仮想通貨取引所のリスクと不正送金防御

仮想通貨を試用し始め、取引所を海外含めていくつか開設しました。

そんな中で、「仮想通貨取引　不正アクセスで被害　33件」というニュースが流れてきました。

ブロックチェーン技術がセキュリティ的に強いとしても、その入り口が弱いのであれば話になりません。

ここでは、仮想通貨取引所に関するリスクを明確にし、不正送金の防御について、証券会社や銀行と比較して説明し、対策としてどうすべきかを考えてみました。

また、証券会社や銀行がセキュリティ的に万全かというと、そうでもなく、会社によって対応がばらばらで不安のある会社/安心できる会社がある、ということを前提にお話します。

本件は、過去にブログで、北朝鮮からの攻撃に対して検討していました。

 

証券会社と銀行のリスクに対するおさらい

まずは、おさらいをします。

ハッキング/ID,PWD盗難などの攻撃を受けた場合ですが、証券会社の場合は、お金を引き出す時には、本人名義の銀行に振り込む必要があります。

よって、もしかしたら、保有している株などをいたずらさせて安く売り払われるかもしれませんが、直接お金を他人の口座に引き落とせないので、そこは安心です。

また、たとえば、北朝鮮から核兵器が使用された場合のシステムの物理的遠隔地冗長性ですが、これは、きちんとやっている会社とそうでない会社があります。

ここは、要注意です。

総じて、証券会社のID/PWD、取引などの管理は、銀行に含めると弱い印象です。

 

次に銀行についてですが、これは、ハッキングされると不正送金される可能性があります。

よって、例えば、三菱東京UFJでは、ワンタイムパスワードカードという、小さな電卓みたいなカードを配布して、そこで入力したランダムの値と合致しないと、お金を送金、引き出しできません。

これは、そのカードさえ物理的に盗まれなければ、良いシステムです。

コンピュータ上にないので、ハッキングされません。

また、新生銀行では、ID/PWD以外に、取引の暗証番号、それから、配ってあるセキュリティカードの番号を指定された3つのランダムなパターンの数字を入れないと、ログインできません。

このカードもコンビュータ上にないので、ハッキングされません。

楽天銀行の場合は、ワンタイムパスワードがメールで送信されます。

ただ、そのメールはPC上なので、ハッキングされると破られる可能性はあります。

まとめると、まちまちではありますが、PC上にない、通知手段を設けた銀行は、セキュリティが強いです。

ただ、これらはハッキングやID/PWD盗難に関するものです。

遠隔地物理的冗長性については、対応している銀行もあれば、そうでない、あるいは情報開示してない銀行もあります。

一番、優秀なのは新生銀行で、東京、福岡、大阪と三ヶ所で、シスフムオペレーションは、東京とシンガポールという、海外分散まで図っています。

新生銀行はメインで使用しており、HPはシンプルで必要な機能のみで特に改善はないですが、最初からインド出身の人が、確か経営陣で参加し、強いシステムと、引き出し手数料が何回でも無料というとても魅力的な銀行です。

 

セキュリティキーボードの有無

次にセキュリティキーボードの有無についてですが、

自分の使用できる銀行、新生銀行、東京三菱UFJ、楽天、SMBC信託銀行(旧シティバンク)、りそな、はすべてセキュリティキーボード(キーボードからでなく、マウスのポインティングで英数字入力)がついてます。

ソフトウェアキーボードとか別名で呼ばれていることもあります。

証券会社は、24社もってますが、セキュリティキーボードがないのは、4社です。

ほとんどの会社は利用しています。

 

 

なぜ、セキュリティキーボードの方がいいかというと、普通のキーボードによる入力は、PCにソフトなどを外部から入れれば、盗むことができるからです。

ハードウェアキーボードインターセプターやキーロガーというソフトで盗まれるとのことです。

でも、セキュリティキーボードも万全ではなく、もしも操作する画面そのものがモニタされると盗まれる可能性があります。

 

仮想通貨取引所のセキュリティレベル

残念ながら、使用しているすべきの国内/国外の仮想通貨取引所は、セキュリティキーボード(SK/Bと以下約します。）がありません。

以下について調べて、リスクや不正送金の防御を検討します。

1. セキュリティキーボード
2. PC以外の物理媒体による認証
3. メールによる認証
4. SMSによる認証
5. リスク
6. 防御方法他

取引所	セキュリティキーボード	PC以外の物理媒体による認証	メールによる認証	電話/SMSによる認証	リスク	防御方法他
GMOコイン	無	無	有	有	SK/Bがない。ログインは、二段階認証だがメール認証なので盗まれる可能性あり。	○他の人への送金は、二段階で電話/SMSを使用しているのでここが壁になる。
東京JPY発行所	無	無	無	無	Gatehubの機能と連動。	Gatehubの機能に、もう一つ別の出金機能有。
Gatehub	無	無	無	携帯の認証アプリで有。	2 step verificationで携帯認証アプリを入れてなかったら、セキリュリティはとても弱い。	△ログインしたらその後は自由に送金ができるため必ず2 step verificationを申し込むこと。海外のWallet。
Bitpoint	有	無	無	無	他人への送金は、暗礁番号だけででき、その番号は、SK/Bはない。	△セキュリティキーボードが実際のタイプ入力と異なるという本質的な不具合があり使用できない。
coincheck	無	無	無	携帯の認証アプリで有。	ログイン時は、二段階認証で、携帯認証アプリ。但し、送金時は何の制約もない。ブラウザを閉じて、また開いてもログインされたままになっている。	△ログイン時とは別に送金時ももうひとつ認証が欲しいところ。
bitFlyer	無	無	有ログイン時	SMS/認証アプリ有	4ケタ暗証番号が****でなく、表示されている!	○メール追加認証でなく、必ずSMSor認証アプリで二段階認証を設定する。すると、ログイン/他人への送金はすべて二段階認証になる。
Ploniex	無	無	無	認証アプリ有	ログイン時は、二段階認証で、携帯認証アプリ。但し、送金時はメール認証レベル。	△ 2Factor認証はOptionなので必ず設定すること。他人への送金時に2F認証が欲しいところ。
Bittrex	無	無	無		ログイン時は、二段階認証で、携帯認証アプリ。送金時については不明だが、なさそう。	△ 2Factor認証はOptionなので必ず設定すること。
全般						ログイン時は、ブラウザにPWDを覚えさせないこと。 仮想通貨関連は、セキュリティが充分でない可能性があるので必ずPWDは違うものを設定する。

 

右端の欄に、独断で評価を○、△でしました。一番良さそうなのは、bitFlyerです。次にGMOコイン。

仮想通貨の送金というのは、銀行とは違い、訂正とか取り消しとか電話相談などないです。

一度送金したら間違えていても終わりです。

よって、この送金の部分というのは、必ず二重認証が欲しいですが、対応しているのは○のものしかなく、少ないです。ここは問題です。

また、要望事項としては、ログインは、セキュリティキーボードを必ずつけて欲しいです。

欲を言えば、セキュリティカードなどの物理的手段も欲しいです。

 

まとめ

仮想通貨取引所に関するリスクを明確にし、不正送金の防御について、証券会社や銀行と比較して説明し、対策としてどうすべきかを考えてみました。

他社へ送金する場合の二重認証が総じて弱いのと、ログインについても弱いものが多いです。銀行より弱いです。

かならず二重認証は設定すること、PWDはプラワザに記憶させない、PWDは取引所毎に変える、送金時に二重認証ないところにはなるべく資金をおかない、などで対応する必要があります。

特に海外の取引所は、問題があった時に連絡をとり、調整するのも日本よりは大変なので、同じ通貨を置くとすれば、日本の取引所になるべく移しておいたほうがよいでしょう。

また、一度になくならないように、取引所を分散して、利用するのも手です。

 

 

関連記事は以下です。

 

 

追記2017/12/03)　試用くらいはしてください、とのコメントもありましたので資金を投入しはじめました。

かなりの取引所をOpenして、論文を読んだりしています。現状は、Bitcoin中心にオルトコインを複数保有しており、国内取引所ではサービスが良くなり、リスク対応もしているbitFlyerを使うようになりました。

かなりの利益があがるようになりました。

基本的な認識は「ばくち」と思っており、投資割合は抑えてます。このバブルは近々何かの理由で崩壊するかもしれないし、2,3年から4,5年続くかもしれないと考えてます。よっていざという時に売り抜ける臨戦態勢にして資金を投入しております。