bitbank(ビットバンク)の取り組み

bitbank(ビットバンク)は、

顧客資産の保護、安全性の確保を事業運営上の最優先課題としており、

法令に則り、日々顧客資産と自社資産の分別管理を実施しているようです。

 

仮想通貨の運用管理においては、いかにその安全性を高めつつ、

現実的な運用を行うかを突き詰めることを当面の課題!!

 

仮想通貨のセキュリティは、

仮想通貨を動かす際に必要な「秘密鍵」の運用方法を取っています。

仮想通貨に対する攻撃の種類とリスク

インターネットを通じた攻撃

インターネットに接続された環境では、常にハッカーなどの攻撃者によるリスクに晒されており、

その対応策として、bitbank(ビットバンク)は、コールドウォレットを全ての仮想通貨に対して管理しているようです。

 

マルチシグを用いたホットウォレットを用いることで、ノードを分散し攻撃難度を高めることも可能です。

しかし、トランザクションの発行や署名要請を行うサーバーに不正侵入される可能性等を考慮すると、リスク低減の観点では対策として不足しているのが現状です。

物理的な接触を通じた攻撃

オフライン環境においては、強盗・脅迫・拉致・ソーシャルエンジニアリング・内部犯行等のリスクがあるのが現状です。

 

他にも秘密鍵をハードウェアウォレットやペーパーウォレット等で管理する場合、

秘密鍵またはバックアップ用パスフレーズを盗まれてしまえば、仮想通貨の移転が可能になってしまいます。

 

そのため、内部犯行の可能性やその他の攻撃に対してリスク分散を講じる必要があり、

bitbank(ビットバンク)は、その対応策としてマルチシグを採用しています。

bitbank(ビットバンク)のマルチシグ・コールドウォレット運用管理について

コールドウォレットの適用状況

仮想通貨の種類 コールドウォレット
対応 未対応
ビットコイン
ライトコイン
リップル
モナコイン
ビットコインキャッシュ
イーサリアム

マルチシグの適用状況

仮想通貨の種類 コールドウォレット ホットウォレット
マルチシグ 非マルチシグ マルチシグ 非マルチシグ
ビットコイン
ライトコイン
リップル
モナコイン
ビットコインキャッシュ
イーサリアム

扱っている仮想通貨に対するそれぞれの対応

リップル

ビットコイン等の仮想通貨と異なり、複数のシードキーからマルチシグアドレスを導出することはできず、

マルチシグ化する親アドレスから、マルチシグに使用するアドレスを登録する方式をリップルでは採用中です。

 

そのため、マルチシグ化した親アドレスの秘密鍵が領域に残っていたり、

作業者が隠し持ったりするリスクが内在しています。

 

この点において、bitbank(ビットバンク)では、

親アドレスの秘密鍵を削除したことを証明しつつ、安全にマルチシグに移行するための方法論を優先的に検討中だそうです。

イーサリアム

イーサリアム・アドレスのマルチシグ化は、

ビットコインやリップル等と異なり、プロトコルレベルでなくスマートコントラクトを用いて行われています。

 

イーサリアムのマルチシグを巡り事故が相次いでいますが、

イーサリアムには、スマートコントラクトの脆弱性を突き、秘密鍵なしで不正移動できてしまうリスクが内在していました。

 

イーサリアムのこの脆弱性については、

セキュリティ面のリサーチを更に進め、マルチシグ化に向けて検討しているようです。

マルチシグに対応するコールドウォレットの運用方法について

コールドウォレットの構成

  • 複数人が個別に保管する秘密鍵
  • 署名用のオフラインコンピュータ(通信可能なチップは破壊済、記録媒体は一切含まれない)
  • 弊社独自開発のマルチシグ専用OS(DVD-ROMブート用)
  • トランザクション移動用専用物理デバイス

ホットウォレットの顧客資産の割合について

弊社のホットウォレットには顧客資産は含まれず、自己資産のみの運用している。

この事に関しては、金融庁へ既に報告済みです。

bitbank(ビットバンク)の今後の取り組みについて

部監視を含むセキュリティ強化に務め、セキュリティポリシーを見直した上で、

ユーザー・業界各社に対して仮想通貨のセキュリティ対策について更に強化していくことを検討しているようです。