ビットコインをはじめとする仮想通貨は、近年の高騰・暴落によって多くの注目を集めています。しかし注目を集めるものは、悪人からも注目されるもの。ビットコインの盗難事件が度々起きては、けっこうな被害を出しています。
匿名性の高さが謳われ、データ上にしか存在しないビットコインを盗み出すというのはどういうことなのでしょうか。本記事ではその手口について解説していきます。
ビットコインはどう盗む?
ビットコインをはじめとする仮想通貨は、ウォレットで管理されます。従来の通貨でいえば銀行口座に当たるもので、送金された仮想通貨はウォレットに格納され、こちらから送金する場合もウォレットに存在する残高が移動します。
ウォレットではなく、仮想通貨の取引所に預けている場合もあるでしょう。通貨の送受信を行う方法はウォレットとさほど変わらず、対応するアドレスを相手に知らせて送金を受け取るか、あるいは相手のアドレスに向けて送金の操作を行うか、いずれかの方法を取ります。
仮想通貨を盗み出すための経路は大まかに2択に分かれます。つまりウォレットにアクセスするか、あるいは仮想通貨の取引所にアクセスするか。ここからはそれぞれについて、どのような方法があるかを見ていきましょう。
ビットコイン盗難の手口と事例
取引所にアクセスするためには、取引所に登録しているメールアドレスとログインパスワード、加えて二段階認証をオンにしている場合は認証コードが必要です。
ウォレットの場合は、ちょうどログインパスワードのような機能を果たす秘密鍵を入手すればアクセスが可能です。
そうした情報を奪うには、以下の方法が存在します。
フィッシング詐欺
フィッシング詐欺とは、公式のものに偽装したメールやウェブサイトを使って情報を引き出す詐欺の手口です。カスタマーサービスを装ったメールでリンクを踏ませる、あるいは本物そっくりに作ってある偽ウェブサイトにログインさせてログイン情報を盗み取るなどの方法で情報を奪われます。
例えば広く普及しているイーサリアムウォレットの「MyEtherWallet」はフィッシングサイトが横行していることを理由として、秘密鍵を使ったウォレットへのログインを推奨していません。また仮想通貨取引所のバイナンスでは、フィッシングサイトでない本物のサイトであることを確認するようログイン画面で注意を促しています。
偽サイトなどそうそう見るものではないとお思いかもしれません。しかし2017年10月には、blockchain.comというサイトに偽装したフィッシングサイトがスポンサー広告としてGoogle検索のトップに来るという事態が起きています。詐欺被害を増やすかもしれないだけでなく、仮想通貨全体の信用に影響するかもしれないこの事件は衝撃をもたらしました。
フィッシングサイトはデザインやレイアウトだけを見て区別するのは困難です。見分ける手がかりとなるのは、ウェブサイトのURL欄。個人情報を扱う正規のウェブサイトであれば、URL欄の最初の文字が「https」となっている場合がほとんどです。これはウェブサイトの通信内容が暗号化されており、ログイン情報やクレジットカード情報を送信しても安全という証。特に金銭を扱う取引所では必須と言っていいものなので、URL欄にこの表記がない取引所はまず疑ってかかりましょう。
そのほか、URLとサイト名が微妙に食い違っている場合もあります
先ほど紹介したblockchain.comに偽装したフィッシングサイトの場合、URL欄には「bockcheian.com」と表示されていました。間違い探しのようですが、URL欄に少し注意を払うだけでもフィッシングサイトをかなり見分けやすくなるはずです。
取引所のセキュリティー突破
仮想通貨の取引所のセキュリティーを突破できれば、利用者のログイン情報をごっそり盗み取り、多数のビットコインウォレットにアクセスできるのと同じ事になります。
セキュリティーを突破されて損害を被った例としては、Mt.Goxの事例が有名でしょう。2011年6月19日、同社のデータベースに不正な侵入が行われ、顧客のログイン情報が流出。その後、取引所で1ビットコイン1セント(当時は1ビットコイン17.50ドル)という不当な安値で大量のビットコインが売りに出され、当時存在したビットコイン総数の13分の1が失われました。被害総額は当時のレートで約875万ドル。
2015年には、当時ヨーロッパトップの取引所Bitstampが攻撃を受け、約500万ドルの損失を出しています。最近ではCoincheckにて、仮想通貨NEM(ネム)が580億円分流出したという事件が大きく報じられました。
ビットコインの価格が上がるにつれ、取引所への攻撃のうまみも増しています。2017年には北朝鮮が韓国の取引所にサイバー攻撃を仕掛け、ビットコインを盗み出そうと試みていたことが発覚。経済制裁を受けている北朝鮮にとって、匿名性が高く決済を規制されない仮想通貨は絶好の資金源なのです。
取引所への攻撃を防ぐため、ユーザー個人にできることは何もありません。取引所ももちろんセキュリティー対策はしていますが、その度合いは取引所によってまちまちで、安全対策システムを導入してはいても実際の運用や管理方法が悪いために安全性が損なわれている可能性もあります。
なのでこうした被害を回避するには、そもそも取引所に多額の仮想通貨を預けておかないのが一番。オンライン上でアクセスできるホットウォレットに対して、紙や物理デバイスなどインターネットから切り離されたものに情報を記録したウォレットはコールドウォレットと呼ばれていますが、多額の資産を保管するにはコールドウォレットの活用が推奨されています。
ビットコインであればbitaddress.orgのように、プリントアウトするだけで紙のウォレットが作成できるサービスもあります。頻繁な出し入れをするには不便ですが、きちんと管理しておけばサイバー攻撃の心配は無用です。
ある程度頻繁に出入金するのであれば、ウォレットにアクセスするための秘密鍵を暗号化して保存するハードウェアウォレットがいいでしょう。現在は高価格で品薄ですが、1台あれば複数の仮想通貨の保管に活用でき、USBにつなげば手軽に使える上、紙とは違って時間が経っても記録した情報が劣化することがありません。高額の資産をなんとしても守りたい!という人には十分な価値のあるものでしょう。
SMS認証の脆弱性を突いた攻撃
これは、個人で取引所を使う人を対象にしたハッキングの手口。名前と電話番号を知られれば取引所へログインされてしまうかもしれないという、恐ろしい手口です。
これに関わってくるのは、電話通信事業者で使われるSS7(共通線信号方式No.7)というプロトコルの脆弱性です。
現在の電話のシステムでは、電話の音声データを送信する回線と、誰がどこに電話をかけているかといった情報や、かけた側の支払い情報などを送信する共通線と呼ばれる回線とに分けられています。この方式であれば通話と同時に送受信できるデータ量を増やし、通話の転送や番号通知、割込通話などの周辺サービスを充実させることができるのです。
この共通線のネットワーク間で情報をやり取りするためにSS7が活用されます。共通線からの信号を中継するSS7ネットワークは電話通信網の神経といってもいいもので、1970年代に導入されて以降、電話に関連するサービスが多様化した現在に至るまで世界各地で活用されています。
SS7ネットワークは通常なら通信事業者だけがアクセスできるものですが、外部の人間がこれにアクセスした場合、他人宛に送られたSMSの盗み見ができてしまいます。なので、2段階認証あるいはパスワードの再発行にSMSを使っている場合、セキュリティーが意味を成さなくなるのです。
(SMSを盗み見ることで、氏名と電話番号だけを手がかりに他人のビットコインウォレットへアクセスできることを示す動画)
そもそもSS7ネットワークへの侵入が難しいため、この方法での被害に遭う確率は少ないと考えられます。それでも万一のことを考えて、2段階認証の設定はSMSよりも認証アプリを使う方が安全でしょう。
偽ウォレット
仮想通貨のウォレットはアプリ上で使えるものもあり、手軽なため多くの人が利用しています。しかし、万一悪意のある作成者が作ったウォレットに仮想通貨を置いてしまうと、盗まれる危険があります。
2016年8月、そのような事件が明るみに出ました。Breadwalletなど複数種類のウォレットに似せた偽ウォレットがApp Storeに出回り、それを使っていたユーザーの仮想通貨が盗まれたというのです。被害総額は少なく見積もっても2万ドルと発表されています。
この偽アプリは本物のアプリからソースコードを一部拝借し、外見も本物そっくりと手の込んだ代物。何よりも、厳しいことで知られるアップルのアプリ審査をまんまとすり抜けたという事実が動揺を誘いました。
ないものをでっち上げるパターンもあります。取扱通貨が多いことで知られる人気の取引所Poloniexは独自のアプリを公開していないにもかかわらず、Google Play上にはPoloniexを名乗るアプリが複数存在するというのです。
いずれの場合も共通して言えるのは、アプリをダウンロードする前にアプリの出所を確認する必要があること、そして、そもそも公式がアプリを作っているかどうかチェックする必要があるということでしょう。
仮想通貨盗難の方法は巧妙化の一途をたどっています。自分の資産を守るのは自分の責任ですが、不幸中の幸いか、少し落ち着いてよく確認するだけでもある程度のリスク緩和につながります。
時代がめまぐるしく動き、早くて便利がスタンダードになった今の時代。じっくり立ち止まって確認するという気の持ちようが重要性を増しているのかもしれません。