こんにちは、yodakaです。
- 仮想通貨を安全に扱えるようになりたい
- どんなセキュリティ対策が有効なの?
- 個人では、どんな対策ができるの?
- 安全に使える仮想通貨の取引所はあるの?
こんな悩みを解決する記事を用意しました。
仮想通貨のセキュリティ面について学ぶと、資産を守る力が飛躍的に高まります。大きな額の仮想通貨を扱う前に、セキュリティに関する知識を身につけましょう。
本記事を読むと分かること
- セキュリティの重要性
- どんなリスクがあるのか
- 取引所のセキュリティ対策
- 個人でできるセキュリティ対策
- おすすめの仮想通貨取引所
- 私がチェックしている情報源
私は、2020年から主に米国株投資信託を主体とした資産運用をしています。
2021年からは、仮想通貨やNFTなどのデジタル資産も運用しています。
SNSでは、仮想通貨やDeFiに関連する発信もしています。
クリプト界隈に片足突っ込んでいて思うのは、個人の純度が高いなってこと。この世界は、個人で調べ尽くしてスキル磨いて賢くなったり、自分を鍛え抜いたりすることに注力できる人が勝てる世界なのだということ。個人で過ごすことが心地良い人にとっては、とても生きやすい世界なのかもしれない。
— yodaka(よだか)@Crypto×DeFi×NFT (@yodakablog) June 17, 2022
そんな私が、仮想通貨を触っていて日頃から意識していることをまとめました。
あなたが仮想通貨を触る際の参考になれば幸いです。
なぜ、セキュリティが重要なのか?
仮想通貨は、金融の歴史から見るとまだまだ新参者です。
世界規模で見ても、法律が十分に整っているとは言えませんし、ボラティリティ(価格の変動幅)も激しく、初心者が安易に手を出して良いものではありません。
法定通貨や為替・株式などは100年以上の歴史の中で、様々なトラブルを経て、法制度が整えられてきたから、多くの人が安全に用いることができるのです。
仮想通貨が誕生したのは、2008年ごろで、その歴史は20年にも満たないのです。
正直なところ、現在は、仮想通貨を安全に扱う方法は定まっていないと言えるでしょう。
ですが、少しでも知識をつけて安全に扱う方法や考え方を増やしていくことはできます。
そもそも、仮想通貨はブロックチェーンというシステムの上で動くプログラムです。
つまり、人が作り出した技術なのです。
システム周りのことを理解して、正しい扱い方を知れば、リスクを下げることは可能です。
そして、セキュリティ面を学ぶには、ブロックチェーンの基礎基本を理解することが一番の近道なのです。
本記事では、初心者でも分かりやすく解説していきます。
ブロックチェーンの特徴を理解しよう
ここでは、仮想通貨のセキュリティに関するポイントに絞って解説します。
今回押さえておきたいブロックチェーンの特徴は4つ。
- データの改竄が非常に困難
- 利用者全員がデータを共有している
- 誰でも情報を見ることができる
- 24時間365日動いている
これらの解説に移る前に、まずは、ブロックチェーンがどうやって作られるのかを説明します。
ブロックチェーンはどうやって作られるのか?
ブロックチェーンのイメージは、情報をまとめた箱がずらりと一列に並んでいて、前後のブロック同士が鎖のように順番に結び付けられているようなものです。
一つの箱にデータを入れる時に、2つの工夫をします。
ひとつは、「全ての情報を暗号化された複雑な文字列に変換する」こと。
暗号化を行う際には、ものすごく複雑な計算式を解かなければなりません。
この計算は、人力で答えを出すことはほぼ不可能なので、コンピュータが行います。
もうひとつは、「新たな箱を作るときには、ひとつ前の箱の中身を参照するための情報も併せて入れる」という工夫です。
そして、次に作る箱も同じように、ひとつ前の箱の中身を参照する情報を入れるのです。
すると、前後の箱の情報が延々と連なる情報の連鎖が出来上がります。
これらの箱(ブロック)のつながりが鎖(チェーン)をイメージさせることから、この仕組みを「ブロックチェーン」と呼ぶのです。
補足
暗号化技術全般を指して「Crypto(クリプト)」という言葉が用いられます。Crypto(クリプト)は、技術だけでなく、哲学的な思想や人の生き方に根ざす広範な概念です。本ブログの根底には、「Cryptoの魅力を伝えたい」というコンセプトがあります。
データの改ざんが非常に困難かつメリットがない
ブロックチェーンは、データ同士がつながっています。
そのため、どこか一箇所でもデータを書き換えてしまうと、辻褄合わせのために他の部分のデータも書き換える必要が出てきます。
例えば、A-B-C-D-E...と連なっているデータの内、Bの情報を書き換えたとします。
すると、BとつながるAとCのデータを書き換えなければいけません。
そして更には、Cに連なるD、Dに連なるEを、、、というように、全てのブロックのデータを書き換えなければならなくなります。
つまり、一箇所の改ざんをすると、チェーン全体のデータを丸ごと改ざんしなければならなくなるのです。
しかも、データを改ざんしている間にも、新たなブロックが形成されていくので、途方もない量の作業量が求められます。
データの書き換え自体は、技術的には不可能ではありません。
しかし、延々と連なる情報を全て書き換えるには、膨大な手間と時間がかかります。
データを改ざんする過程でかかるコストが、改ざんによって獲得する報酬を上回ってしまうのです。
データを書き換えるための労力が報酬に見合っていないため、そもそも改竄が起こりにくい仕組みになっているのです。
補足
ブロックチェーンの改ざんを行うということは、自分が楽しみたい遊び場から全ての人間を追い出して跡形もなく破壊する行為に似ています。手に入れたいものを、跡形もなく破壊し尽くして何も手にすることができなくなってしまっては、それを獲得する意味もないのです。「不正を働くことで報酬が無くなる」というのは、ブロックチェーンの非常に洗練された仕組みの一つです。人の欲求に根ざした仕組みを、本当に上手くシステムに落とし込んでいますね。
ブロックチェーンの改ざんを行うということは、自分が楽しみたい遊び場から全ての人間を追い出して跡形もなく破壊する行為に似ています。
手に入れたいものを、跡形もなく破壊し尽くして何も手にすることがなくなってしまっては、それを獲得する意味もないのです。
利用者全員がデータを共有している
データのやり取りや手続き、計算式の算出過程等をまとめて「トランザクション」と呼びます。
このトランザクションを一定量集めて、一つのまとまりとしてブロックが作られます。
そして、ブロックチェーン上では、これらの情報がトランザクションを行ったPCで共有されているのです。
この仕組みのことを「分散台帳」と呼びます。
つまり、ブロックチェーンを作るのに5台のPCが関わっていた場合、5台のPCにまたがってブロックチェーンが存在するということです。
この仕組みのおかげで、データの改ざんはさらに難しくなります。
あなたがデータの改ざんをしようと思ったら、暗号化を突破するだけでなく、他のPCのデータのハッキングも行わなければならないのです。
実際には、データを共有しているPCは、5台どころではありません。
世界中に広がるネットワークの中から、データを共有するPCにアクセスして、セキュリティを突破して、その半分以上のデータを抜け漏れなく書き換えて初めてデータの改ざんが成功するのです。
補足
ブロックチェーンのデータ改ざんを成功させるには、全てのデータを書き換える必要はありません。分散台帳のデータを全体の半分以上書き換えれば良いのです。これは、ブロックチェーンのデータの信頼性が「多い方が正しい」とすることに根ざしています。ブロックチェーンにおいては、人の言ったことではなく、大きなデータを信用するという共通理解があることを覚えておきましょう。デジタルデータを信頼するために必要なのは「データの大きさ」です。
ネットワークの半分以上を掌握すれば、ハッキングが完了するため、ブロックチェーンにおけるハッキングのことを「51%攻撃」と呼びます。
つまり、ネットワーク全体の半分以上を乗っ取ることができれば、ブロックチェーンと言えども改ざんは可能だということです。
ネットワークが大きくなればなるほど、改ざんが困難になるというだけで、技術的に改ざんが不可能というわけではありません。ネットワークが充分に分散していないブロックチェーンは、改ざんのリスクにさらされます。
もっとも、すでに巨大なネットワークを構築しているブロックチェーン(ビットコインなど)においては、(現在の技術では)改ざんはほぼ不可能と言って良いでしょう。
誰でも情報を見ることができる
ブロックチェーンは、誰でも全てのトランザクションを見ることができます。
ネット環境さえあれば、いつ誰がどんなことをしたのかを、全ての人が知ることができます。
例えば、ビットコインは、Blockchain.comやBlockstream.infoなどのツールを使うことで、全ての取引履歴を見ることが可能です。
イーサリアムであれば、Etherscan.ioやEthplorer.ioなどが代表的なツールです。
全ての人にトランザクションが開示されていることで、ブロックチェーンの情報は透明性が保証されているのです。
24時間365日動いている
ブロックチェーンは、PCを介したプログラムとして、24時間365日、休むことなく作動します。
人間のように疲れを感じることもなければ、休んだりすることもありません。
ブロックチェーンを形成するPCが全て破壊されない限り、ほぼ永遠にデータが残り続けます。
あなたが眠っている間も休んでいる間も、トランザクションは着々と積み上がっていくのです。
ビットコインを例に挙げると、この瞬間も無数の取引が行われいるのです。
休みなく行われる取引の中で、誰かが儲けて、誰かが損をしています。
そして、その取引の中には、法律上の手続きに則ったものから詐欺まがいのものまであります。
しかし、ブロックチェーン自体は、その善悪の区別はしません。
あらかじめ決められたプログラムに則って、動き続けるだけです。
現状、そのプログラムの在り方に合わせて、様々な決まりが設けられたり、法律が整備されている最中なのです。
どんなリスクがあるのか?
ブロックチェーンの特徴を踏まえると、仮想通貨そのものをハッキングすることは大変困難であることが分かります。
ハッカー達は、ブロックチェーンそのものにアクセスしてデータを改ざんしている訳ではないのです。
攻撃するポイントは、ブロックチェーンと間接的につながっているシステムの穴です。
言い換えると「人の手が入るところ」ということになります。
具体例
- 仮想通貨にアクセスするアカウントの秘密鍵
- 取引所のアカウントにアクセスするためのパスワードや認証方法
- 取引所を管理するプログラムやシステムの脆弱性
仮想通貨にアクセスするアカウントの秘密鍵
取引所のアカウントにアクセスするためのパスワードや認証方法
取引所を管理するプログラムやシステムの脆弱性
取引所のセキュリティ対策
取引所がセキュリティを高めるために行なっているのは、「ハッキング対策のシステム構築」「コールドウォレットでの管理」「管理者権限の分散化」「顧客への教育コンテンツの提供」「外部機関の監査」「資産の補償」です。
順番に解説していきます。
ハッキング対策システム
取引所自体のセキュリティプログラムが堅牢であることは、基本中の基本です。
外部からの攻撃に対して堅牢なプログラムで運用されていれば、安心して資産を預けることができます。
各取引所の運用実績を見て、取引所のシステムが過去にハッキングにあっていないかを確認しましょう。
トラブルの原因が、人為的なミスによるものなのか、システム面の脆弱性によるものなのかが分析できていて、その後の対策もきちんと講じられているようであれば、一定量の信頼性は確保されていると考えて良いでしょう。
また、将来的なハッキングの可能性についても予測を立てて、外部機関の監査を定期的に受けているかどうかも重要です。
ブロックチェーン界隈は、情報の透明性故に、技術の進歩が途轍もなく早く、日々、新たなハッキングの手口も開発され続けているのです
コールドウォレットでの管理
仮想通貨を触るときに、そのアクセスの承認権限をオフライン上で保管することを「コールドウォレットでの管理」と言います。
コールドウォレット
仮想通貨にアクセスするための権限をオフラインで管理する方法のこと。オフラインで管理することにより、インターネットを通じたハッキングのリスクを大きく下げることができる。インターネットとの接続を遮断したPCアカウントでの管理やパスワードを紙に書いて記録することなどが当てはまる。
オンラインでの管理と比べて、アクセスに時間や手間がかかる分、即時性のある取引には対応しにくくなるというデメリットがある。
逆に、アクセスの承認権限をオンライン上で管理することを「ホットウォレットでの管理」と言います。
ホットウォレット
仮想通貨にアクセスするための権限をオンライン上で管理する方法のこと。オンラインで管理することにより、取引にかかる時間や手間を省くことにつながり、即時性の高い取引が可能になる。
一方、インターネットを通じて、悪意あるハッカーの攻撃対象となるリスクも存在する。
2つのうち、安全性が高いのはコールドウォレットでの管理です。
アクセス権限をオンライン上で管理するということは、大きなリスクとなるのです。
過去、Coincheckで起こったハッキング事件も、ホットウォレットでの管理が原因でした。
管理者権限の分散
管理者権限を分散させることは、セキュリティ面で高い効果を上げます。
誰か一人だけが、システムにアクセスする権限を持っている場合、その人物へのセキュリティを突破すれば、ハッキングが可能となります。
しかし、管理者権限が分散していた場合、ハッカーは攻撃対象を複数に分散させなければならなくなり、攻撃のコストとリスクが高まります。
取引所を管理する権限自体を分散化させておくとことは、有効なハッキング対策の一つです。
顧客ための教育コンテンツ提供
取引所が提供する教育コンテンツが充実しているかどうかという点は、非常に重要です。
質の高い情報を提供できているということは、運営陣がシステム面について深い理解を持っていることの証明です。
顧客に対して真摯な運営を心がけている取引所は必ずと言って良いほど、顧客自身のリテラシーを高めることにも力を注いでいます。
なぜなら、顧客自身が自分で資産管理をする力をつける方が、長期的に見て良い付き合いができるからです。
企業も顧客もお互いに利益を循環させるような構造を生み出すことを目指しているかどうかを確かめる指標の一つが、教育コンテンツの充実度なのです。
他にも、取引所の提供するニュースサイトの更新頻度や、記事の中身が最近の市場について網羅的に発信している有益なものなのかを確認してみるのも良いでしょう。
外部機関の監査
外部機関の監査を定期的に受けているかどうかで、セキュリティへの意識の高さが窺えます。
日々、新たな手口でセキュリティを突破する方法が開発されつつある現在、外部機関の監査を受けて、セキュリティチェックをしている取引所は、信頼しても良いでしょう。
システムの堅牢性は、客観的に判断しないと分からないものです。
システムの開発者だけでは、抜け穴を確かめることはできません。
そもそも、開発者自身が抜け穴を作ろうと思ってシステムを作るわけがないので、悪意ある第3者の役を擬似的に担ってくれる外部機関の監査は、必ず必要となります。
資産の補償
これは、万が一ハッキングが起こってしまった時のリスク対策に繋がります。
仮想通貨の取引所がその資産を失った時、どんな企業が補償に向けて動くのか、その後ろ盾があるのかどうかを確認しましょう。
Coincheckがハッキングによってその資産を盗まれてしまっても倒産しないで済んだのは、後ろについていた企業の力が大きかったためです。
どんなにセキュリティを高めても、絶対に安全である保証はありません。
管理に人間が絡む以上、どこかに抜け穴は発生する可能性があります。
仮想通貨の取引所においても、それは例外ではありません。
また、例えハッキングが起こらなかったとしても、資産が引き出せなくなる場合があります。
それは、取引所自体が経営難に陥った場合です。
相場が冷え込み市場に出回るお金が減ると、仮想通貨の価値は下落します。
そんな時、顧客は自分の資産を引き出そうとします。
海外では、仮想通貨系のファンドが相場の下落で経営破綻に追い込まれる事例もあります。
相場の値動きの原因は本当に様々で、完全に予見することはできません。
いつ下がるか、いつ上がるか。
過去のデータから傾向を分析することはできても、100%的中させることは不可能です。
せいぜい、当たる確率の高い勝負(負ける確率の低い勝負)に出ることができるくらいのものです。
何が起こるか分からないクリプトの世界では、用心し過ぎるということはありません。
有事の際の後ろ盾があることは、非常に重要です。
個人でできるセキュリティ対策
ここからは、個人でできるセキュリティ対策にまとめていきます。
個人でできることは「2段階認証・2要素認証」「秘密鍵やパスワードの管理」「パスワードの複雑化」「VPNの利用」「資産の分散」「マルウェア(ウィルス)対策」です。
仮想通貨を触るなら、これら全てをやっておくべきでしょう。
2段階認証・2要素認証
アプリのアクセスを2段階認証にすること。
ログイン時のパスワード入力だけでなく、仮想通貨の送金や売買・取引も2段階認証で行うように設定しましょう。
現在は、2段階認証用のアプリも存在します。
また、取引所によっては、初めから2段階認証アプリを使うことが前提になっているところもあります。
また、2要素認証も併せて使うようにしましょう。
パスワード以外にも、指紋・顔認証・SMSやメールでのアクセスコード送信など、本人確認の方法を複雑にしておくことが大切です。
秘密鍵やパスワードの管理
パスワードの管理は、絶対にオフラインで行いましょう。
PCにメモとして保存したり、スクリーンショットを撮って、データで保存してはいけません。
データの状態でPCやスマホなどに保存していた場合、デバイスがハッキングされた時に、一気に情報を盗み取られてしまうからです。
パスワードをメモした紙は、人に見られないところや金庫の中に分散して保管しておけば、セキュリティを高めることにつながります。
補足
秘密鍵とは、「シークレットキー・リカバリーフレーズ・シークレットリカバリーフレーズ」などと呼ばれることもあります。これは、仮想通貨を個人で管理するウォレットにアクセスするための権限を暗号化したものです。12以上の単語の文字列で形成されることが一般的で、ウォレットを復元する時に使います。
誰に聞かれても、絶対に教えてはいけません。
秘密鍵とは、「シークレットキー・リカバリーフレーズ・シークレットリカバリーフレーズ」などと呼ばれることもあります。
これは、仮想通貨を個人で管理するウォレットにアクセスするための権限を暗号化したものです。
12以上の単語の文字列で形成されることが一般的で、ウォレットを復元する時に使います。
パスワードの複雑化
パスワード自体を複雑化しておくことも重要です。
普段から使いまわしているものや、地震に関連するような言葉や数字を使ってはいけません。
可能な限り、意味を持たない文字列にしておくことを推奨します。
誰がどう頑張っても、決して推測できないものにしておくことで、パスワードを突破されるリスクを下げることができます。
VPNの利用
これは、自分のPCやスマホなどのデバイスをハッキングされないために有効な手段です。
自身が契約したネット回線(VPN=Virtual Private Network)を使うことで、外部のネットワークからあなたのデバイスを覗き見されるリスクを大幅に低下させることができます。
Free WiFiの利用は危険です。
誰でも自由に使えるネット回線は、リスクの塊なので、仮想通貨をはじめとした金融資産を触る時には、VPNを使いましょう。
資産の分散
複数の仮想通貨取引所に資産を分散させましょう。
何が原因で、仮想通貨取引所が運用停止に陥るか分からないからです。
信頼できると思っていた取引所がハッキングにあって、資産引き出しが凍結されること絶対にないとは言い切れません。
また、ハッキングが起こらなかったとしても、相場の下落を受けて、営業停止や破綻に追い込まれる可能性もあるのです。
資産を分散させておけば、一つの取引所に預けていた通貨が使えなくなったとしても、あなたが追うダメージを少なくすることができるのです。
マルウェア(ウィルス)対策
PCやスマホにマルウェア対策用のソフトを入れたり、ハッキング事例を調べたりしましょう。
知らないメールやSNSで回ってきたDMに添付されたリンク先をクリックしないことも重要です。
仮想通貨関連の情報は英語でのメッセージ表記も多く、英語に詳しくない人は、適当にクリックをしてしまうこともあります。
しかし、それは絶対にやってはいけません。
クリックした瞬間に、データを引き抜くマルウェア(ウィルス)に感染して、一気に資産を失ってしまう可能性があるからです。
なんだかよく分からないけれど適当にクリックしてしまうなんてことは、絶対にやめましょう。
私が利用している仮想通貨取引所
私がメインで使っている国内の仮想通貨取引所は、以下の3つ。
主だった取引所の口座は全て開設していますが、私がセキュリティ面で信頼しているのは、bitbank、bitFlyer、Coincheckです。
ただし、情報収集は欠かさないようにしているので、状況によっては、使う取引所を変えていく可能性も充分にあり得ます。
あくまで、初心者が使い始める時に参考程度に留めおいてください。
bitbank
堅実な営業を行っている手堅い仮想通貨取引所。
複数の銘柄を現物取引できるので、少額からさまざまな仮想通貨の運用を試してみたい時にも便利です。
bitFlyer
外部監査で非常に高い評価を得ていて、過去7年間で一度もハッキングにあっていません。
提携しているサービスも豊富で、普段の生活に合わせてポイントを貯めたり、貯めたポイントを仮想通貨に変えたりすることもできます。
Coincheck
過去の経験(ハッキング被害)をもとに、徹底した安全管理を実施しているのが特徴です。
また、現在は、大手ネット証券会社マネックス・グループの傘下で経営をしています。
過去のハッキング事件の際も、盗まれたNEM(ネム)は返金されました。
【参考】Coincheckの事件とは?その後の対策は?今は安全なのか解説
また、他の取引所と比べて、ホームページやアプリの設計が非常に洗練されていて、初心者にも使いやすい点も魅力での一つです。
私がチェックしている情報源
仮想通貨・クリプト界隈は、情報の流れが早いので、自力で全ての情報を集めることは不可能に近いです。
そこで、有益な情報をできる限り厳選して、集める必要があります。
私が普段から使っている情報サイトやツールを紹介します。
The Defiant
クリプト関連の情報をあつめるなら、The Defiantのホームページをブックマークして毎日見るべきです。
仮想通貨の運用や、マーケットの動向、政治や経済に関連した新鮮な情報が毎日更新されています。
このサイトにアップロードされる記事を参考にして、様々な情報を深く調べていくきっかけにできます。
また、クリプトについて学ぶためのコンテンツも充実しているので、無料で一から勉強したい人にもおすすめです。
全ページ英語なので、翻訳ソフトを使って読んでみて下さい。
また、有料のニュースレターを購読することで、仮想通貨運用の方法を具体的に学ぶこともできます。
私自身は、このニュースレター内のDeFiαから、仮想通貨の有効な運用方法を数多く学びました。
Medium
Mediumは、テクノロジー・金融・哲学などをテーマに、様々な人が考察や情報をまとめている海外のブログサイトです。
情報の内容は非常に広範囲に渡りますが、良質な記事が多く、海外で有名なプロジェクトについて深掘りしたい時に役立ちます。
ブロックチェーン関係のプロジェクトの情報が継続的に掲載されていることも多く、情報発信サイトとしても比較的メジャーな立ち位置を確立しています。
また、技術論のみならず、本質的なことが書かれている記事もあり、日本語のブログで情報収集するよりも遥かに整理された状態で深いインプットができます。
情報の鮮度が最も高いのがTwitterです。
鮮度の高い情報を追いかけたいなら、Twitterは非常に強力なツールです。
自分のお気に入りのユーザーをフォローして、仮想通貨関連の情報発信を追いかけているだけで、かなり知識がつきます。
大事なのは、タイムラインをぼんやりと眺めないこと。
徹底的に情報収集用として使うために、リストを作成して、情報集専門のタイムラインを作成しましょう。
質の高い情報発信をして下さる方を探すまでは一苦労ですが、一度見つけてしまえば、後は非常に効率よくトレンドを追いかけることができるようになります。
情報収集の上手い方が、どんなところから情報を集めているのかを知るチャンスにもなります。
まとめ
最後まで読んでくださってありがとうございます。
本記事が、あなた自身の仮想通貨関連のセキュリティ向上や、取引所を選ぶ際の参考になれば幸いです。
本記事のおさらい
- 仮想通貨は、ブロックチェーンというシステムの上で動いている
- 仮想通貨のデータそのものをハッキングすることは難しい
- ハッキングの狙い所は、仮想通貨を触るために人が介在する部分
- 取引所と個人でそれぞれ可能な対策が異なる
- 取引所がセキュリティを高めるために行なっているのは、「ハッキング対策のシステム構築」「コールドウォレットでの管理」「管理者権限の分散化」「顧客への教育コンテンツの提供」「外部機関の監査」「資産の補償」
- 個人でできることは「2段階認証・2要素認証」「秘密鍵やパスワードの管理」「パスワードの複雑化」「VPNの利用」「資産の分散」「マルウェア(ウィルス)対策」