1月の末、2月も目前となった時に起こったコインチェック社のNEM流出事件でマルチシグやコールドウォレットと言った単語が気になった人もいるのではないでしょうか？

既に仮想通貨へ参入している人は勿論、これから参入を考えていた人にとってもセキュリティという面で考えた人も多いと思います。

今回はセキュリティのポイントとなる、コールドウォレットとマルチシグを掘り下げて、取引所の安全性について考えてみましょう。

公開鍵と秘密鍵って何でしょう？

マルチシグの話をする上で前提となる知識として、公開鍵と秘密鍵という物があります。

仮想通貨は顧客ごとにウォレットというデジタルのお財布で管理するわけですが、このウォレットの管理・利用には公開鍵と秘密鍵の二つがあり、この二つを利用する事で送金や受け取り等の作業が可能になります。

公開鍵というのは自分のアドレスを作る元になる鍵です。
既に仮想通貨取引を行った事がある方なら、送金の際に大文字小文字が混じった英数字の羅列を見た事があると思いますが、QRコードで表示される事もあります。

仮想通貨で言うところのアドレスは口座番号と同じ様なもので、送金をする際に必要な情報で、誰に知られても大丈夫です。
誰かに知られても大丈夫なので”公開”鍵というわけですね。

それに対して秘密鍵というのは、持ち主によって秘密で保管される鍵です。
送金者から送られ、暗号化された仮想通貨を解読する際に使用し、秘密鍵をが仮想通貨の所有権を証明できる唯一の鍵であり、秘密鍵を持っている人がアドレスにある仮想通貨を操作する事が出来ます。

当然ながら秘密鍵は他人に知られてはいけません。
知られてしまったら他人に自分のウォレットで管理している仮想通貨を好きな様に操作されてしまいます。

しかしながら、ウェブウォレットやアプリといったツールを通じて使う場合は自分でも秘密鍵を見る事はまずありません。
ウォレットの運営元が秘密鍵を管理してセキュリティをかけています。
*ペーパーウォレットでは公開鍵と一緒に印刷され、ハードウェアウォレットでは端末に入っている為、自分で管理する必要があります。

これら公開鍵と秘密鍵の二つを利用して操作する作業を公開鍵認証方式といいます。

マルチシグって何？

前述した通り、公開鍵認証方式には秘密鍵を盗まれた(知られた)場合、第三者がウォレットにアクセスが可能となり、所有者の知らないところの送金が可能になってしまうという弱点が存在します。

コインチェック社の事件の様に、取引所では顧客が預けた仮想通貨は一つにまとめて管理されています。
この場合、コインチェックの秘密鍵が盗まれて流出事件が起きたというわけです。

この問題点を解決する為にマルチシグネチャという更に強いセキュリティが可能なシステムが作られました。
秘密鍵を書いて字の通り「複数の署名」を利用し、全てが揃わないと(もしくは3つの内二つが揃わないと)操作が不可能というシステムです。

もう少し分かりやすく書くと、秘密鍵をいくつかに分割し、別々の保管所に保管し、全て(一般的には3つに分割した内の2つ)が揃わないとウォレットにアクセスが出来ない為、不正な取引が出来ない仕組みです。

ハッキングを試みた第三者も秘密鍵を複数揃えなくてはいけないので、セキュリティの強度が上がります。

マルチシグネチャ 2of3方式

上で少し触れましたが、仮想通貨のマルチシグ方式では、『2of3』というシステムを採用している事が多いです。
この場合は「3つの秘密鍵の内、2つ秘密鍵が必要」という物になります。

仮にハッキングにより秘密鍵が一つ盗まれたとしても、もう一つが揃わないと操作が出来ないので、仮想通貨が盗まれる心配はありません。

マルチシグネチャの肝は、鍵を分散してそれぞれを別の所で管理することで、ハッカーは同時に複数の場所をハッキングする必要がある為、盗み出す事が難しくなります。

今回話題になっているCoincheck社のNEM流出事件の原因の一つとして、マルチシグ非対応であった事があげられます。

マルチシグ非対応のウォレットは、秘密鍵は一つです。
つまり、管理している一か所がハッキングされるだけで全てを失うリスクがあるという事になります。

マルチシグに対応している取引所はどこ？

国内の取引所では、ビットフライヤーがマルチシグ対応を謳っています。

仮想通貨取引所であるbitflyerはウォレットはサーバー側であるビットフライヤーが保持していますが、実際にビットフライヤーが秘密鍵をどのように管理しているかはわかりませんし、複数に分けたであろう秘密鍵を同じところに保存していては意味がありません。

当然と言えば当然ですが、マルチシグだからと言って100％安全というわけではない事は頭に置いておきましょう。

マルチシグネチャ対応取引所

・QUOINEX(コインエクスチェンジ)
・Zaif(ザイフ)
・GMOコイン(ジーエムオーコイン)
・bitbank(ビットバンクトレード)
・bitflyer(ビットフライヤー)

コールドウォレットとは何か？

コールドウォレットはインターネットに接続されていない状態のウォレットの事をさし、ホットウォレットはインターネットに接続された状態のウォレットを指します。

当然ですが、インターネットに常時接続された状態であるホットウォレットはハッキングの危険性は高くなります。

コールドウォレットは、秘密鍵を紙に書き出すペーパーウォレットと、外部装置に秘密鍵を保管・管理するハードウェアウォレットがあります。
特にハードウェアウォレットはコインや金属、その他安全な物理的なデバイスに秘密鍵を保管するので、一口にハードウェアウォレットと言っても種類は多岐にわたります。

しかしながら、あくまでも物理的な保管なので、窃盗や紛失に弱いという点には注意が必要です。
この様な点からハッキングのリスクは防ぐ事が可能です。

しかしながら、取曽序全てがコールドウォレットで保管すると、常に取引がある中、頻繁にオンラインのウォレットに戻すという作業が発生する為、取引そのものがいつでも出来る状態ではなくなる為、コールドウォレットとホットウォレットを併用して管理するのが一般みたいです。

セキュリティ方針を発表した会社

コインチェックのNEM流出事件後、セキュリティ方針を発表した会社は以下の通りです。
リンク先にて方針を確認する事が可能です。

・Zaif(ザイフ)
・GMOコイン(ジーエムオーコイン)
・DMMBitcoin(ディーエムエムビットコイン)
・bittrade(ビットトレード)
・bitbank(ビットバンクトレード)
・bitFlyer(ビットフライヤー)

見てみると分かりますが、どの取引所もマルチシグネチャとコールドウォレットを使っているという事に留まり、大きな差は無いように思います。

まとめ

管理の仕方は取引所によってまちまちですが、一度自分の使っているサービスのセキュリティが万全なのか今一度考えてみる必要があります。

ポイントとしては

1：マルチシグネチャを採用している
2：コールドウォレットを採用している
3：すぐに売買をしない通貨はハードウォレットで管理

この3点を徹底する必要があると考えています。
コインチェックの事件があり、以後ホットウォレットのみで運用する取引所は出てこないとは思いますが、コールドウォレット・マルチシグネチャを採用しているからといって100％安全という保障はありません。