先日、日本の暗号資産取引所(CEX)であるDMM Bitcoinから482億円相 当のビットコインが流出し大きな話題となりました。現時点では同社から不正流出に関する原因について詳しい言及はされていません。しかし、秘密鍵の管理に隙があり、それが原因といった説が有力視されています。それ以外にも、昨年から秘密鍵の流出によるハッキング被害が非常に増加しています。
今年のQ1(1月〜4月)には13件の秘密鍵の流出事件が起こり、それらの被害額の合計は4億6,000万ドル(約738億円)となっています。また、この四半期及び昨年1年間を通して、Web3.0ハッキングによる損失のうち、秘密鍵を不正に取得した攻撃手法は全体の約6割にも及び、最も大きな割合を占めています(※1)。
※1: 2024Q1 Global Web3 Security Report, AML Analysis & Crypto Regulatory Landscape 参照
1.シードフレーズの安全な保存
秘密鍵はシードフレーズから生成されます。そのため、シードフレーズの管理も非常に重要になります。基本的なことではありますが、シードフレーズは写真で保存したり、メモアプリなどに記録しておくのはやめましょう。原則としてオンライン上にシードフレーズを露出しないようにすべきですので、コピーしてチャットで誰かに送ることや、ChatGPTのようなAIに書き込むことも避けるべきです。
一般的には紙にメモして金庫などの安全な場所に保管する方法がとられますが、さらにこだわりたい人は、シードフレーズを保管するために金属板の製品を利用すると良いでしょう。
2.コールドウォレットを使用
コールドウォレットとは、インターネットに接続されていない状態のウォレットを意味します。これにより、ウォレットのなかに保存されている秘密鍵がオフライン状態となるため安全性が向上します。
一般的に使われるウォレットアプリは基本的にはインターネットに常時接続されているため、マルウェアなどによって端末がハックされた時に秘密鍵も同時に盗まれてしまいます。
コールドウォレットを利用する際は、ハードウェアウォレットを活用するのが一般的です。実用性に関しては劣りますが、資産保管用ウォレットをコールドウォレットとしておくと、安全性高く資金を保持できます。
3.マルチシグウォレットの活用
マルチシグウォレットとは秘密鍵を分割し、複数人で管理するウォレットです。トランザクションを実行する際には全員もしくは一定割合の鍵保有者が署名する必要があり、分散化することで安全性を高めることができます。秘密鍵の紛失や、複数人で確認するため誤送信のリスクも低減することができるといったメリットがあります。企業が資産管理の際に導入するケースが多く、取引所などでも活用されています。
◉杜 瑪(To Ma)
株式会社KEKKAI CEO
高校卒業後、中国から来日し、大学在学中に起業。2023年1月には株式会社KEKKAIを設立。ブロックチェーンセキュリティーソリューションの提供等を展開する。現在はトランザクションのシミュレーション分析により、危険検知ができるWeb3.0セキュリティプロダクト「KEKKAI Plugin」や、NFT詐欺検出・取引シミュレーションができるAPI・SDKサービス、法人向けのWeb3コード監査事業をリリース。今後は現状のサービス向上と、さまざまな角度からユーザーのセキュリティ性改善のための製品をリリースし、業界全体の環境改善に貢献している。
Interview Iolite FACE vol.10 デービッド・シュワルツ、平田路依 PHOTO & INTERVIEW「ゆうこす」 特集「日本国内の暗号資産業界動向」「トランプvsハリス 暗号資産業界はどうなる? 」「評価経済社会は予言書だったのか」 Interview :株式会社メタプラネット サイモン・ゲロヴィッチ、CALIVERSE キム・ドンギュ 連載 Tech and Future 佐々木俊尚…等
