コインチェック580億円不正流出から仮想通貨のネットセキュリティを考える

2017年は仮想通貨元年と呼ばれ、ビットコインやリップルを始めとするさまざまな種類の仮想通貨が出回りました。ネット通販サイトのみならず、ビックカメラやメガネスーパーなどでも仮想通貨が利用可能です。

注目度が増した矢先、20181月に仮想通貨取引所大手コインチェックによるNEM流出事件が発生しました。不正流出額は約580億円。これは2014年に起きた世界最大級ビットコイン交換所マウントゴックスの不正流出約470億円を上回る、過去最大規模の流出事件となりました。

コインチェックやマウントゴックスの不正流出の原因は、サイバー攻撃です。特にコインチェックは標的型攻撃メールによる攻撃でした。外部からコインチェック従業員のパソコンにメールを送り、業務用パソコンがマルウェアに感染。攻撃者は感染したパソコンを用いて社内ネットワークに侵入し、NEMのサーバーにアクセス。そこで秘密鍵が盗まれ、不正に送金されました。

コールドウォレットとマルチシグの未導入

コインチェック事件では、ネットセキュリティ管理における2つの不備が指摘されています。1つは金融庁が推奨する「コールドウォレット」で管理していなかったこと。コールドウォレットとは、インターネットに接続しないオフライン上で仮想通貨を管理します。これにより外部からの不正アクセスや流出を防ぐことができますが、コストが高く運用手順も複雑です。また、支払いなどに時間がかかるため利便性も低くなります。

コインチェックは、今回不正流出したNEMを安全性の高いコールドウォレットではなく、常時インターネットに接続された環境にある「ホットウォレット」で管理していました。

もう1つは「マルチシグ」を導入していなかったことです。マルチシグは秘密鍵を2つ以上にした署名方法です。マルチシグ未導入の場合、秘密鍵は1つの端末やパスワードに依存するため、攻撃者にとってみれば攻撃対象は1つとなります。マルチシグを導入すると鍵が複数必要になるためセキュリティは向上しますが、当然コストも上昇します。

次世代取引所の誕生と利用者が注意すべき点

標的型攻撃メールで従業員のパソコンをマルウェアに感染させ社内ネットワークにアクセスし、コールドウォレット管理とマルチシグ未導入という脆弱性を狙ったのが今回の事件です。コインチェックは自社資本による補償を発表しましたが、流出した約580億円はすでに換金されたようです。

では、なぜコインチェックが狙われたのか。攻撃者は情報やお金が集まる場所、いわゆる中央集権を狙います。コインチェックのように大規模な仮想通貨や個人情報を扱う取引所はまさに中央集権です。調査対象や攻撃対象が一箇所に固まっており、攻撃者が狙いやすい状況となります。

これを受けて今、次世代取引所として注目されているのが分散型仮想取引所(DEX)です。該当の取引所は通貨を保有せず、取引する場所のみを提供します。DEXが普及することで、コインチェックやマウントゴックスのような大量の仮想通貨不正流出事件は減少するでしょう。

しかし、DEXでは利用者同士が直接取引をするため、仮想通貨利用者のセキュリティ対策が重要になります。

上記の流出事件後、仮想通貨を個人管理に移行する利用者は増加しています。仮想通貨を管理するウォレット(財布)は5つ。最もセキュリティが優れているのは「ハードウェアウォレット」です。

ハードウェアウォレットは、USB型やカード型の専用端末で秘密鍵やアドレスを管理します。オフライン環境で管理するため、サイバー攻撃を受ける心配はありません。万一、端末本体が盗難に遭ったり紛失しても、PINコードが流出していない限り安全は保たれます。金額は1万円程度ですが、中古品は買わないほうが無難です。

常に目の届くところなら、スマホなどのモバイル端末にアプリをダウンロードする「モバイルウォレット」があります。仮想通貨の利用にパソコンを利用するのであれば、専用ソフトをインストールして使用する「デスクトップウォレット」。インターネット上にアカウントを開設する「ウェブウォレット」も利便性は高いでしょう。しかし、これら3つはサイバー攻撃のみならず”パスワードを盗み見される”“パソコンが盗難される”といった懸念もあります。

アナログな手法なら「ペーパーウォレット」です。必要な情報を紙に印刷するので当然サイバー攻撃のリスクはありませんが、盗み見や盗難には注意が必要です。また、復元も不可です。

もちろん、コールドウォレットで管理しマルチシグを導入しているといった、安全性の高い取引所に預けるのも方法の1つとなります。取引所に預ける際は、どのような管理体制か事前に調べることが大切です。

仮想通貨などの金銭のみが攻撃対象なのか

コインチェック事件により、標的型攻撃メールに対する防御が再度注目されています。今回の攻撃対象は仮想通貨でしたが、「金銭以外は安全」ということは決してありません。むしろ目に見えない個人情報の方が攻撃対象となりやすいのも事実です。

氏名や住所、電話番号はもちろん、アカウントや通信履歴までが個人情報です。攻撃者はこれらを盗み出し、活用します。つまり、常時メールを扱う一般企業にとっても、コインチェック事件は対岸の火事ではありません。

一般企業の場合、標的型メール攻撃で注意すべきは早急な原因特定です。誰のパソコンからいつ、どのような経路で攻撃を受けたかを洗い出さなければなりません。メールの保管は法律で義務付けられていますが、”被害を受けた時すぐに原因特定ができるような保管”をしている企業は多くありません。この作業に有効なのが「メールアーカイブ」の活用です。

また、標的型メール攻撃は、攻撃時から発見までにタイムラグが発生することも。これは、攻撃者が意図的に発見されないように施すこともあれば、企業側の不備によって遅れることもあります。いずれのケースにしても、長期的なメールアーカイブは必須となります。

標的型メール攻撃を100%防ぐ方法は存在しません。企業に求められるのは、攻撃を受けた後の適切な対処です。これにより被害拡大防止、再発防止対策を施すことが信頼回復につながります。

2018.09.05
アーカイブ時代

Ebookダウンロード
「アーカイブ新時代 〜サイバー攻撃から会社を守る最大防御〜」

本資料では、最新のメールアーカイブの潮流など、企業のメールセキュリティ対策に役立つさまざまな情報を解説します。ぜひご一読ください。
・サイバーセキュリティ、メールセキュリティの現状
・関税法やGDPR対策など、高まる企業統制の重要性
・膨大なメールの暗号化を可能にする技術 など

Ebookをダウンロードする

アーカイブ時代

「ゼンロック」メールマガジン購読のご案内

企業セキュリティに関するニュースやインシデント情報、製品情報などをお届けします。

メルマガ登録する