暗号資産をハッカーから守る方法・よくあるハッキング手法を解説します！暗号資産事業を始めるヒトは必見です😎

こんにちは！

暗号資産の攻撃事例だと、数年前の Coincheck (コインチェック)事件によるネム(NEM)の大量流出はまだ記憶に新しいかと思います。ホットウォレットの脆弱性に対する攻撃となり、大規模な経済的な損失となりました。

また、マカフィーの「サイバー犯罪の隠れたコスト (The Hidden Costs of Cybercrime)」という報告書には、2020年の最初の 5 ヶ月で 40 億ドルの暗号通貨が盗まれたと書かれています。暗号通貨は今、投資家の間で人気が高まっている一方で、ハッカーの標的にもなっています。そこで、本記事ではハッカーが暗号資産を盗む一般的な方法や資産を保護するためのヒントをお届けします。ブロックチェーン上の仮想通貨取引所ネットワークで、暗号資産を売買する際にセキュリティーを強化することの重要性を、最近起きた詐欺被害を例に説明します。

想定する読者

• 暗号通貨で資産運営を考えているヒト
• 暗号資産事業を始めるヒト
• ブロックチェーン開発を行っているヒト

はじめに

本記事では、ハッカーによる暗号資産の一般的な盗み方と資産を保護するための安全対策について説明します。

ハッカーによる暗号資産を盗む方法

ハッカーが暗号資産を盗む方法は大きく分けて2つあります。1つは暗号資産を直接盗む方法です。もう1つはユーザーをだまして暗号資産を渡してもらう方法です。

個人や企業が暗号通貨に投資する場合、通常ブロックチェーン上の仮想通貨取引所を通じて行います。まずアカウントを作成し、暗号資産に変換するためにアカウントに通貨を入金します。暗号通貨は通常、保管用のウォレットに保持されていて、取引所と所有者だけが暗号資産を管理・保存する秘密鍵（プライベートキー）にアクセスできます。

従来の銀行が限られた量の現金しか保有していないのと同様に、ブロックチェーン上の取引所ネットワークのホットウォレットには、顧客の取引に必要な分の暗号通貨しか保有していません。ホットウォレットは暗号資産をオンラインで保管するストレージです。一方、コールドウォレットは暗号通貨にアクセスするために必要な秘密鍵をオフラインで保管します。

中央集権の銀行とは異なり、現在の政府は、取引所が閉鎖された場合に暗号預金を保証する金融プロトコルがありません。取引所がサイバー攻撃に襲われて、暗号資産が失われたり盗まれたりした場合、資産はユーザーの元に戻ってきません。ブロックチェーンネットワークの性質上、資金を盗む個人やハッカーのグループを追跡することはほぼ不可能です。

CoinCheckのNEM 流出事件では、このホットウォレットの脆弱性が攻撃対象となりました。コールドウォレットはオフラインで暗号資産を管理するのに対し、ホットウォレットはオンラインで暗号資産を管理します。そのため、ホットウォレットは利便性がある替わりに、大きなセキュリティホール（脆弱性）となってしまいます。CoinCheck は現在、暗号資産の管理をインターネットとは断絶したコールドウォレットへ移行を行ったため、既に対策済みと言えるでしょう。

一般的な暗号詐欺の種類

暗号詐欺にはいくつかの種類があります。2022年のオーストラリア競争消費者委員会（ACCC）の「詐欺の小さな黒い本 (The Little BlackBook of Scams)」で紹介されている一般的な詐欺の種類を紹介します。

1. メールフィッシング

詐欺師が迷惑メールを暗号資産のアカウントに送り、ユーザーのログイン情報を要求する方法です。報酬を振り込むと持ちかけ、アカウント情報を不正に入手し、個人の暗号資産投資へ不正アクセスする場合があります。 

2. 投資詐欺

投資詐欺は、実際の暗号取引プラットフォームの偽のバージョンを作成することで行われます。プラットフォームが合法であるとユーザーに信頼させるため、SNS に投資のチャンスがあると偽の広告を投稿している場合もあります。大規模なハッキングでは、大量の詐欺師が暗号投資について個人にコンタクトを取っているケースもあります。偽のプラットフォーム上に振込された暗号通貨を被害者は取引することができ、詐欺に遭ったことに気づかない可能性があります。ただし、追加料金・税金・待機期間があると伝えられ、投資の収益を引き出すことができないように仕向けられます。

3. ロマンス詐欺

ロマンス詐欺は、偽のプロフィールを作成し、出会い系アプリやウェブサイトでターゲットユーザーとマッチすることで行います。被害者とのコミュニケーションを始めると、医療費などの緊急事態によりお金が必要なので、暗号通貨で送ってほしいと要求します。または、被害者に暗号通貨の投資に参加するよう説得するという別のアプローチを取る詐欺師もいます。被害者が暗号通貨アカウントを持っていない場合、詐欺師は暗号通貨の始め方などをアドバイスを提供するかもしれません。その際、個人のデバイスにリモートアクセスソフトウェアをダウンロード・インストールすることを推奨し、暗号資産投資アカウントへアクセスする詐欺師も存在します。

ハッカーから暗号通貨を守る方法

暗号通貨への投資と管理するための安全対策について見てみましょう。

1. コールドウォレットを使用する

コールドウォレットは、暗号通貨をオフラインで安全に保管する USB ドライブのようなハードウェアデバイスです。ウォレットを復元し、保存された暗号資産にアクセスするためのコードである個人の暗号キー（秘密鍵）とリンクされています。ハードウェアのウォレットは、オンライン上のホットウォレットよりサーバー攻撃を受けにくいので、代わりに使われています。しかし、コールドウォレットにも欠点があります。ユーザーがウォレットのパスワードを紛失した場合、暗号通貨にアクセスできなくなります。

ホットウォレットを使うと、ユーザーはインターネット経由で資金にすばやくアクセスし、使用できます。しかし、オンラインウォレットにはサーバー攻撃を受けやすいという大きな欠点があります。例えば、ハッカーがユーザーの投資口座にアクセスした場合、オンラインストレージではすべての資金を盗むことが可能です。多くのサーバー攻撃が確認されていますが、中でも 2019 年の日本の取引所・BITpointへの大規模な攻撃は印象に残ります。BITpoint は合計 3200 万ドルがホットウォレットから違法に引き出され、5 万人以上のユーザーに影響を与えたハッキングを報告しました。そして、コールドウォレットと現金で保有しているユーザーへの影響はなかったと指摘しました。 

2. VPN はあなたの味方

暗号投資を取り扱う場合、公共の Wi-Fi ネットワークではなく、安全なプライベートのインターネット接続を使用することをお勧めします。VPN（仮想プライベートネットワーク）は、ユーザーのオンラインでのトラフィックを暗号化し、IP アドレスと場所を変更する技術です。VPN を使うことで、ハッカーなどの第三者からユーザーのオンラインデータや閲覧履歴を簡単に保護できます。

3. デバイスを保護する

パソコンなどの個人用デバイスを保護することは、効果的な安全対策だと言えます。システムをアップデートしたり、強力なアンチウイルス・ファイアウォール保護のインストールするなどのステップを怠らないことで、サイバー攻撃からデバイスを保護できます。これらのステップを行えば 100 %安心なわけではありませんが、暗号資産投資家にとって必要不可欠な防御方法です。

4. パスワードを定期的に更新する

統計では、51% の人が個人のアカウントと仕事のアカウントで同じパスワードを使っています。同じパスワードだと便利だと感じますが、ユーザーのパスワードが盗まれた場合、会社のデータにアクセスされてしまいます。

各アカウントで一つひとつ異なる、強力で複雑なパスワードを使用することが重要です。面倒に感じるかもしれませんが、数十から数百までのログイン情報を管理できるパスワードマネージャーやシングルサインオン(SSO)を使うと管理が楽になります。さらに、セキュリティーを強化するために、2 要素認証（2FA）や多要素認証（MFA）を有効にすることをお勧めします。

これらの対策で、ハッカーによる暗号資産投資アカウントへの不正アクセスが困難になります。

5. フィッシング詐欺にご注意ください

前にも述べたように、フィッシング詐欺はユーザーの暗号通貨を盗む一般的な方法です。怪しいメールや広告が急に届いた場合、注意が必要です。現代のハッカーは様々な攻撃法を研究し、計画的に洗練された攻撃方法を持っています。

例えば、ブロックチェーン取引所の従業員と幹部を調査し、電子メールアドレスと役職を探り出します。従業員や幹部の情報を利用しながら偽の電子メールを送り、悪意のあるリンクをクリックさせます。ユーザーがログイン情報またはキーを入力した時点で、すべての暗号資産が盗まれます。

ハッキングの例

今年の1月17日、Crypto.comは 1500 万ドル相当のイーサリアム（ETH）と 1900 万ドル以上のビットコイン（BTC）、そしてその他の暗号通貨で 66,200 ドルのハッキング被害があったことを発表しました。このサイバー攻撃の標的は 483 人のユーザーでしたが、総損失は 3400 万ドル以上に及びました。この会社によると、ハッカーは 2 要素認証を通り抜け、ユーザーのアカウントにて暗号取引が行われていたことが分かりました。2 要素認証も有力ですが、暗号資産や個人情報を保護するためには多要素認証のほうが安全です。

世界最大の暗号取引所の 1 つとして知られる Crypto.com のプラットフォームは、常にハッカーのターゲットとなっています。悪意のあるハッキングがなくなればいいのですが、現実には機密データや暗号資産は価値があり、標的にされやすいです。

まとめ

この記事では、ハッカーが暗号資産を盗む一般的な方法・暗号資産を安全に保つためのヒント・総合性のあるセキュリティーの重要性について例を挙げて説明しました。

暗号資産を守るためには、1 つのセキュリティー対策を実行するだけでは不十分です。365 日 24 時間、データ保護をする安全対策が必要です。コールドウォレットの使用・安全なデバイスのメンテナンス・強力なパスワードの作成などを実行し、顧客のデータをハッカーから保護することが大切です。

解決策の 1 つに、クレジットカード番号から銀行口座番号まで、元のデータをトークンと呼ばれるランダムに生成された番号に置き換えるトークン化があります。トークン化されたデータは、Coinbase などのブロックチェーンプラットフォームに暗号通貨を保存・管理・処理するために使用できます。暗号とは異なり、トークンは元に戻せず解読不能なので、暗号通貨の保護に効果的なアプローチです。

Web3 、サーバーレスに関する開発はお気軽にご相談ください。