SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

EnterpriseZine Day 2022

2022年6月28日(火)13:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Online Press

コインチェック事件でブロックチェーン推進協会が会見。「秘密鍵管理」の問題を指摘


 580億円相当の仮想通貨NEMが取引所コインチェックから盗まれた問題で、ブロックチェーン協会が1月29日に会見をおこなった。今回の原因として「秘密鍵の管理」の問題を指摘。また事件への対処が今後のブロックチェーン技術の進歩につながる可能性もあると述べた。

 一般社団法人ブロックチェーン推進協会(BCCC)は、コインチェックの仮想通貨流出問題を受け、緊急会見を行った。

一般社団法人ブロックチェーン推進協会 リスク管理部会長 山本敬介氏、副代表理事 杉井靖典氏

 始めに同協会のリスク管理部会長 山本敬介氏が今回の事件の概要を解説。コインチェックへの不正アクセスにより同社に保管されていたNEM、5億2300万NEX(約580億円相当)が外部アドレスに送信されていることの判明した時点から、盗まれたNEMを日本円で返却するというというコインチェックの対応の発表までの経緯を、時系列に整理した。

 「コインチェックはブロックチェーン推進協会の会員ではないが、会員には取引所もあり、当協会として議論は避けられないと判断した」(山本氏)

 続いて、副代表理事 杉井靖典氏(カレンシーポート株式会社 代表取締役 CEO)が登壇し、初めにコインチェックの特長を整理した。

 200万ユーザーを抱え月間取引高が4兆円にのぼること、FXを含んだ取引量ではビットフライヤーが国内一位とされるが、仮想通貨の現物としてはコインチェックが国内最大になること、また取扱銘柄が国内最多で入出金も即時に出来ることからライトユーザーが多いことなどが特長だという。そして杉井氏は「なぜ今回狙われたのか、どうすれば防げたのか」についての考察を語った。

秘密鍵をいかに管理するか

秘密鍵と公開鍵でアドレスを導出する仕組み

 「今回のNEMに限らず、すべての仮想通貨はその特性上、秘密鍵が流出してしまうとシステムに侵入する必要がなく送金が出来てしまいます!秘密鍵をいかに厳重に管理するかに問題は集約されます」(杉井氏)

 杉井氏はこう語り、仮想通貨の流れを以下のように解説した。

1)乱数を作る
2)公開鍵暗号ペアを作る
3)ウォレットアドレスを作る
4)トランザクションを作る
5)トランザクション署名を行う(マルチシグネチャなら署名を複数繰り返す)
6)トランザクションをブロックチェーンのネットワークに放送する
7)ブロックチェーンに取り込まれる

 このうち、1)〜5)までは「オフラインで実施が可能」。この部分をインターネットにつないだまま運用するウォレットが「ホットウォレット」、ネットから分離して実施するウォレットが「コールドウォレット」になる。

 「今みなさんがPCをインターネットに繋いでいて、その中に仮想通貨のウォレットがあればそれはホットウォレットです」(杉井氏)

 取引所は所有者ごとにウォレットアドレスを事実上無限に作ることになり、このアドレスの鍵も膨大な数になり、鍵の適切な管理が行なわれなければ流出の可能性が増す。これについては、ブロックチェーンの技術の中で解決が可能だという。

 「拡張公開鍵(xpub)」という方法により、秘密鍵に一切触れずに、公開鍵のみを追跡できるリードオンリーのための管理方法があり、それによって「ウォレットの振舞いの検知や追跡サービスへの利用」が可能となる。今回は、こうした技術の適用が出来ていなかったと杉井氏はいう。

拡張公開鍵の仕組み

次のページ
「コールドウォレット」「マルチシグネチャー」併用はなぜできなかったのか

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
Security Online Press連載記事一覧

もっと読む

この記事の著者

京部康男 (編集部)(キョウベヤスオ)

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/10343 2018/01/30 20:02

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年6月28日(火)13:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング