ビットバンクが実施する仮想通貨ウォレットのセキュリティ対策について

  • このエントリーをはてなブックマークに追加

平素はビットバンクをご利用いただきありがとうございます。

2018年9月20日に公表されたテックビューロ株式会社の仮想通貨の不正流出(以下「本事象」と言います。)を受け、多くのお客さまよりビットバンク株式会社(代表取締役CEO 廣末紀之、以下「当社」と言います。)のセキュリティについてお問い合わせいただいております。当社は顧客資産の保護・安全性の確保を事業運営上の最優先課題としておりますが、お客さまに安心してビットバンクをご利用いただくため、改めて当社が行っている仮想通貨ウォレットのセキュリティ対策についてご説明申し上げます。

お客さまの仮想通貨の保管について

当社で管理するホットウォレットは分別管理の対象外となる仮想通貨によって運用されており、お客さまの分別管理対象資産は含まれておりません。お客さまに安心してご利用いただくため、お客さまの仮想通貨は当社が管理するコールドウォレットで保管しております。

ウォレットシステムの点検について

本事象を受け、当社のセキュリティについて再点検を行いました。その結果、当社のホットウォレット、コールドウォレットからの仮想通貨の不正流出は確認されませんでした。また、セキュリティ上の重要な脆弱性も検出されませんでした。

引き続き、当社はお客さまに安心してご利用いただくため、内部監視を含むセキュリティの強化に努めてまいります。

当社の取り組みについて

仮想通貨の運用管理においては、いかにセキュリティ上の安全性を高めつつ、現実的な運用を行うかを突き詰めることが至上命題となりますが、特に重要なのは、仮想通貨を動かすにあたり必要な「秘密鍵」の運用方法です。

以下で仮想通貨を狙った攻撃の概念を改めて紹介し、それを防止するために当社が行っている運用管理方法についてご説明いたします。

仮想通貨に対する攻撃の種類とリスク

インターネットを通じた攻撃

インターネット接続された環境は、常に攻撃者によるリスクに晒されています。秘密鍵がインターネット接続可能なデバイスに保管されている場合、攻撃者はサーバーまたはPC、スマートフォンの脆弱性を突き不正操作を行うことができる可能性があります。

攻撃者は所在を問わず不正侵入を試みることができるため、インターネット環境における秘密鍵の管理は最も脆弱です。

この点に対する対応策が、コールドウォレットです。

マルチシグを用いたホットウォレットを用いることで、ノードを分散し攻撃難度を高めることも可能です。しかしながらトランザクションの発行や署名要請を行うサーバーに不正侵入される可能性等を考慮すると、リスク低減の観点では対策として不足しています。

物理的な接触を通じた攻撃

オフライン環境においては、既に国内外でいくつかの事例もございますが、依然として強盗や脅迫、拉致、ソーシャルエンジニアリング、内部犯行等のリスクがあります。秘密鍵をハードウェアウォレットやペーパーウォレット等で管理する場合、秘密鍵またはバックアップ用パスフレーズを盗まれてしまえば、仮想通貨の移転ができてしまいます。

そのため、内部犯行の可能性やその他の攻撃に対してリスク分散を講じる必要がございます。

この点に対する対応策が、マルチシグです。

当社のマルチシグ・コールドウォレット運用管理について

当社は下記の構成を適用することで、お客様資産の保護に努めています。

コールドウォレットの適用状況

仮想通貨の種類コールドウォレット
対応未対応
ビットコイン
ライトコイン
リップル
モナコイン
ビットコインキャッシュ
イーサリアム

マルチシグの適用状況

仮想通貨の種類コールドウォレットホットウォレット
マルチシグ非マルチシグマルチシグ非マルチシグ
ビットコイン
ライトコイン
リップル
モナコイン
ビットコインキャッシュ
イーサリアム

当社はコールドウォレットを適切に使用することで、インターネットを通じた攻撃に対して充分なセキュリティを担保できると考えております。したがって、当社が取り扱う仮想通貨に関しては、コールドウォレットの運用手法が確立されたものを取り扱うこととしております。

しかしながら、秘密鍵を厳重に保管していたとしても、上記した物理的な接触を通じた攻撃に対して万全であるとは言えません。そのため、マルチシグへの対応に関しても、当社の仮想通貨セキュリティチームが安全性検証を終えたものから、適時マルチシグに移行しております。

イーサリアム

イーサリアム・アドレスのマルチシグ化は、ビットコインやリップル等と異なり、プロトコルレベルでなくスマートコントラクトを用いて行われます。

先般、イーサリアムのマルチシグを巡り事故が相次いでいる()ように、スマートコントラクトの脆弱性を突き、秘密鍵なしで不正移動できてしまうリスクが内在しておりました。本脆弱性については既にパッチが当てられているものの、プロトコルレベルのマルチシグではなく、依然セキュリティに懸念があることから、当社においては当面の採用を見送っている状況です。

イーサリアムにおいても、引き続きセキュリティ面のリサーチを進め、マルチシグ化に向け検討を行っていきます。

マルチシグに対応するコールドウォレットの運用方法について

コールドウォレットの構成

  • 複数人が個別に保管する秘密鍵
  • 署名用のオフラインコンピュータ
    • 通信可能なチップは破壊し、記録媒体は一切含まれません
  • 当社独自開発のマルチシグ専用OS
    • 外部メディアを用いてコンピュータをブートします
  • トランザクション移動用専用物理デバイス

ホットウォレットの顧客資産の割合について

当社のホットウォレットには分別管理の対象となる仮想通貨は含まれておりません。

今後の取り組みについて

当社は、お客さまに安心してご利用いただくため、引き続き内部監視を含むセキュリティ強化に努めてまいります。また、本事象を踏まえ仮想通貨管理に関する継続的なセキュリティの見直しを行い、仮想通貨交換業者としてのベストプラクティスとなるソリューションを提案してまいります。

今後ともビットバンクをよろしくお願い致します。

以上