5月31日にDMMビットコインからビットコイン(BTC)の不正流出があり、まだ原因ははっきりしていないものの、マルウェアの侵入を許してしまった可能性が高いとみられています。
今後も暗号資産の盗難被害が増加するとみられており、2024年第1四半期にはハッカーが盗んだデジタル資産の総額が5億ドルを超えているとか。
2023年の同じ時期と比べて42%増となり、これからますます被害額が大きくなっていくのではと危惧されています。
今回は、暗号資産がハッキングされる危険性について勉強していきましょう。
暗号資産の誤解に注意!
暗号資産は、「危ない」とか「簡単に盗まれてしまう」と言われることもあります。
2014年のマウントゴックス社流出事件では、顧客が保有する75万BTCと預かり資産28億円が消失してしまいました。
この時のBTCは6万円前後であり、当時の被害額は4700億円以上にのぼっています。
メディアはこぞって
「ビットコインが取引停止!」
「暗号資産は危険!」
と騒ぎ立て、親御さんやおじいちゃん・おばあちゃん、親戚のおじさん・おばさんから「あんた仮想通貨なんてやめな!」と言われた人も多かったのではないでしょうか。
しかし、その当時よく取り上げられていたニュースの見出しには間違いがあります。
まず、BTCをはじめ暗号資産の仕組みである「ブロックチェーン」がハッキングされたことはただの一度もありません。
マウントゴックスにしろ、2018年に起きた被害額約580億円のCoinCheck流出事件にしろ、ハッキングされたのは取引所のシステムです。
これらの取引所は暗号資産の銀行にあたるわけですが、例えばどこかの銀行が強盗に入られたとして、「日本円は危ない!」と考える人はほとんどいないでしょう。
銀行のセキュリティに落ち度があったとか、たまたま行員が少ない時間帯を狙われたという原因があるかもしれませんが、「日本円が奪われやすい性質をしていた」というのはおかしな話だと思いませんか?
しかし暗号資産取引所が盗難被害に遭うと、なぜかみんな「暗号資産は危険だから手を出さない方が良い」と言うんですよね。
また、ハッキングされた取引所が入出金を停止したり、BTCの取り扱いを一時中止したりすることはあっても、「BTCの取引が世界的に停止する」ということはあり得ません。
別の取引所ではこれまで通りBTCの売買や送金が行われており、多少BTCの価格に影響があったとしてもすべての取引所で取引停止とはならないでしょう。
取引所がハッキングされやすいという事実は改善する必要がありますが、暗号資産には手を出さない方が良いというのは間違った判断だと思います。
なぜ暗号資産は盗み出されるのか
これまでに何度も暗号資産が盗み出されてきた原因は、ブロックチェーンなど暗号資産の仕組みに欠陥があるのではなく、取引所のセキュリティに問題があったから。
ブロックチェーンによって構築されている以上、暗号資産はむしろ安全性を確保されている資産なのです。
ではなぜ資産が盗まれたのかというと、簡単に言えば取引所が乗っ取られたことが原因となります。
強盗に遭った銀行と同じく、これまでハッキングされた多くの取引所でセキュリティシステムについて脆弱性が認められました。
中央集権的な取引所で暗号資産を取引する場合、ユーザーのログイン情報を使って保有額などの数字を付け替える作業が発生します。
実は取引所による売買の時にブロックチェーンは関与せず、取引所はユーザーの持っている暗号資産の数を増減するだけです。
例えばAさんからBさんへ1BTC送金する場合、Aさんの保有額を1BTC減らしてBさんの保有額を1BTC増やすという作業を行います。
取引所をハッキングすれば、ユーザー情報を勝手に操作して自分のウォレットに送金させることができます。
ブロックチェーンの鍵をこじ開けて資産を奪ったというよりは、取引所に侵入してデータを不正操作したというのが実際のところです。
ブロックチェーンのセキュリティ性って?
前段でお話ししたように、暗号資産が盗み出されたのは銀行の役割を持つ取引所のセキュリティ性の問題であり、暗号資産自体が悪いということではありません。
もしブロックチェーン自体に不正アクセスしてデータを書き換えようとするなら、その時の取引データだけでなく過去から未来へつながるすべてのデータも一緒に書き換える必要があります。
PoWの場合、ブロックチェーンを改ざんするにはコミュニティ全体の51%のマシンパワーを要します。
これだけの能力を用意するのは不可能に近く、もし改ざんが成功してしまったらBTCの価値はなくなってしまうでしょう。
たとえいくらかのBTCを不正に入手できても、ほとんど無価値になってしまったら元も子もありません。
だから、ブロックチェーンをハッキングしようとする輩はいまだかつて出てきていないのです。
ところが取引所をハッキングすれば、いとも簡単に資産が手に入ります。
ブロックチェーンの仕組みは誰でもシームレスに透明性の高い取引ができるというメリットがありますが、実際に被害が発生している以上、ブロックチェーンを必要としない取引所での取り扱いにおいて資産の流出を防ぐ機能はないのかもしれません。
これは分散型取引所(DEX)の場合も同様で、例えば詐欺サイトへアクセスすれば簡単に資産が抜かれてしまいます。
中央集権型取引所(CEX)がターゲットになることもあれば、DEXを使うユーザーが自らハッカーの罠にハマって資金を流出させてしまうこともあるのです。
CEXの場合は取引所のせいでもあるので補償対象となるケースも多いですが、DEXの場合は自分でメタマスク接続や署名を行うため自己責任となり、奪われたお金が戻ってくる可能性は極めて低いでしょう。
いずれにしてもブロックチェーンのセキュリティ性には関係のない話なので、「暗号資産に騙された!」と考えるのはお門違いです。
秘密鍵はどこに?CEXの落とし穴
メタマスクなど外部の暗号資産ウォレットを使っている人は、インストール時にシードフレーズの設定をしたと思います。
絶対失くしちゃいけないキーワードを物理的に保管し、スマホやパソコンのメモ帳には保存しちゃダメ!というアレです。
これを紛失すると資産が永久に失われてしまう可能性があるというので、緊張した人も多いでしょう。
いっぽうCEXの場合、ユーザーIDとパスワードを忘れても再発行が可能です。
それは秘密鍵を取引所で保管しているから。
自分で管理しなくていいから安心…とは言えないんですよ、実は(^_^;)
むしろweb3.0の世界では自分で自分の資産や個人情報を守るべきで、メタマスクは安全に自分の資産を守ることができるウォレットなんです。
CEXなら忘れっぽいユーザーも難なく口座を開設できますが、ハッカーから狙われやすい性質を持っています。
CEXは多額の資産、膨大なユーザー情報が手に入る場所です。
メタマスクユーザーをだますより簡単に、短時間で大量の秘密鍵を入手できます。
出金にも専用コードが使われているため、これをハッキングされれば不正流出ができてしまいます。
CEXはDEXよりはるかにユーザー数が多く、セキュリティのアップデートが遅れたり、取引が集中しやすかったりすることもハッキングを容易にする状況を作り出していると考えられるでしょう。
法定通貨と暗号資産のリスクの差についてはさまざまな意見があります。
しかし、重要なのはそれぞれのお金をどう扱うかではないでしょうか。
法定通貨も暗号資産も、性質上は「安全」でも「危険」でもないのです。
まあ、日本円を裸のままポケットに突っ込むより、暗号資産をメタマスクに入れている方がはるかに安全ですけどね(笑)
コメント