仮想通貨取引プラットフォーム「Liquid」へ不正アクセス、約7.54億円相当の暗号資産流出を確認
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」8月27日の放送内容を一部抜粋しご紹介します
今回のトピック!
・ニュース解説
・暗号資産取引所で特に必要とされるセキュリティ対策
・盗んだ暗号資産のマネーロンダリングについて
今回の解説ニュース
かつては仮想通貨と呼ばれていた暗号資産の取引所に不正アクセスがあり、約100億円相当の暗号資産が盗まれてしまったということです。暗号資産に関連するシステムのセキュリティ対策で気を付けるべきポイントについて説明します。
暗号資産とは、特定の国家が発行していない、デジタルデータのみで存在する資産です。ブロックチェーンの技術を活用し、誰が誰に対して暗号資産を移動させたか検証後、記録されます。暗号資産にはビットコインやイーサリアムなど、様々な種類が存在しています。
今回のインシデントで不正アクセスを受けたのは、顧客との暗号資産の入出庫プロセス管理用のウォレットで、69種類、総額約100.5億円相当の暗号資産の不正流出が確認されています。また、ハッキングの原因や被害状況について、引き続き調査を行っており、安全の確保が確認できるまでの間、すべての暗号資産の入出庫を停止しているということです。
暗号資産取引所で特に必要とされるセキュリティ対策
暗号資産取引所で特に必要とされるセキュリティ対策に「コールドウォレット」と「マルチシグ」があります。それぞれについて説明します。
コールドウォレットとは、ネットワークに接続されていない状態で運用されているウォレットです。ネットワーク経由のサイバー攻撃をすべて遮断できるため、ウォレットをリモートの攻撃者から守ることができます。また、ネットワークに接続して運用されるウォレットはホットウォレットと呼ばれます。暗号資産取引所では、保持する資産をコールドウォレットとホットウォレットに分割して運用するのが一般的です。大半の資産をコールドウォレットで保持することでサイバー攻撃から保護し、可用性や流動性が求められる一部の資産をホットウォレットで運用します。
言葉を選ばずに言えば、盗まれても致命的な影響がない量の資産をホットウォレットで運用することになります。また、コールドウォレットは物理的な攻撃からも保護するために、厳密なルールに基づいて運用されています。
次に、マルチシグとは、暗号資産においては、ウォレットから送金するために複数の署名が必要とされる仕組みです。署名ができる秘密鍵を複数人に分割することで、仮に単一の秘密鍵が盗まれてしまっても、単独でウォレットから暗号資産が送金されてしまうことを防ぎます。マルチシグでは、秘密鍵の総数と署名に必要な数をそれぞれ決めることができ、署名に必要な秘密鍵を適切に分割することで、内部犯行を含めた盗難を防ぐことが可能です。ただし、マルチシグに対応しているかどうかは暗号資産の種類によって異なるので、注意が必要です。
その他のトピックはこちら
盗んだ暗号資産のマネーロンダリングについて
盗んだ暗号資産のマネーロンダリングは、無数のウォレットに暗号資産を分割することや、ダークウェブで暗号資産同士を交換することなどが考えられます。過去にあったインシデント事例も踏まえて、その内容について説明します。(全文はこちら)