仮想通貨におけるハッキングについて

2022年4月7日 2022年5月20日

shigure

多額のお金が盗まれる事件としてスグに思い浮かぶのは、3億円事件だと思います。いったいどのようにして盗んだのか？犯人はいったい誰なのか？今でもその真相は闇の中です。

しかし、仮想通貨の世界ではその金額を遥かに上回るお金がハッカー達によって盗まれています。日本だと2018年1月に発生したCoincheck(コインチェック)の仮想通貨NEMのハッキング流出事件が記憶に新しいと思います。

Coincheck事件は約580億円の被害です。3億円事件が霞んで見えるほどの額ですね。今回はこの仮想通貨におけるハッキング事件に触れつつ、私達投資家の側がどのようにそれと向き合えば良いのか？考えてみたいと思います。

仮想通貨取引所にハッキングを仕掛けるハッカー達
仮想通貨の多数決方式を利用したハッキングの手口・51％攻撃
仮想通貨のハッキングの手口として、ハードウェアウォレットを狙われることも
まとめ
仮想通貨
関連記事

仮想通貨取引所にハッキングを仕掛けるハッカー達

素人目には難しく下手をすれば簡単に逮捕されそうなものですが、仮想通貨取引所そのものを狙うハッカー達は結構います。彼らはまず仮想通貨取引所で働く従業員宛にフィッシングメールなどを送ります。

そのメールにはプログラム可能なデバイス、サービス、ネットワークに害を与えたり、悪用したりすることを目的としたコード（ペイロード）を仕込み、仮想通貨取引所のネットワーク内に侵入を果たします。

最初にハッカー達が狙うのは仮想通貨取引所のフィッシングメールに引っかかりやすような末端の従業員です。その入りやすい部分から進入して、経理担当者やウォレットの保管場所、そのお金がどのように保護されているのかなど、実際にお金を盗むための分析を彼らは開始します。

このパターンはBinance（バイナンス）やCoincheck(コインチェック)が日本では有名だと思います。

この取引所を狙うパターンは、社員教育を徹底したりセキュリティホールが発見次第、すばやく埋めるなど取引所側に頑張ってもらう以外ありません。投資家の側ができるのは、取引所を良く調べて最終的には信じること以外無いです。

仮想通貨の多数決方式を利用したハッキングの手口・51％攻撃

仮想通貨には中央銀行のような管理機関が存在しません。権限が世界中のユーザーに分散しています。そのため仮想通貨取引ではPoW (プルーフ・オブ・ワーク) という承認システムを採用しています。取引が正しく行われたかどうかを承認する作業を、世界中のPCのリソースを借りて承認作業を行うのです。

一見これは堅牢に見えますが落とし穴があります。これは、いわゆる多数決方式なので51％の人が正しいと認めてしまえば、どんなに間違った取引でも正当な取引として成立してしまうのです。

PoWを支える人は世界中に散らばる、仮想通貨を採掘するマイナー達です。仮想通貨は承認作業が一番速くできたマイナーに多くの報酬が支払われる仕組みです。そのためスペックの高いPCを複数使い、組織的にマイニングした方が有利です。

非中央集権が売りのハズなのに、マイニング作業の独占が可能なのです。51%攻撃とは一部の集団が、マイニング作業の独占をしてしまえば、いずれその占有率が51％以上に達し中央集権化し、取引記録の改竄などが可能になってしまうことを指します。

考えてみれば当然なのですが、マイナー参加者が少ない仮想通貨ほど51％攻撃の餌食になりやすいです。また大手マイニング業者同士が結託をすれば、51％攻撃が可能になります。

51%攻撃の実例としてはMonacoin（モナコイン）やBitcoin Gold（ビットコインゴールド）などが有名です。いずれもマイナー参加者の少ない仮想通貨です。

投資家としてはボラティリティの高さに目がいきがちですが、プレイヤーが少なくマイナーも少ない仮想通貨は51％攻撃のリスクもあることを、しっかりと考慮しないといけないと思います。

仮想通貨のハッキングの手口として、ハードウェアウォレットを狙われることも

秘密鍵や公開鍵を生成する根源。シードフレーズを保存するハードウェアウォレット。通常このハードウェアウォレットは非常に堅牢だと言われています。ハードウェアウォレットとはシードフレーズと秘密鍵を上手く分離します。ハードウェアウォレットをPCに接続してPINを入力しないと、第三者である盗賊がどうこうすることは不可能なのです。

ただし、これほど堅牢なハードウェアウォレットと言えども抜け道が存在します。マルウェアを仕込んだハードウェアウォレットを投資家に送りつけて、そこから仮想通貨を盗む方法です。

Victims of the July 2020 Ledger hack are receiving fake hardware wallets.

Below is a fake letter that a victim received, with a malicious hardware wallet.

Be wary of scammers! pic.twitter.com/whXYF9RoQ7
— Bitcoin Magazine (@BitcoinMagazine) June 17, 2021

実際に過去にはLedger社のCEOの著名の手紙を添えてハードウェアウォレットを送りつける事件は発生しています。この事件は明らかに正規のLedgerの商品じゃないと分かるので、雑なやり方をしているので、あんまり騙される人はいないだろうと思えるような事件でした。

ただ、例えば『Amazonで電子機器などを購入したけど、粗悪品をつかまされた』なんて事件は日本では最近、良く耳にします。

なので『小規模な中古品販売業者を装って、マルフェアを仕込んだハードウェアウォレットを買わせる』なんてことは、この日本でも可能だと思います。特にAmazonや楽天のような有名なサイトではなくて、もっとマイナーなサイトなら数回やって逃げるとかだと、足がつかない可能性もあります。

さすがに、いきなり送られてきたハードウェアウォレットを自分のパソコンに接続するような、そんな危険なことをする人はあんまりいないと思います。しかし、『中古だけど安全だと思って買ってみました』という形で自分のPCがマルウェアに感染して、被害に合ってしまうのは可能性としては意外に高いのかなと私は思います。

まとめ

以上、仮想通貨におけるハッキングについて書いてみました。長期・短期、テクニカル・ファンダメンタルズとスタイルの違いがりますが、取引する仮想通貨のセキュリティ面は常に考慮しておきたい要素です。私は短期のテクニカル分析が主体なので、実際の取引ではアルトコインにはあまり手を出しません。

プレイヤーが少なくマイナーの数も少ないので、セキュリティ面であまり心配を抱えるのが嫌なので……。またハードウェアウォレットは、よほどのことが無い限り堅牢なので利用しますが、そもそも仮想通貨取引所がハッカーに攻撃されてしまえば投資家である私は、どうしようもありません。運用するお金はすべて無くなっても良い額のお金しか運用しないようにしています。

カーティス・フェイス氏著の『伝説のトレーダー集団タートル流投資の魔術』に書いてありますが、確かに投資の世界は賢い人が多いです。プロ勢からは歴史や金融工学をバリバリに学んだ機関投資家達。アマチュアからは医者やプログラマー、カジノのギャンブラーまで、いろいろな賢い人が市場に参加をして、お金の奪い合いをしています。

しかし、ハッカーはそれに匹敵するか、それ以上の賢い連中です。コンピュータサイエンスの知識があるから、当たり前のようにソフトウェア開発の技術があります。また当たり前のように語学力や数学力まで持ち合わせています。「投資なんかで自分の資産をリスクに晒すよりも、ハッキングして仮想通貨を盗んだ方が儲かるしリスク無いよな？」と考えて本当に実行して、しかも逃げ切るような有能な連中なのです。

『仮想通貨投資をやる以上は、自分がハッキングに巻き込まれるリスクは0にできない』と割り切るのが私は賢明なのかなと思って仮想通貨と向き合っています。