被害総額1千億円超⁉「暗号資産」を狙うハッキングの実情とは

※本記事では、KRAKEN日本法人代表取締役社長であり、FinTech(金融×情報テクノロジー)専門家として各種金融・事業法人の顧問/アドバイザーもつとめる渡邊竜士氏が、暗号資産の最新動向や基礎知識について解説する。今回は、「暗号資産」特有のリスク、およびリスク管理等について見ていく。

暗号資産を取り扱う業者へのハッキングは拡大傾向に

資産運用は商品の価格変動により収益をあげることができる反面、損失を被るリスクがあり、リスクとリターンの関係性や長期分散投資の効用についての知識がとても重要です。暗号資産への投資でも概ね一緒ですが、注目すべきは資産の「保全」についての違いです。

 

投資した暗号資産が盗まれてしまったり、(後ほど説明しますが)動かせなくなったりする悲劇を避けるには、その管理手法であるブロックチェーン技術の仕組みについて若干の知識が必要です。今回は、必要最低限かつ重要なポイントについて説明致します。

 

我々が銀行や証券会社を利用する際、近年問題となっているオレオレ詐欺、印鑑・通帳・カード等を盗まれる可能性、そして当該金融機関の倒産等を除けば、それ程「資産の保全(=サービスの安全性)」について深く考える事はないでしょう。これは、日本の金融機関がすべてにおいて「成熟した規制」と「行政による監督の下」にあり、預金保険機構や保護預かりシステム等、健全な利用者保護のフレームワークの賜物です。

 

日本は世界に先駆けて2017年に暗号資産(旧仮想通貨)に関する法を整備しました。ただし、僅か3ヶ月前に資金決済及び金融商品取引法の改正法案が国会で可決(2020年6月までに施行の見通し)されたように、暗号資産とその市場、さらに関連サービスを提供する業者についての規制や、行政フレームワークはいまだ強化中です。世界を見渡すとまだ「未整備」という評価が適切であり、暗号資産の「保全」については他の運用資産と全く別モノとしての取り扱いが必然です。

 

暗号資産を取り扱う業者へのハッキング(システムへの不正侵入)は拡大傾向にあり、2018年から2019年8月現在、被害10億円相当以上の事件だけでも10件(グローバル統計)、被害総額は1千億円を越しています。ほとんどのケースで取り扱い業者が被害額を調達・自己負担しているので大きな社会問題まで発展していませんが、預け入れている顧客資産については本来、補償義務がありません。

暗号資産が「都合の良いターゲット」になる理由

円や外貨等の法定通貨や株・債券・投資信託等の有価証券は全て下記図表 (A) のように「集中管理」されており、所有権とその移転に紐づく個人情報が一緒に管理されています。

 

明確な管理者が存在し、異なる資産や国境を越えるやりとりは、下記図表(B)のように管理者同士がそれぞれ「相互接続」することで可能になっています。金融機関、取引所、決済機構等が所有権・移転取引内容と個人情報を相互に交換してグローバルな金融システムが成り立っています。

 

一方、暗号資産とそれを可能にするブロックチェーン技術の原則は図表(C)の「分散化」にあります。管理者は不在で、当該資産のトランザクションと呼ばれる所有権の移転取引がインターネット上で承認され、公的な元帳に記録される仕組みです。このプロセスがネットワーク全般(パブリック型であればインターネット、プライベート型であれば特定ネットワークの参加者)に分散(distribute)されています。

 

[図表]
[図表]

 

上記図表からイメージするのが難しいと思われますが、ブロックチェーン型の暗号資産ネットワーク (C)は管理者が不在なモデルであり、仲介する金融サービス業者を本質的には必要としません。暗号資産を手放したい者と取得したい者がインターネットという公のプラットフォームで直接取引できる(Peer-to-Peer、別名P2P)仕組みです。(A)や(B)のモデルに比較すると、より速く、低いコストで、間違いのない資産価値の移転を可能にしています。

 

しかし、資産の盗難を目的とするハッカーにとって、暗号資産は従来型の金融資産に比較してとても都合の良いターゲットになります。それは、ブロックチェーンの仕組みそのもので不正をすることができなくとも、暗号資産の所有者や、取引所・交換所・ウォレット会社等の仲介業者システムへのハッキング(不正侵入)に成功すれば、偽りの個人情報を用意したり管理者の監視を避けたりする手間も必要なく、瞬時に資産の盗難と移転が可能だからです。

 

誤解のないように説明すると、従来型の金融モデルでサービスを提供している金融機関もハッキング犯罪の標的となっており、その被害も拡大しています。しかし、ブロックチェーン型モデルの特徴から、暗号資産とその取り扱い業者はそれよりも高い頻度で犯罪者に狙われているというわけです。

秘密鍵の保管は「オフライン型」が最も安全⁉

暗号資産のトランザクションには秘密鍵(別名プライベートキー:数字0〜9とローマ字A〜Fを組み合わせた64文字等)が必要であり、所有している暗号資産の(売却や利用による)移転までこの秘密鍵を何らかの形で「保全」する必要があります。インターネット上の元帳に当該暗号資産に紐づいた個人情報がある訳ではないため、この秘密鍵を失くしたり、盗まれてしまったら終わりです。

 

秘密鍵の保管方法については、USBやHDD等の電子記録媒体に入れたり(入れた後は非接続化)、紙に印刷して保管したりするオフライン型(インターネットに接続されていない形での保存で、別名コールドウォレット)が最も安全といわれています。その際、紛失や火災・天災によるロスを避けるためにも、金庫等の適切な設備の保管の検討が必要です。

 

PC、ラップトップ、又はサーバーのメモリ内で保存することも可能ですが、これの多くは外部ネットワークとの接続が多いオンライン型の環境であり(別名ホットウォレット)、ハッカーの不正侵入やウィルスプログラムを防ぐ高度なサイバーセキュリティ対策が必要不可欠です。

 

暗号資産取引所や交換所の多くは取引に付随して顧客資産を預かるサービスを提供しており、ウォレット会社という保管専門の業者やアプリもあります。ただし、実際に業者が行う保全プロセスは上記のオンライン型(ホット)とオフライン型(コールド)の組み合わせであり、各業者の安全性について深く検討し、選別する必要があるでしょう。

 

ハッキングによる被害ではありませんが、カナダの取引所クアドリガCXのCEOコットン氏がインド旅行中に急死(昨年12月)してしまい、利用者の秘密鍵データへアクセスができず、約12万人弱の顧客資産(約220億円以上)が引き出せない状況になってます。業者を信頼するのであればそのサイバーセキュリティの品質のみならず、業務運営のガバナンス水準を検討する必要もあります。

 

グローバルに法整備が進み、利用者保護のフレームワークが成熟するまで、「暗号資産の保全」については、色々な自己管理の方法や業者に預けるリスクをしっかりと把握・検討し、“Don’t put all your eggs in one basket(全ての卵を一つのカゴには入れるな)” という諺の通り、分散することも一つのアドバイスです。

 

渡邊竜士

KRAKEN/日本法人代表取締役社長

KRAKEN アジア太平洋地域統括マネージングディレクター兼日本法人代表取締役社長/CEO

慶應義塾大学総合政策学部卒。野村證券グローバルマーケッツ部門マネージングディレクター、トムソン・ロイター執行役員を経て、2018年1月より現職。FinTech(金融×情報テクノロジー)専門家として各種金融・事業法人の顧問/アドバイザーを兼任。

KRAKEN(クラーケン)
デジタル資産(通称:仮想通貨)取引所として世界200ヶ国以上・24時間無休でサービスを展開。「特別で信頼できるデジタル資産取引」を提供し、高いセキュリティー(顧客資産の保全及びITセキュリティー)が定評。各種調査会社による安全度ランキング及びユーロ建て取引で業界トップ。

著者紹介

連載FinTech専門家が解説~新たな金融インフラとしての「暗号資産」

本メディア並びに本メディアの記事は、投資を促したり、特定のサービスへの勧誘を目的としたものではございません。また、投資はリスクを十分に考慮し、読者の判断で行ってください。なお、執筆者、製作者、合同会社幻冬舎ゴールドオンライン、幻冬舎グループは、本メディアの情報によって生じた一切の損害の責任を負いません。

メルマガ会員限定記事をお読みいただける他、新着記事の一覧をメールで配信。カメハメハ倶楽部主催の各種セミナー案内等、知的武装をし、行動するための情報を厳選してお届けします。

登録していただいた方の中から
毎日抽選で1名様に人気書籍をプレゼント!
会員向けセミナーの一覧