暗号資産のセキュリティー基本編（CEXエディション）

はじめに

暗号資産を始めたばかりの頃は，取引所を介して円やドルなどの法定通貨を暗号資産へ交換するのが最初のステップになると思います．しかし，世の中には悪いひとたちが一定数いるもので暗号資産は大きな資産規模とまだ規制の整備が追いつかない部分もありハッキング被害がいまだに発生し続けています．いまのように冬の時代とも言える下落相場や調整相場時には多額の資金が流れ込んだあとなので犯罪者は虎視眈々と機会を伺っていると思ってよいでしょう．
今回は，CEX（従来型の中央集権的な取引所）アカウントのセキュリティー保護に焦点をあててどういった対応を取ったらよいかまとめていきます．

必ずやっておきたい対策（2段階認証）

皆さんもまず取引所に口座をつくった時にユーザー名とパスワードを設定することが多いと思います．そのときに携帯番号も登録し，SMSによる2段階認証も行うのが一般的だと思います．ユーザー名は仕方ないとしてもパスワードの使い回しは厳禁です．原則として以下のルールを守ってなるべくランダムなパスワードを使いましょう．

• アルファベットの大文字と小文字を混在させる

• 英数字をそこに混ぜ込む（誕生日などの推定しやすいものはダメです！）

• 特殊文字を埋め込みましょう（#, $, %などです）

• パスワード長は8文字以上のなるべき長い文字列にしてください

これらを守っても最新のGPUアクセラレーションとレインボーテーブル（事前に生成されたデータ）などを使えば暗号化されたパスワード（ハッシュ値）から実用的な時間（数時間から一日ぐらいで）でパスワードクラッキングが市販の高性能PCで可能です．しかしランダム文字列をパスワードに設定することで攻撃者がここを突破するまでの時間を稼ぐことができます．8文字未満は論外です．数分から一時間いないに解読されてしまいます（CEXのサーバーからユーザー情報とパスワードハッシュ値が盗み出されたと仮定した話です）．
 
パスワード保護だけでは不十分なのはIT業界では常識的な知識で，次にセキュリティーレベルを高めるために必ず2段階認証が使われます．ここでは，SMSによる認証は含めません．なぜなら携帯番号はSIMスワップという手法で簡単にハッキング可能だからです．詳細は割愛しますが，携帯電話番号というのはSIMカードに紐付けられており，SIMロックフリーが普及した現状では携帯会社のオペレータを騙せればそこを迂回可能だからです．人が介在するシステムは非常に脆弱です．では何が2段階認証に最適でしょうか？
それは以下の2つの方法です．

• Authenticator Appを使用する方法（Google Authenticatorなどが有名です）

• FIDO対応のハードウェアキーを使用する方法（ハードキーが必要です）

導入できる取引所が多いのはAuthenticator Appでしょう．これはほとんどすべてのCEXが対応済みです．設定方法はそれほど難しくありません．専用アプリをインストールして設定を行うだけです．それはこちらの記事を参考にしてみてください．

Google Authenticator - Google Play のアプリ

2段階認証アプリ「Google認証システム」の使い方と移行方法

ちなみに2段階認証はTwitterアカウントやGoogleアカウントを保護することに使用できます．とくにgmailアドレスを取引所へ登録している場合は，Googleアカウントも多段階認証で保護しましょう．
 
次にFIDO対応のハードウェアキーは専用のUSBスティックデバイスを購入する必要があります．これはサーバー管理者が使うクラスのセキュリティー強度を誇り，物理キーを使った認証になるのでフィッシング被害はこれでほぼ100％防ぐことが可能です．
こちらは対応している取引所は非常に限られています．私はKrakenでのログインと取引でのみ使用しています．Yubikeyという製品がもっとも有名で値段もそれほど高くはありません（だいたいが70ドル未満で購入可能です）．

YubiKeyでデジタルワールドを保護

ちなみに TwitterはFIDO対応のハードウェアキーによる認証にも対応しています．この方法で保護すればリモートアクセスからアカウントを乗っ取られる被害は100%防ぐことが可能でしょう．

コールド・ストレージの活用

取引所によってはホットウォレット（つねにネットワークに繋がり即時取引が可能）とコールドウォレット両方を提供していることがあります．例えばCoinbaseではVaultと呼ばれる口座がこれに相当します．コールドストレージの原理は資産をオフラインのウォレットに移して攻撃者から保護する手法です．利点はたとえ取引所のサーバーがハッキングされてホットウォレットなどにアクセスされてもオフラインの資産は盗みだせないことです．
欠点は，オフラインに保管されているのを復旧するのに時間がかかることです．Coinbaseの場合は48時間かかることになっています．この時間設定はセキュリティーレベルに応じて各社が決めているのでしょう．BlockfiなどはGeminiのコストディー（コールドウォレットの一種と思ってください）を使用してますが，通常営業日であれば24時間ぐらいで引き出し可能です．

取引所が提供する保険に加入する

こちらはまだ一般的ではありませんが，Coinbaseは収益構造の転換を図るためにサブスクサービスのベータテストを開始しています．Coinbase Oneと呼ばれるサービスでまだベータテスト段階で一般公開はされていません．

Coinbase OneとLiteCoinのMimbleWimbleアップデート

大まかなサービスについては以前私のブログで紹介したものですが，100万ドルまでのハッキング時の損失をカバーする保険などが付帯してきます．こちらはCEXを使うメリットであり，今後この分野の保険商品が発展していくことが予測されます．もちろん分散型金融の最先端はスマートコントラクトによるオンチェーン上の保険ですが，そちらは別記事で紹介しようと思っています．

まとめ

いかがでしたでしょうか？上記の対策を行えば，たとえCEXがハッキングされたとしても簡単には資産を盗みだされることはないはずです．これらの対応を行っても取引所の倒産リスクが存在しますが，今のところ損害は補填されることが多い印象です．100％ではありませんが，捜査当局もブロックチェーン技術を理解し犯罪捜査に利用し始めているので，資産が全部盗まれてユーザーがまったく補償を受けられないというケースは非常に稀でしょう．
ただ契約書を読めばわかると思いますが，どこにも無限責任に相当するユーザー資産を100％補償する条項は書かれていないはずです．これは法的義務を課されるのを防ぐためであって，実際の破産時には社会的義務を果たすために様々な補償方法を破産管財人などが中心になって決定していきます．米国での判例を見る限りでは上位数％に入っていなければ資産はほぼ返ってくると思っておいてよいでしょう．しかしクリプトネイティブとしてDeFiの世界に触れてみたい人たちは，CEXに資産を全部置くということは行わないはずです．次回はMetaMask, Keplrなどの自己管理が必要な場合の資産保護方法とセキュリティー対策ポイントを解説する予定です．