トピックス 2021.08.20 仮想通貨のセキュリティは大丈夫? 必ずやっておくべきセキュリティ対策とは？

このハッキングを中心とした取引所の被害は、取引所のセキュリティ対策に対する甘さを露呈させていますが、市場が熱くなっていることに夢中になって、セキュリティ意識が低下している個人も多く、ハッキングによるID・パスワード流出などで被害に巻き込まれる人も少なくありません。

セキュリティ対策は仮想通貨の取引所に頼りきるのではなく、各個人でも対応すべきです。

この記事では、仮想通貨を個人で安全に運用していくために必ずやっておくべきことについて解説します。

仮想通貨を運用するうえで大前提なのが、「仮想通貨は現金と同等の価値を持つ」という事実です。仮想通貨の取引所はオンライン銀行などと同等のものという意識で、セキュリティ対策の内容を見ていきましょう。

二要素認証とは、2つの「要素」を用いてログインなどの認証をする仕組みです。認証に使われる要素は下記の3つがあります。

● 知識要素：ユーザーの頭の中にある情報（パスワード、画像の文字入力など）
● 所有要素：ユーザーが所有しているもの（ICカード、トークンなど）
● 生体要素：ユーザー固有の身体的な特徴（指紋、静脈など）

これらの要素のうち2つを組み合わせることで、セキュリティ強度の高い認証を実施します。

一方、二段階認証は、2つの段階を経て実施される認証を指します。同じ要素を2回利用しても問題はなく、また二要素認証も二段階認証に含まれます。

二段階認証を設定することにより、ID・パスワードが奪われても不正ログインを防げますので、必ず使用するように設定すべきです。しかしながら、二段階認証の特性を悪用した偽サイトなども増えているため注意が必要です。

参照記事
セキュリティ向上のための２段階認証を狙う偽サイトが急増

仮想通貨口座などのパスワード複雑化は、セキュリティ対策の基本です。

独立行政法人 情報処理推進機構（IPA）では、強いパスワードの目安として「英字、数字、記号をランダムに組み合わせて、8文字以上の文字列」にすることを推奨しています。

IDと同一、数字だけの組み合わせ、辞書に載っている単語の組み合わせなど、推測しやすいものは避けてパスワードを設定しましょう。

また、取引所のパスワードを他のサービスと同一にしている場合、他のサービスでパスワードが盗まれると取引所への不正ログイン発生のリスクが非常に高くなります。

特に仮想通貨の取引所を複数使用する場合には、取引所ごとに別のパスワードを設定しましょう。

ウイルス対策ソフトでマルウェア感染を防止することは、セキュリティ対策の基本です。仮想通貨の運用以外でもセキュリティを強化すべき場面は多数ありますので、ウイルス対策ソフトは必ずインストールのうえでインターネットを利用しましょう。

取引所に関連するサイバー攻撃としては、マルウェアを利用して他人のパソコンをマイニングに参加させ、パソコンのCPUやメモリを不正に使用する、不正なメールなどで偽サイトへ誘導し、IDやパスワードを窃取する、などの手口があります。

ウイルス対策ソフトをインストールすることで、こうしたマルウェアへの感染や偽サイトへの誘導などを防止できるのです。

過去に発生したサイバー攻撃による仮想通貨の大規模な流出事件は、いずれも個人ではなく取引所を狙ったものです。そのため、1つの取引所に仮想通貨を集中して保管していると、取引所のセキュリティが破られた際に所有する仮想通貨を全て失いかねません。

使用する仮想通貨の取引所を分散させることで、1つの取引所が破られても全ての仮想通貨を失うことはなくなります。必ず、保持する仮想通貨を複数の取引所に分散させましょう。

またメールアドレスは流出しやすいため、取引所を利用する際には、普段使用しているメール以外で、取引所とのやりとり以外には使用しないメールアドレスを準備しましょう。取引所ごとに個別のメールアドレスを準備できるとベストです。

カフェなどで公共のWi-Fiを利用して仮想通貨を取引することは、盗聴によるアカウント情報窃取などのリスクがあります。

例えば、HTTPSなどで通信を暗号化していても、偽の無線回線から盗聴用のサーバーへの誘導などの可能性は捨てきれません。公共のWi-Fiは、仮想通貨取引の際には絶対に使用しないようにしましょう。

ウォレットとは、仮想通貨を保管する仕組みのことです。ウォレットには、取引所のウォレットなどネットワーク上に存在するオンラインウォレットと、仮想通貨保存用の専用デバイスや紙を利用するオフラインウォレットの大きく2種類があります。

仮想通貨の運用の際に利便性は多少落ちますが、セキュリティ性はオフラインウォレットの方が高いため、オフラインウォレットの利用が一般的に推奨されています。

ただし、オフラインウォレットは盗難や細工の危険性もあるため注意しましょう。特に中古のオフラインウォレットは、細工がされている可能性が高いため、利用は絶対に止めましょう。

またオンラインウォレットを利用する場合でも、Google検索やメールなどから偽のサイトにアクセスせずに済むよう、必ずオンラインウォレットのURLはブックマークし、毎回必ずブックマークからアクセスすることが必須です。

仮想通貨の実体はただのデータの塊なのですが、仮想通貨には金銭的価値があり、現金と交換できるため、日頃から世界中の犯罪者に狙われています。

特に、仮想通貨の取引所を運営する事業者には多数の仮想通貨が集まっていることが自明なため、犯罪者の標的になりやすいのが事実です。

取引所事業者のサーバーを直接狙う、事業者の従業員に標的型メールを送付するなど様々な攻撃の手口が存在し、主に取引所ユーザーのアカウント情報が狙われます。

そのため、冒頭で記載した通り「仮想通貨は現金と同等の価値を持つ」という意識のもと、強固なセキュリティ対策が必要です。他のオンラインサービスやオンライン銀行で使われる手口と同じもので窃取が試みられるため、従来のセキュリティ対策でも十分有効なものもあります。

近年は、DEX（分散型仮想取引所）と呼ばれる仕組みが注目されています。DEXとは、取引所に通貨を保有せずに利用者のウォレット同士で取引する仕組みです。

DEXの仕組みを用いれば、取引所から仮想通貨が流出することはありません。ただし、利用者自身でウォレットのセキュリティ対策をする必要があるため、取引所ユーザーには一層のセキュリティ知識が求められます。

仮想通貨の取引所は常に世界中の犯罪者から狙われていますが、仮想通貨の取引所はベンチャー企業が運営していることもあるため、セキュリティへの意識は一般的な金融機関よりも低い場合があります。

その脆弱なポイントを突かれて、過去に下記のような仮想通貨に関する事件が発生したこともありました。

● ハッキングにより仮想通貨の価格が不正操作された
● ハッキングにより取引所がストップした
● ウォレットの「秘密鍵」が窃取されて仮想通貨が流出した

今後、特に注意すべき手口として「ソーシャルハッキング」が挙げられます。ソーシャルハッキングとは、ターゲットとなる事業者の人間と知り合い、時間をかけて親しくなっていって、その信頼関係を使って標的型メールなどでハッキングする行為です。

ソーシャルハッキングには一般的に年単位の時間を要しますが、ソーシャルハッキングに成功すれば標的の仮想通貨資産全て、場合によっては億単位の窃取が見込めるため、時間がかかることは問題ではありません。

仮想通貨の実体はデータの塊に過ぎませんが、金銭と交換できるため、現金と同じ意識でセキュリティ対策を講じる必要があります。

仮想通貨の取引所がハッキングされる事件は後を絶たないので、取引所がセキュリティ対策を講じることは当然ですが、取引所のユーザーも可能な限りのセキュリティ対策が必須です。

セキュリティ対策の内容を理解し、可能な限り安全な仮想通貨運用をしていきましょう。

【参考サイト】

・「公衆無線LAN」で仮想通貨の取引をするリスク（株式会社幻冬舎）
https://gentosha-go.com/articles/-/17394

・二要素認証と二段階認証の違い（キヤノン株式会社）
https://eset-info.canon-its.jp/malware_info/special/detail/210311.html

・仮想通貨のセキュリティまとめ（株式会社ノートンライフロック）
https://japan.norton.com/cryptocurrency-security-9872

・暗号資産市場で今注目のDEXとは（ハーチ株式会社）
https://hedge.guide/feature/dex-and-defi-bc202008.html

・暗号資産への脅威と対策（京都大学論文：岩下直行）
https://ipsj.ixsq.nii.ac.jp/ej/?action=repository_uri&item_id=197994&file_id=1&file_no=1

・情報セキュリティ10大脅威 2021（独立行政法人 情報処理推進機構）
https://www.ipa.go.jp/security/vuln/10threats2021.html

・コンピュータウイルス・不正アクセスの届出状況（独立行政法人 情報処理推進機構）
https://www.ipa.go.jp/security/txt/2008/10outline.html

TEXT：セキュリティ通信 編集部
PHOTO：iStock