GMOコインのセキュリティ

コインチェックの580億円相当のネムのハッキング被害で日本中が揺れています。

参考：コインチェックで時価総額580億円もの仮想通貨が流出！状況まとめ

ただ、それよりも10応援の被害にあった「はれの日」の方が報道されていることに少し違和感を覚えます。

さて、今回はコインチェック社の管理体制に大きな失態がありました。

コールドウォレットで管理と公表しつつ、実際はホットウォレットで管理
全額ホットウォレットで管理
マルチシグの未導入

正直、追及することすら無意味に思えると言いますか、嘘ついちゃいけませんよね、資産は銀行や証券会社に預けましょう、家を出る時に鍵を掛けて出るのが常識ですよね、というレベルです。

細かな点を書くとキリがないですが、プログラマに話を聞くと同社のセキュリティレベルは穴だらけだったそうです。

コインチェック社のことはこれくらにして、こういった事件が起きると取引所の安全性に焦点が当たります。そこで、1部上場企業のGMOインターネットグループのGMOコインのセキュリティ対策に関してみていきましょう。

上場していると、様々なことを管理・監督され、株主からの目線もあります。そして、同社は長年の金融経験がありますので、顧客から巨額の資産を預かる企業として、しっかりとした体制ができていることは間違いないでしょう。

セキュリティ・顧客資産管理

取引所の安全対策としては、セキュリティレベルの向上と顧客資産の管理方法があります。

・サイバー攻撃対策

たとえば、ハッキングを試みようとするようなサイバー攻撃に対し、「顧客アカウントの乗っ取り」、「システムへの侵入」の２つの観点から対策が行われています。

・顧客アカウントの乗っ取り

日本円出金や仮想通貨送付の際に、2段階認証を必須化
ログイン実績のない端末からログインがあった際の2段階認証を必須化
ログイン履歴の記録とメールによる顧客への通知

もし、ログインＩＤとパスワードが流出した場合でも、ログインや送金を防がなければなりません。その為に、いつもとは異なるスマホやＰＣからのログインは2段階認証を行わないと入れないようにするのです。認証端末は基本的に本人が保有していますので、知らない間にハッキングされた！ということはかなり防げそうです。

最悪の場合、でもログイン、送金履歴がメール通知されますので、自分がログインしていないことを把握することができます。

・システムへの侵入

システムの24時間365日監視
外部のセキュリティ専門家による定期的なシステム脆弱性診断
グループ会社と連携した脆弱性情報の収集

365日の監視は当然と言えますが、外部業者による確認は自社運用に脆さがあったコインチェック社の例をカバーできる内容です。ＧＭＯほどの大手で自社開発、サーバー運営を行っている同社であっても外部の力を借りているほどですので、仮想通貨のセキュリティの大変さが見て取れますね。

コールドウォレット管理とマルチシグ対応

基本的に、多くの取引所では顧客資産の7割程度はコールドウォレットで保管されていると言われています。

GMOコインも、日常的に送金される一定量に必要な仮想通貨はホットウォレットで管理。それ以外の仮想通貨は、コールドウォレットで保管されています。

さらに、コールドウォレットからホットウォレットに仮想通貨を移動する際に、マルチシグと呼ばれる複数部署の承認が必要な体制を取っております、これにより、内部の悪意のある人による仮想通貨の送金を防ぐことができます。

GMOコインで取り扱っている仮想通貨は、送金の際に複数の秘密鍵を必要とするマルチシグが同社のセキュリティ基準を満たす仮想通貨のみを導入。そして、秘密鍵をセキュリティ構成の異なる複数の場所に保管。そうすることで、最悪ネットワークを突破された場合でも、全ての秘密鍵を盗まれることの無いようにリスク分散を図っているようです。