して利用できる取引所選びを重視した方が現実的なのかもしれない…。
【話が見えない人のための補足:その6】
● 安心して利用できる取引所選びの基準は?
取引所から仮想通貨が盗まれたというニュースを受けて、ここまでQ&A形式でいろいろな角度から話を掘り下げてきたのに、なんだか一周回って元に戻ったような感じがしないでもないが、せっかくなので安心して利用できる取引所の選び方について、少し確認しておこう。
まずは、最低限、仮想通貨交換業者として登録されているかどうか(みなし業者ではないか)や資本金などの財務状況、親会社の上場状況ならびに社会的な認知度などは確認しておくべきだろう。
詳しくは以下の【参考記事】で確認していただきたいのだが、たとえば親会社が上場している金融庁登録業者としては、BITPoint(ビットポイント)やGMOコインなどが挙げられる。この2業者については、資本金も、それぞれ44億3000万円、17億5800万円と潤沢だ。
【参考記事】
●資本金わずか1000万円。金融庁登録がある仮想通貨交換業者は100%安全なのか?
DMM Bitcoinも親会社は未上場であるものの、知名度は上場会社級と言えるだろう。こちらも資本金は12億9000万円と潤沢。業界最大手の呼び声が高いビットフライヤーも、上場はしていないものの、資本金41億238万円と、ものすごーく潤沢だし、株主にはそうそうたる企業が名前を連ねていたりする。
【参考記事】
●bitFlyer(ビットフライヤー)を徹底調査! 手数料無料で安心してはいけない真の理由
●DMM Bitcoinを徹底調査! アルトコインが豊富なFX(レバレッジ取引)のスプレッドは?
もちろん有名な会社だから安心とは一概に言い切れない面もあろうが、親会社が上場している業者や社会的に知名度がある会社が運営する仮想通貨交換業者は、少なくとも、聞いたことがないような業者や資本金が極端に少ない業者に比べると安心感があると言えるのではないだろうか。
最後に、ハードウェアウォレットなどを購入して自分で管理するよりも安心して利用できる業者選びに注力する方が現実的かも…というユーザーのことも考慮しつつ、ユーザータイプ別の仮想通貨・秘密鍵管理方法例を以下にまとめてみた。
100%確実な仮想通貨・秘密鍵の管理方法はないということを前提に、それぞれの管理方法のリスクやメリット、あるいは各自の目的や運用金額、仮想通貨に関する知識の度合いなどを考慮して管理方法を考えてみてはいかがだろうか。
(文/ミドルマン・高城泰&ザイFX!編集部・向井友代)
※ 本記事作成にあたっては『いちばんやさしいブロックチェーンの教本 人気講師が教えるビットコインを支える仕組み』(杉井靖典著/インプレス)を参考にさせていただきました。
株主:株式会社ダイヤモンド社(100%)
加入協会:一般社団法人日本暗号資産ビジネス協会(JCBA)