暗号資産とも呼ばれる仮想通貨は、ブロックチェーンの技術を応用しており取引の改ざんはほぼ不可能だ。しかし暗号資産の流出事件は発生している。その原因や対策ポイントについて、楽天ウォレット CIO 執行役員 佐々木康宏氏が昨秋開催の「Security Days Fall 2021」で語った。
●主なインシデントはウォレットの秘密鍵漏えい
暗号資産の流出事件としては 2018 年 1 月に発生したコインチェックのインシデントが有名だ。被害総額も 580 億円と国内では類をみない巨額なものとなっている。この事件の影響で、2017 年から始まった暗号資産取り扱い事業者の新規登録が止まったほどだ。
2018 年 9 月には 67 億円の流出事件、2019 年は 35 億円、2021 年には 100 億円規模の流出もあったとされる。
これらのインシデントは、すべてホットウォレットの秘密鍵の情報が盗まれることによって発生した。暗号資産の取引事業者は、ビットコインなど顧客の暗号通貨のブロックチェーン情報を管理している。顧客からの入出金(ウォレットから暗号資産の移動)処理は、顧客と事業者間の公開鍵暗号方式による認証と暗号化通信を利用する。
この秘密鍵の情報が漏れると、取引事業者は正規の取引依頼と悪意による取引依頼の区別ができない。ビットコインの金額や取引情報はブロックチェーンによって保護されているが、そのビットコインにアクセスできる鍵情報が入手できれば、正当な持ち主として移動が可能になる。
ブロックチェーンは P2P 技術を利用しているため、中央管理サーバーや管理主体は存在しない。正しい鍵情報による取引(送金処理)はインターネット上の「マイナー」と呼ばれる仮想通貨の発掘者による暗号解読処理(正確には特定の条件を満たすハッシュ値の算出)によって承認される。銀行などが送金処理を主体的に管理する方法とは違うので、取引事業者が不正な取引を検知することは困難だ。
