ビットコインをはじめとする仮想通貨は、近年の高騰・暴落によって多くの注目を集めています。しかし注目を集めるものは、悪人からも注目されるもの。ビットコインの盗難事件が度々起きては、けっこうな被害を出しています。
匿名性の高さが謳われ、データ上にしか存在しないビットコインを盗み出すというのはどういうことなのでしょうか。本記事ではその手口について解説していきます。
ビットコインはどう盗む?
ビットコインをはじめとする仮想通貨は、ウォレットで管理されます。従来の通貨でいえば銀行口座に当たるもので、送金された仮想通貨はウォレットに格納され、こちらから送金する場合もウォレットに存在する残高が移動します。
ウォレットではなく、仮想通貨の取引所に預けている場合もあるでしょう。通貨の送受信を行う方法はウォレットとさほど変わらず、対応するアドレスを相手に知らせて送金を受け取るか、あるいは相手のアドレスに向けて送金の操作を行うか、いずれかの方法を取ります。
仮想通貨を盗み出すための経路は大まかに2択に分かれます。つまりウォレットにアクセスするか、あるいは仮想通貨の取引所にアクセスするか。ここからはそれぞれについて、どのような方法があるかを見ていきましょう。
ビットコイン盗難の手口と事例
取引所にアクセスするためには、取引所に登録しているメールアドレスとログインパスワード、加えて二段階認証をオンにしている場合は認証コードが必要です。
ウォレットの場合は、ちょうどログインパスワードのような機能を果たす秘密鍵を入手すればアクセスが可能です。
そうした情報を奪うには、以下の方法が存在します。
フィッシング詐欺
フィッシング詐欺とは、公式のものに偽装したメールやウェブサイトを使って情報を引き出す詐欺の手口です。カスタマーサービスを装ったメールでリンクを踏ませる、あるいは本物そっくりに作ってある偽ウェブサイトにログインさせてログイン情報を盗み取るなどの方法で情報を奪われます。
例えば広く普及しているイーサリアムウォレットの「MyEtherWallet」はフィッシングサイトが横行していることを理由として、秘密鍵を使ったウォレットへのログインを推奨していません。また仮想通貨取引所のバイナンスでは、フィッシングサイトでない本物のサイトであることを確認するようログイン画面で注意を促しています。
偽サイトなどそうそう見るものではないとお思いかもしれません。しかし2017年10月には、blockchain.comというサイトに偽装したフィッシングサイトがスポンサー広告としてGoogle検索のトップに来るという事態が起きています。詐欺被害を増やすかもしれないだけでなく、仮想通貨全体の信用に影響するかもしれないこの事件は衝撃をもたらしました。
フィッシングサイトはデザインやレイアウトだけを見て区別するのは困難です。見分ける手がかりとなるのは、ウェブサイトのURL欄。個人情報を扱う正規のウェブサイトであれば、URL欄の最初の文字が「https」となっている場合がほとんどです。これはウェブサイトの通信内容が暗号化されており、ログイン情報やクレジットカード情報を送信しても安全という証。特に金銭を扱う取引所では必須と言っていいものなので、URL欄にこの表記がない取引所はまず疑ってかかりましょう。
そのほか、URLとサイト名が微妙に食い違っている場合もあります
先ほど紹介したblockchain.comに偽装したフィッシングサイトの場合、URL欄には「bockcheian.com」と表示されていました。間違い探しのようですが、URL欄に少し注意を払うだけでもフィッシングサイトをかなり見分けやすくなるはずです。
取引所のセキュリティー突破
仮想通貨の取引所のセキュリティーを突破できれば、利用者のログイン情報をごっそり盗み取り、多数のビットコインウォレットにアクセスできるのと同じ事になります。
セキュリティーを突破されて損害を被った例としては、Mt.Goxの事例が有名でしょう。2011年6月19日、同社のデータベースに不正な侵入が行われ、顧客のログイン情報が流出。その後、取引所で1ビットコイン1セント(当時は1ビットコイン17.50ドル)という不当な安値で大量のビットコインが売りに出され、当時存在したビットコイン総数の13分の1が失われました。被害総額は当時のレートで約875万ドル。
2015年には、当時ヨーロッパトップの取引所Bitstampが攻撃を受け、約500万ドルの損失を出しています。最近ではCoincheckにて、仮想通貨NEM(ネム)が580億円分流出したという事件が大きく報じられました。
ビットコインの価格が上がるにつれ、取引所への攻撃のうまみも増しています。2017年には北朝鮮が韓国の取引所にサイバー攻撃を仕掛け、ビットコインを盗み出そうと試みていたことが発覚。経済制裁を受けている北朝鮮にとって、匿名性が高く決済を規制されない仮想通貨は絶好の資金源なのです。
取引所への攻撃を防ぐため、ユーザー個人にできることは何もありません。取引所ももちろんセキュリティー対策はしていますが、その度合いは取引所によってまちまちで、安全対策システムを導入してはいても実際の運用や管理方法が悪いために安全性が損なわれている可能性もあります。
なのでこうした被害を回避するには、そもそも取引所に多額の仮想通貨を預けておかないのが一番。オンライン上でアクセスできるホットウォレットに対して、紙や物理デバイスなどインターネットから切り離されたものに情報を記録したウォレットはコールドウォレットと呼ばれていますが、多額の資産を保管するにはコールドウォレットの活用が推奨されています。
ビットコインであればbitaddress.orgのように、プリントアウトするだけで紙のウォレットが作成できるサービスもあります。頻繁な出し入れをするには不便ですが、きちんと管理しておけばサイバー攻撃の心配は無用です。
ある程度頻繁に出入金するのであれば、ウォレットにアクセスするための秘密鍵を暗号化して保存するハードウェアウォレットがいいでしょう。現在は高価格で品薄ですが、1台あれば複数の仮想通貨の保管に活用でき、USBにつなげば手軽に使える上、紙とは違って時間が経っても記録した情報が劣化することがありません。高額の資産をなんとしても守りたい!という人には十分な価値のあるものでしょう。