暗号資産投資家にとって、一番の心配事。
それは、取引所やプロジェクト(トークン発行企業)の「セキュリティ」ではないだろうか?
ブロックチェーンが誕生してから今日まで、暗号資産の発展に伴い、セキュリティ事件も増えている。
私たちはいつセキュリティ事件に巻き込まれて被害に遭うかわからない。
そこで、過去にどのような事件が起きたのか、そしてどのような対策を立てられるのか解説する。
- 過去に起きた暗号通貨のセキュリティ事件について
- 今すぐできるセキュリティ対策
海外で起きた暗号資産のセキュリティ事件2選
過去10年間で、暗号資産業界の急成長に伴い、セキュリティ事件も増えた。
ほとんどのハッキングはブロックチェーンテクノロジーに対してではなく、ウォレットや取引所などの暗号資産サービスプロバイダーを標的としており、資金を盗むためにセキュリティの脆弱性突く従来のサイバー犯罪である。
過去に暗号資産業界で起きた有名なセキュリティ事件を紹介する。
世界ではどんなセキュリティ事件が起きているのだろうか。
2016年6月:ザ・ダオ(The DAO)事件
現在もWeb3の分野で注目を集めているザ・ダオ(The DAO)。
しかし、2016年にThe DAOに関するセキュリティ事件が発生していたことはご存じだろうか?
当時の暗号通貨業界を震撼させたザ・ダオ(The DAO)事件について詳しく解説していこう。
ザ・ダオ(The DAO)とは?
The DAOとはdecentralized autonomous organization(自律分散型組織)略で、イーサリアムのプラットフォームで分散型投資ファンドを構築することを目的としたプロジェクトだ。
The DAOは投資家から集めた資金の使い道を投資家一人一人が決めるという大きな特徴を持っている。
具体的には、The DAOの資金の使い方(投資)に賛同できない場合、投資家から預かった資金をDAOから切り離して、新しいDAOを作ることができる。
この機能はスプリットと呼ばれる。
通常、ファンドというと一人のマネージャーが投資先を全て決める。
一方でThe DAOは投資先を参加者が決められるため、多くの人が注目した。
2016年5月末、The DAOはICO(Initial Coin Offering)で資金調達を実施した。
なんと28日間で1,207万ETH(当時のレートで約150億円相当)の調達に成功し、クラウドファンディングの資金調達額として史上最高記録を塗り替えた。
順風満帆にスタートしたThe DAOだが、すぐに大きな不幸に襲われることとなった…。
脆弱性を突かれ、約52億円分のETHが流出
2016年6月初旬、DAOのスプリット機能にバグがあることが発覚した。
通常、スプリットは1回行えば処理が完了するのだが、この時は資金の移動が完了する前なら何度も行えてしまうという致命的なバグが発生していた。
そして、このスプリットのバグを突かれる形で、
調達したイーサリアムの約3分の1である364万ETH(当時のレートで約52億円)が不正流出した。
事態に気づいたホワイトハッカーが残りのイーサーネットを別のアドレスに移したため、被害は364万ETHで済んだ。
364万ETHというのは、当時の全ETH発行量の約5%であり、イーサーネットコミュニティはもちろん、暗号資産業界に大きな衝撃を与えた。
幸運にもスプリットで分離された資金は27日間移動できないという仕組みであったため、流出した資金そのものは凍結させることに成功した。
凍結した資金のハードフォークへ、しかしコミュニティには亀裂も…
そして、この凍結した資金をどうするかをコミュニティで議論した結果、ハードフォークを行うこととなった。
ハードフォークとは従来のブロックチェーンとは別の新しいブロックチェーンを作ることである。
ソフトフォークとは異なり、従来のものとの互換性がなくなる。
ハードフォークによってイーサリアムは、新たなブロックチェーンに移行したイーサリアム(ETH)と元々のイーサリアムのブロックチェーンを引き継ぐイーサリアムクラシック(ETC)に分かれた。
この結果、ハッカーが盗み出した364万ETHは無効化されたため、被害はなかった。
しかし、凍結した資金の処理方法を議論した際、全ての参加者がハードフォークに賛成したわけではなかった。
コミュニティの10%の参加者は、今回の事件に伴うハードフォークに反対していたとされている。
投資家一人一人が運用先を決めるというThe DAOの特徴が、皮肉にも破られる後味の悪い結果となった。
2016年8月:ビットフィネックス(Bitfinex)事件
Bitfinexの過去
Bitfinex事件を紹介する前、別の事件について先に語らなければならない。
Bitfinexの前身は、ビットコイニカ(Bitcoinica)という。
このBitcoinica、なんと2012年に2回もハッキングされ、そして倒産としたといういわくつきの歴史を持っている。
この事件は今回のメインではないので、簡単に経緯を話す。
2012年3月、Bitcoinicaが利用しているクラウドホスティング会社Linodeが脆弱性を突かれてサーバーにハッキングされた。
そして、43,000 BTC(当時のレートで約2900万円)を盗難された。
それからたった2ヶ月後の5月。
今度は3月とは別のハッキングを受け、18,000 BTC(当時のレートで約1200万円)を盗難された。
多くの人が「Linodeのセキュリティ強化の甘さ」を指摘した。
この2回のハッキングで、合計61,000 BTC(当時のレートで約4100万円)を失い、Bitcoinicaは閉鎖された。
Bitcoinica時代の教訓を活かさないBitfinex
BitfinexはBitcoinicaが2回のハッキングを受けて閉鎖された1年後に誕生した取引所である。
Bitcoinicaの事件を知っている人ならセキュリティに不満を感じていたかもしれないが、その予感は的中することとなった。
2016年8月、システムにハッキングされ12万BTC(当時のレートで約99億円相当)が盗まれた。
Bitfinexは証拠金取引を行いたいトレーダーを多く獲得するため、高い流動性を持つピアツーピア(P2P)証拠金取引プラットフォームを提供していた。
P2P証拠金取引プラットフォームはトレーダーには好評だった。
しかし、プラットフォームは問題が多く、一部では「バグフィネックス」と呼ばれていた。
ハッカーはバグフィネックスの脆弱性を突いてハッキングした。
Bitcoinicaの頃の教訓が活かされていれば、結果は変わったのかもしれない。
現在では、2段階認証、コールドウォレット、マルチシグとセキュリティが徹底的に強化されている。
犯人逮捕、盗まれたビットコインの一部を回収
この事件から6年後。
2022年、事件の関係者が捕まり、盗難されたビットコインの一部が押収された。
逮捕されたのはアメリカに住むイルヤ・リヒテンシュタイン容疑者と妻ヘザー・モーガン容疑者である。
彼らはマネーロンダリングと詐欺の共謀として捕まった。
Bitfinexから盗まれた暗号資産が2,000件以上のトランザクションを経てリヒテンシュタイン容疑者のウォレットに送金されていたからだ。
なお、ハッキングの実行犯としてはまだ提訴されていない。
彼らを逮捕した時、9.4万BTC(当時のレートで約4900億円相当)が押収された。
これは米司法省が押収した暗号資産の中で、歴史上最大の金額である。
なお、盗まれた12万BTCは現在の価値に換算すると7200億円である。
日本国内で起きたセキュリティ事件1選
セキュリティ事件は海外だけではない。
日本でも、ネム(NEM)事件やリキッドバイエフティーエックス(Liquid by FTX)事件など起こっている。
私たちはいつ巻き込まれてもおかしくない状況だろう
日本で過去に起きた中で最も有名なセキュリティ事件を紹介する。
2014年4月:マウントゴックス(Mt.Gox)事件
Mt.Goxとは?
Mt.Goxは当時、世界最大の暗号資産取引所であった。
全世界のビットコインの7割がMt.Goxで取引されていた。
Mt.Goxは2009年に設立し、元々はトレーディングカードの交換所であった。
名前の由来も人気トレーディングカードのマジック・ザ・ギャザリングから来ており、Magic: The Gathering Online eXchangeの略だ。
世界最大の暗号通貨取引所の名前の由来がカードゲームだったというのは衝撃だが…
2010年にビットコインに事業を転換したところ、投資家の暗号資産への関心とともに、急成長した。
当時世界最大の取引所Mt.Goxがハッキング
2014年2月24日、Mt.Goxのサーバーがハッキングされ、
自社保有分の10万BTCとユーザー保有分の75万BTC(当時のレートで約470億円相当)、さらに顧客からビットコイン売買のために預かっていた資金28億円が流出した。
Mt.Goxにビットコインを預けていた12万7000人が被害者となった。
そして、事件から3日後、Mt.Goxは破綻した。
事件が起きたのは2月24日だが、それ以前からトラブルが起きていた。
事件の経緯を時系列で並べる。
- 2月7日:出庫停止、理由はトランザクション展性に起因する問題
- 2月17日:出庫再開の目処の報告
- 2月25日:ビットコインの全取引中止の発表
- 2月28日:民事再生法適用申請の開始、記者会見で事件を公表
- 3月20日:20万BTCが残っていることを確認
- 4月24日:破産手続きの開始
2人の容疑者を逮捕
Mt.Goxの発表によると、流出の原因は外部からの不正アクセスによるものである。
しかし、その後の調査で内部からの不正操作である可能性が浮上した。
警視庁サイバー犯罪対策課の調査によると、流出したビットコインの9割以上が内部の不正操作、残りは外部からのハッキングだった。
そのため、2015年8月1日、Mt.Gox社長のマルク・カルプレス氏は逮捕された。
マルク・カルプレス氏は無実を主張している。
1年後の2017年7月26日、マウントゴックス事件の関係者がもう一人逮捕された。
逮捕されたのはビットコイン取引所BTC-eの運営者アレクサンダー・ビニック氏だ。
彼はマネーロンダリングの容疑で逮捕された。
Mt.Goxをハッキングして資金を盗み出し、自分の所有するBTC-eなどでマネーロンダリングした疑いである。
彼とカルプレス氏との間に関係があるかどうは、現在わかっていない。
暗号資産交換業者の金融庁への登録など、これを機に日本では暗号資産に関する方の整備が急速に進んだ。
なお、破綻したMt.Goxの管財人小林信明弁護士は2022年7月6日、債権者に対して弁済手続きの書簡を送付した。
債権者への弁済の日は近い。
https://www.wikibit.com/ja/202207116644344108.html
注意!年々増加するハッキング事件
2018年、ブロックチェーンと暗号資産業界は急成長した。
そして、多くの企業が暗号資産に参入した。
参入した企業には、新しい価値を生み出すためイノベーションを目指す企業もあれば、金銭目的の企業もある。
目的の異なる企業が暗号資産業界に集まることには、デメリットもある。
プロジェクトの方向性が企業ごとに異なるため、ネットワークのセキュリティレベルもそれぞれ異なる。
暗号資産に資金が集まるにつれ、多くのハッカーが引き寄せられた。
サイバーセキュリティが甘い企業は被害者となった。
スローミスト・ハック(SlowMist Hacked)によると、2012年以降、グローバルブロックチェーンエコシステムで合計780件のセキュリティ事件が発生した。被害総額は3.6兆円に達する。
2018年以降は件数、金額とも前期比で、倍増加している。
種類別で見ると、取引所、ETHやBSCやEOSなどの主要トークンエコシステム、NFTがハッカーに狙われている。
種類 | 件数 | 被害総額(円) |
パブリックチェーン | 42 | 11,442,356,328 |
取引所 | 103 | 1,424,887,696,198 |
ウォレット | 27 | 39,970,274,541 |
ETHエコシステム | 161 | 548,609,256,789 |
BSCエコシステム | 95 | 109,173,348,885 |
TRONエコシステム | 23 | 1,549,064,723 |
EOSエコシステム | 119 | 3,578,214,123 |
Polygonエコシステム | 12 | 9,685,756,231 |
HECOエコシステム | 3 | 8,906,167 |
Fantomエコシステム | 10 | 11,718,523,550 |
Solanaエコシステム | 8 | 54,728,251,005 |
Avalancheエコシステム | 6 | 14,698,011,750 |
Polkadotエコシステム | 7 | 1,311,178,714 |
NFT | 60 | 25,801,748,659 |
その他 | 104 | 1,420,625,048,249 |
合計 | 780 | 3,677,787,635,778 |
ハッキング方法については、フィッシングなどの詐欺が多い。
最近では、コミュニティを中心としたNFTやメタバース分野で、Discordサーバーへのハッキングも増えている。
順位 | ハッキング方法 | 回数 |
1 | 詐欺(フィッシング攻撃など) | 103 回 |
2 | フラッシュローン攻撃 | 60 回 |
3 | コントラクトの脆弱性を突いたハッキング | 30 回 |
4 | トランザクション混雑を突いたハッキング | 27 回 |
5 | トランザクションのロールバックを突いたハッキング | 26 回 |
6 | 51%攻撃 | 24 回 |
7 | 乱数攻撃 | 23 回 |
8 | ホットウォレットのハッキング | 22 回 |
9 | Discordサーバーへのハッキング | 18 回 |
10 | データ侵害 | 17 回 |
サイバー攻撃はブロックチェーン業界だけでなく、他業界のネットワークにも及ぶ。
暗号資産の追跡不可能性を利用して、ハッカーはしばしば被害に遭った企業に対して暗号資産で身代金を要求する。
米国最大の精製石油パイプライン運営会社であるコロニアル・パイプライン(Colonial Pipeline)社は、2021年5月にサイバー攻撃を受け、米国東海岸の主要都市の45%に燃料を供給するパイプラインが停止した。
多くの州が緊急事態を宣言した。
システム復元のため、コロニアル・パイプライン社は約6.8億円相当の暗号資産を身代金として支払った。
セキュリティ事件と切り離せない詐欺事件
セキュリティ事件と詐欺事件。
一見無関係のようだが、実はこの2つセットになっている。
詐欺で騙してパスワードなど重要情報を入手してハッキングするからである。
以下は暗号資産業界でよく見られる詐欺の手口と対策を紹介する。
カスタマーサポート詐欺
最も典型的な詐欺の手口である。
取引所のカスタマーサービススタッフを装って電話をかけ、指示に従うと詐欺の被害に遭う。
例えば、こんな感じだ。
詐欺師:あなたの口座は危険にさらされているので、至急連絡してください。
被害者:はい、わかりました。
カスタマーサポート詐欺では、口座が危険にさらされている以外にも不安を煽ることを言ってくる。
また、連絡してください以外にも別の指示を出すこともある。
取引所や金融機関から連絡があったら、気持ちを落ち着かせて、「折り返し連絡します」と一旦電話を切って、こちらから連絡があった取引所や金融機関に連絡しよう。
もしも本当に危険な状態なら、対応してくれるだろうし、先ほど連絡が詐欺であったら「連絡した履歴が無い」となる。
フィッシング詐欺
フィッシング詐欺も典型的な詐欺の一つで、「カスタマーサポート詐欺」に似ている。
古くからある手口で、今でも多くの人が騙されている。
主にチャット、電子メール、ショートメッセージサービス(SMS)などを使ってユーザーの個人情報を盗む。
ランダムに送信されるので、同じユーザーが複数のフィッシングURLを受信することがある。
フィッシングメッセージは、不自然な文章、スペルミス、ドメイン名がおかしいなど粗がある。
このようなメッセージを受け取ったら、ドメイン名、リンク先を確認するのがフィッシング詐欺対策の基本である。
知らない人から不審なメールやメッセージが届いたら、URLをクリックせず直接そのサイトにアクセスして事実確認することを勧める。
投資詐欺(ロマンス詐欺)
彼らはマッチングアプリでターゲットを探す。
ターゲットを見つけると、まずターゲットと親しくなる。
仲良くなったところで、徐々にターゲットの警戒心を解いていき、信用を得る。
時期を見計らって偶然を装って、「暗号資産に投資して大金を稼いでいる」ことを伝え、お金が欲しいという欲望を刺激する。
ターゲットが興味を持って投資のことを聞いてきたら、誰も知らない取引所の登録リンクを送る。
場合によってはフィッシング詐欺のように有名な取引所をコピーしたサイトを用意することさえある。
その取引所の口座に入金すると、恋人はお金と共に消える。
ロマンス詐欺は今、世界中で多発してる。
もしかしたら、一番身近な詐欺かもしれない…。
ロマンス詐欺の一番の対策は、お金の話が出たら二度と相手とは連絡を取らないことだ。
恋愛の場でお金の話が出てくる時点で、何か裏がある。
名残惜しいかもしれないが、あなたの大事な資産を守るため、心を鬼にしてスパッと切ろう。
ICO詐欺
ICOとは新規暗号資産公開のことで、新しい暗号資産を立ち上げるための資金調達手段である。
プロジェクトの初期投資家になるチャンスがある反面、新しいトークンは将来性が予測できないため、ICO投資にはリスクがある。
さらに、ICOの中には詐欺もある。
プロジェクトを十分に調査・確認せずにICO投資を行ってはならない。
これまで紹介してきた国内外のセキュリティ事件、詐欺事件、そして年々増加傾向にあるということから、次の教訓を得られる。
自分の資産を守るために、私たち自身でできる範囲をセキュリティ対策をする必要がある。
今日からできるセキュリティ対策
暗号資産のハッキング対策は主に資金へアクセスするのに用いる秘密鍵に対して行われる。
ただし、現在のところ、ハッキングを100%防ぐ方法は存在しない。
それでも、対策することで防げるハッキングあるので、しっかり対策すれば暗号資産を失うリスクを大きく減らすことができる。
今日から個人でできるセキュリティ対策を紹介する。
ハードウェアウォレットを使う
ハードウェアウォレットはコールドウォレットまたはオフラインウォレットとも呼ばれる。
ハードウェアウォレットは暗号通貨を保管するためのデバイスで最も安全なツールの1つである。
ハードウェアウォレットは持ち運びに便利で、取引をしたいときだけにPCやスマホに接続するだけだ。
しかし、ハードウェアウォレットには2つのデメリットがある。
①ハードウォレットをインターネットに接続した時、ハッカーに取引に使用するコンピューターに侵入され、資産を盗まれる可能性がある。
②ハードウォレットを紛失したり秘密鍵を忘れると暗号通貨を引き出せないリスクがある。
暗号通貨分析会社チェイナリシス(Chainalysis)がアドレスのアクティビティを分析したところ、秘密鍵の紛失または所有者の死亡により、370万BTC以上が「失われた」と推定された。
保険付きホットウォレットを選ぶ
保険付きのホットウォレット(別名オンラインウォレット)と使用することで、被害に遭った際に損失を補填できる。
また秘密鍵の紛失にも有効である。
しかし、被害が保険の補償範囲を超えた場合、全額戻って来ない可能性がある。
マルウェア対策を行う
マルウェア対策などサイバーセキュリティ対策するだけでもハッキングのリスクは大きく軽減できる。
ランサムウェア、キーロガー、クリプトジャッキングなどの脅威から守られる。
また、パスワードマネージャー(2FA認証を使用)を使用すれば、認証情報を安全に保管することができる。
また、不審な電子メールのリンクや添付ファイルを開かないことも基本的な対策である。
セキュリティの高い取引所を選ぶ
セキュリティが高く信頼できる取引所を選ぶことも大切だ。
バイナンスのような大手の取引所であっても、過去にハッキングされた例はあるので、100%安全とは言えないが、セキュリティの低い取引所よりもハッキングされるリスクは低い。
セキュリティが高く信頼できる取引所はWikiBitで簡単に調べることができる。
https://www.wikibit.com/ja/dr.html
セキュリティ対策をしっかりやって、自分の資産は自分で守ろう!
まとめ
技術の向上とネットワークセキュリティ意識の高まりにより、暗号資産企業はネットワークセキュリティを強化している。
しかし、ハッカーの技術も進歩しており、中には国から支援されているハッカー集団もある。
世の中に完璧というものは存在しないので、サイバーセキュリティの攻防は今後も続くだろう。
一般投資家として、自分の資産を最大限に守るために、業界のトップ企業や自分が十分に理解しているプロジェクトを選び、他人の推薦を鵜吞みにせず、自分自身の目で確認しよう。
コメント コメント 0