一般社団法人ブロックチェーン推進協会(BCCC)は、コインチェックの仮想通貨流出問題を受け、緊急会見を行った。
一般社団法人ブロックチェーン推進協会 リスク管理部会長 山本敬介氏、副代表理事 杉井靖典氏
始めに同協会のリスク管理部会長 山本敬介氏が今回の事件の概要を解説。コインチェックへの不正アクセスにより同社に保管されていたNEM、5億2300万NEX(約580億円相当)が外部アドレスに送信されていることの判明した時点から、盗まれたNEMを日本円で返却するというというコインチェックの対応の発表までの経緯を、時系列に整理した。
「コインチェックはブロックチェーン推進協会の会員ではないが、会員には取引所もあり、当協会として議論は避けられないと判断した」(山本氏)
続いて、副代表理事 杉井靖典氏(カレンシーポート株式会社 代表取締役 CEO)が登壇し、初めにコインチェックの特長を整理した。
200万ユーザーを抱え月間取引高が4兆円にのぼること、FXを含んだ取引量ではビットフライヤーが国内一位とされるが、仮想通貨の現物としてはコインチェックが国内最大になること、また取扱銘柄が国内最多で入出金も即時に出来ることからライトユーザーが多いことなどが特長だという。そして杉井氏は「なぜ今回狙われたのか、どうすれば防げたのか」についての考察を語った。
秘密鍵をいかに管理するか
秘密鍵と公開鍵でアドレスを導出する仕組み
「今回のNEMに限らず、すべての仮想通貨はその特性上、秘密鍵が流出してしまうとシステムに侵入する必要がなく送金が出来てしまいます!秘密鍵をいかに厳重に管理するかに問題は集約されます」(杉井氏)
杉井氏はこう語り、仮想通貨の流れを以下のように解説した。
1)乱数を作る
2)公開鍵暗号ペアを作る
3)ウォレットアドレスを作る
4)トランザクションを作る
5)トランザクション署名を行う(マルチシグネチャなら署名を複数繰り返す)
6)トランザクションをブロックチェーンのネットワークに放送する
7)ブロックチェーンに取り込まれる
このうち、1)〜5)までは「オフラインで実施が可能」。この部分をインターネットにつないだまま運用するウォレットが「ホットウォレット」、ネットから分離して実施するウォレットが「コールドウォレット」になる。
「今みなさんがPCをインターネットに繋いでいて、その中に仮想通貨のウォレットがあればそれはホットウォレットです」(杉井氏)
取引所は所有者ごとにウォレットアドレスを事実上無限に作ることになり、このアドレスの鍵も膨大な数になり、鍵の適切な管理が行なわれなければ流出の可能性が増す。これについては、ブロックチェーンの技術の中で解決が可能だという。
「拡張公開鍵(xpub)」という方法により、秘密鍵に一切触れずに、公開鍵のみを追跡できるリードオンリーのための管理方法があり、それによって「ウォレットの振舞いの検知や追跡サービスへの利用」が可能となる。今回は、こうした技術の適用が出来ていなかったと杉井氏はいう。
拡張公開鍵の仕組み
