セキュリティ – 仮想通貨三昧 https://toushi-kasoutsuuka.com Sat, 16 May 2020 18:25:18 +0000 ja hourly 1 https://wordpress.org/?v=4.9.14 https://toushi-kasoutsuuka.com/wp-content/uploads/2018/01/cropped-1-1-32x32.png セキュリティ – 仮想通貨三昧 https://toushi-kasoutsuuka.com 32 32 仮想通貨保有時におけるウォレットの重要性 https://toushi-kasoutsuuka.com/2018/02/24/%e4%bb%ae%e6%83%b3%e9%80%9a%e8%b2%a8%e4%bf%9d%e6%9c%89%e6%99%82%e3%81%ab%e3%81%8a%e3%81%91%e3%82%8b%e3%82%a6%e3%82%a9%e3%83%ac%e3%83%83%e3%83%88%e3%81%ae%e9%87%8d%e8%a6%81%e6%80%a7/ Sat, 24 Feb 2018 14:07:55 +0000 http://toushi-kasoutsuuka.com/?p=1729

仮想通貨保有時の3つの注意点

  1. ウイルス
  2. フィッシング
  3. ウォレット

ウイルス

ウイルスの恐ろしい点は、

PC内に記録された全てのパスワードが抜き取られてしまう事です。

もしその中にウォレットの秘密鍵があると、ウォレットをまるごと乗っ取られてしまう可能性もあります。

フィッシング

フィッシングサイトを未だに多く見かけますが、

色々なパターンがありますが、仮想通貨市場でもっともよく見かけるのは、

取引所サイトのURLを少し文字を変えたトラップサイトを作り、ログイン情報を盗む手法です。

 

他にも公式サイトを装い、情報を盗むための罠も沢山しかけられている現状があります。

ウォレット

ウォレットとは、

購入した&手に入れた仮想通貨を保管しておく財布の役目を果たします。

ウォレットで一番注意が必要なのは、ウォレットの信用性です。

コインチェックのNEM事件が少し前に起こりましたが、

取引所のウォレットについてはきちんと調べ、注意していく事が非常に大事です。

ウォレットの種類

  • オンラインウォレット
  • クライアントウォレット(ローカルウォレット)
  • コールドウォレット(ペーパーウォレット)
  • ハードウェアウォレット

オンラインウォレット

これは、取引所などでも作成ができるオンライン上で作成できるウォレットのことです。

オンラインで管理するので、ハッキングされる可能性もあります。

 

この対策として、通常のパスワード以外に

「二段階認証」「秘密のパスワード」を設定し、セキュリティを強化することで、安全性を高める対応が可能です。

逆に「二段階認証」「秘密のパスワード」等を設定されてない方などは、

いつハッキングされてもおかしくない非常に危険な状態だということです。

 

オンラインウォレットの有名な例として、「Blockchain」があります。

クライアントウォレット(ローカルウォレット)

パソコン内にソフトウェアをダウンロードして

ローカル環境(オフライン)で使用するタイプのウォレットのことです。

このウォレットのメリットは、

インターネット環境がなくてもウォレットで資産を確認でき、

オフラインであるがゆえに、オンライン(インターネット回線)上からの攻撃を受けにくいといえます。

 

ただデメリットとして、ソフトウェアをインストールしたパソコンでしか利用ができない為、

パソコンが破損・盗難にあったり、ウイルスに感染したり、

また火災等の災害にあった場合、管理ができなくなってしまうデメリットがあります。

クライアントウォレットの有名な例として、

  • MyEtherWallet
  • breadwallet
  • Copay
  • Bit core
  • Airbitz

コールドウォレット(ペーパーウォレット)

コールドウォレットとは、オフラインで使用されるウォレットのことです。

仮想通貨を保管する上で、現時点で一番安全なウォレットだと言われています。

 

その理由は、

秘密鍵の盗まれない限り、資産である仮想通貨を失う事はありませんし、

ハッキングやウイルスに犯される事もありません。

 

コールドウォレットの作成サービスとして有名なものに「bitaddress.org」があります。

これは、デスクトップ上にウォレットを作成し、印刷するだけで保管完了ができていしまいます。

 

「bitaddress.org」のメリットとして簡単にウォレットを作成できる点だが、

デメリットとして盗難・災害などで紛失する可能性があり、管理できなくなってしまう可能性がある。

 

ただ、コールドウォレットに引き落とした残高を確認する場合には、

別のクライアントウォレット(ローカルウォレット)が必要となるからです。

そのため普段はあまり使わない大きな資産だけをコールドウォレットで管理している方が多い傾向にあります。

ハードウェアウォレット

ハードウェアウォレットとは、

USBでパソコンに接続して、インターネット上から仮想通貨を移するためのウォレットのことです。

ハードウェアウォレットのメリットとして、パソコンがウイルスに感染しても

「デバイス」&「暗証番号」が揃わない限り送金することができません。

完全にオフライン管理なので、セキュリティが非常に強いです。

 

デメリットとして、

ハードウェアウォレットを保管しているものが、紛失・破損してしまう可能性があるということです。

ですが、個人的にハードウェアウォレットは、

自分の大事な資産を守るという意味でも絶対に購入した方がよいと思います。

ハードウェアウォレットの代表例

  • Ledger Nano(レジャー・ナノ)
  • Ledger Nano S(レジャー・ナノ・エス)
  • TREZOR(トレザー)
  • KeepKey(キープキー)

 

個人的にはリップル保管が可能である

Ledger Nano S(レジャー・ナノ・エス)をお勧めします。

先日新たにLedger Nano Sを2つ追加して購入しました。

 

〈日本で取り扱っているレジャーナノエス正規代理店〉

Ledger Nano S(レジャーナノエス)

まとめ

仮想通貨を安全に保管する為には

ウォレットの種類、それぞれのウォレットのメリット・デメリットをきちんと把握し、

自分自身にあったウォレットをきちんと選び、管理していく事が非常に大事だと思います。

 

ハッキング問題などが多くおこっている今だからこそ、もう一度自分自身が保管している方法を

改めて見直されてみてください。

]]> テックビューロ(Zaif) セキュリティ対策室設置について https://toushi-kasoutsuuka.com/2018/02/04/%e3%83%86%e3%83%83%e3%82%af%e3%83%93%e3%83%a5%e3%83%bc%e3%83%ad%ef%bc%88zaif%ef%bc%89-%e3%82%bb%e3%82%ad%e3%83%a5%e3%83%aa%e3%83%86%e3%82%a3%e5%af%be%e7%ad%96%e5%ae%a4%e8%a8%ad%e7%bd%ae/ Sun, 04 Feb 2018 01:54:01 +0000 http://toushi-kasoutsuuka.com/?p=1216

テックビューロ(Zaif)セキュリティ対策室設置について

コインチェックで、大型の仮想通貨盗難事故が発生したことを受け、

一般消費者の仮想通貨に対するセキュリティ意識が非常に高まっています。

 

その背景を受け、テックビューロ(Zaif)は、

データの暗号化やマルチシグ(複数者署名)の採用・コールドウォレット化の採用を検検討しているようです。

 

それに伴い、テックビューロ(Zaif)では、それらセキュリティ体制を円滑化・強化するために、

新しいセキュリティ体制を整備予定。

 

従来は管理部と開発部によってセキュリティ対策を実施していたものを、

セキュリティ対策室を設置することによって、更なるセキュリティ強化とインシデント対応の迅速化を課題に挙げています。

セキュリティ対策室の設置

テックビューロ代表の朝山貴生をセキュリティ対策室長に任命し、これまでの体制に加え、専業の専門家の雇用や連携を強化予定。

設置日時

2018年1月29日

対策室

セキュリティ対策室長:朝山貴生対策室メンバー:役員一同とネットワークエンジニア、管理部等。

目的

  • 仮想通貨ウォレットとZaif取引所に関するセキュリティの強化
  • 各省庁とお客様に対する迅速な情報開示
  • インシデント時の迅速な調査と対応方針策定、実施対応、報告
  • 定期的なセキュリティ調査と監査
  • 外部のサービスや専門家を用いた安全性の確認
  • セキュリティ専門家の雇用
  • 定期的なセキュリティに関する協議と報告

セキュリティの強化

更なるマルチシグの強化

ウォレットがすでにマルチシグ化されている通貨を含め、更なるマルチシグ環境の強化予定。

  • マルチシグにおける署名サーバー環境の更なる分散化
  • マルチシグにおける署名手順の更なる複雑化

ホット・コールドウォレット環境の強化

既存の厳格なルールから、更なるセキュリティ強化のためコールドウォレット優先予定。

  • ホットの比率の見直しと、コールドの比率の引き上げ
  • 通常、ユーザーの入出金に合わせた残高をホットウォレットで管理するが、更に高度な残高予測アルゴリズムを導入することにより、その数値を最小限にとどめる。

※ただしコールドウォレット優先化に伴い、引き出し制限により「すぐに引き出せないことがある」など、一部ユーザー体験を損なう可能性があるが、セキュリティ優先の旨をユーザーに徹底周知する。

なお、本件に関する詳細な情報公開は、セキュリティリスクに繋がる可能性があるため割愛いたします。

セキュリティ監査体制の強化

専門人員の雇用を含め、社内、社外におけるセキュリティ監査体制の更なる強化を実施予定。

  • 社内の監査と社外の監査の連携、およびそれらの相互活用により、監査の実効性の更なる向上を図る
  • セキュリティ対策室に専門家を起用
  • 外部セキュリティ対策・監査サービスの利用
  • セキュリティツールの導入

インシデント時における対策と体制の強化

セキュリティ対策室の設置により、過去インシデント対応で直面した問題への対応を含め、以下のような現状の改善を実施予定。

  • 顧客への個別ヒアリング、内部ログの監査、取引データの精査など、時間を要していたプロセスの迅速化
  • オペレーション(サポート)部門との調査における連携の強化と、お客様への情報提供の迅速化
  • 広報部との連携の強化と、お客様やメディアへの情報提供の迅速化
  • 管理部との連携の強化と、各省庁への情報提供・共有
  • 瑕疵や過失の特定の迅速化
  • 補償の有無やその内容の意思決定の迅速化
]]> GMOコインの顧客資産保護体制とコールドウォレット・マルチシグ運用体制について https://toushi-kasoutsuuka.com/2018/02/04/gmo%e3%82%b3%e3%82%a4%e3%83%b3%e3%81%ae%e9%a1%a7%e5%ae%a2%e8%b3%87%e7%94%a3%e4%bf%9d%e8%ad%b7%e4%bd%93%e5%88%b6%e3%81%a8%e3%82%b3%e3%83%bc%e3%83%ab%e3%83%89%e3%82%a6%e3%82%a9%e3%83%ac%e3%83%83/ Sun, 04 Feb 2018 01:35:36 +0000 http://toushi-kasoutsuuka.com/?p=1205

GMOコインの顧客資産保護体制について

GMOコインでは、法令に則り、

顧客資産は全てGMOコインの資産と分別して管理がされています。

 

仮想通貨は、当社保有分とお客様保有分で物理的に分離して保管しており、

ユーザーから預託を受けた金銭についても同様で、GMOコインの自己資金とは別口座で管理しているようです。

仮想通貨の保管方法(コールドウォレット管理とマルチシグ対応)

GMOコインでは、即時送付に必要な分以外の仮想通貨は、

インターネットから隔離された「コールドウォレット」にて保管されています。

 

さらに、コールドウォレットからホットウォレットに仮想通貨を移動する際には、

複数部署の承認が必要な体制となっているため、複数名によって厳重に監視された状態でのみ、

コールドウォレットからの仮想通貨の移動が可能となっております

 

また、仮想通貨送付の際に複数の秘密鍵を必要とする「マルチシグ(マルチシグネチャ)」についても、

GMOコインのセキュリティ基準を満たす各仮想通貨に導入しており、

秘密鍵をセキュリティ構成の異なる複数の場所に保管することでリスク低減を図っています。

サイバー攻撃対策

GMOコインでは、悪意のある第三者によるサイバー攻撃に対し、

ユーザーアカウントの乗っ取り」「システムへの侵入」の2つの観点から対策を講じられています。

「ユーザーアカウントの乗っ取り」に対しては、以下の対策を実施中!

  • 日本円出金や仮想通貨送付の際に、2段階認証を必須化
  • ログイン実績のない環境からログインがあった際に、2段階認証を必須化
  • ログイン履歴の記録とメールによるお客様への通知

「システムへの侵入」に対しては、以下の対策を実施中!

  • システムの24時間365日監視
  • 外部のセキュリティ専門家による定期的なシステム脆弱性診断
  • グループ会社と連携した脆弱性情報の収集

今後の体制強化について

GMOコインでは、外部専門家と連携しながら、

サイバー攻撃等の各種リスクを定期的に評価・分析し、

顧客資産保護体制を継続的に改善していく体制構築の予定を立てています。

]]> 「bitFlyer セキュリティ・ファースト」主義、 及びセキュリティ・顧客資産保護に関する取り組みについて https://toushi-kasoutsuuka.com/2018/02/04/%e3%80%8cbitflyer-%e3%82%bb%e3%82%ad%e3%83%a5%e3%83%aa%e3%83%86%e3%82%a3%e3%83%bb%e3%83%95%e3%82%a1%e3%83%bc%e3%82%b9%e3%83%88%e3%80%8d%e4%b8%bb%e7%be%a9/ Sun, 04 Feb 2018 01:26:35 +0000 http://toushi-kasoutsuuka.com/?p=1197

「bitFlyer セキュリティ・ファースト」主義、 及びセキュリティ・顧客資産保護に関する取り組みについて

bitFlyer では、「bitFlyer セキュリティ・ファースト」主義、

及びセキュリティ・顧客資産保護に関する取り組みについてのプレスリリースを公開してます。

「bitFlyer セキュリティ・ファースト」主義の内容は、

こちらから確認できます。

 

bitFlyer では、 2014 年の創業以来、セキュリティ・顧客資産保護を経営上の最優先課題として取り組み中。

今後もbitFlyer では、セキュリティ・顧客資産保護を最優先し、全力で今後も取り組んでいくそうです。

「bitFlyer セキュリティ・ファースト」主義

  1. 当社及び当社グループは、全社一丸となり最新セキュリティ技術を導入し、お客様にご安心いただけるセキュリティ管理体制を維持し続けます。
  2. 当社及び当社グループは、顧客資産保護のため必要なセキュリティ対策を策定し実施します。
  3. 当社及び当社グループは、万が一セキュリティに関する事故等が発生した場合には、金融庁、警察庁、警視庁及び日本ブロックチェーン協会(以下、「JBA」)と連携し、速やかに適切な措置を実施するとともにその状況を当局等に報告します。
  4. 当社及び当社グループは、セキュリティに関する内部監査体制を構築し、セキュリティ対策の継続的な改善・見直しを実施します。
  5. 当社及び当社グループは、セキュリティの重要性を常に認識し、各種法令・内部規程を遵守します。

bitFlyerの現状

bitFlyer では、金融庁の審査を経て、2017 年 9 月に仮想通貨交換業者として既に登録完了済みで、

仮想通貨業界のリーディングカンパニーとして、以下のチームを中心に各種法令・内部規則を遵守しています。

  • 金融機関、中でも特にリスクに精通した分野出身の経営陣
  • CISO(Chief Information Security Officer)を中心としたサイバーセキュリティチーム
  • 金融機関でのコンプライアンス業務経験者によるコンプライアンスチーム
  • 国内大手弁護士事務所出身の弁護士、米国及び欧州の弁護士チーム

 

また、2017 年 11 月にはbitFlyerの子会社である bitFlyer USA, Inc. が米国ニューヨーク州にて BitLicense を取得。

2018 年 1 月にはbitFlyerの子会社である bitFlyer EUROPE S.A. が欧州ルクセンブルクにて Payment Institution License を取得完了しています。

 

当該ライセンス取得において、AML/CFT やコールドウォレットの管理等は、

日本で法令上求められる水準よりも厳格な運用が求められており、

bitFlyerにおいても当該ライセンス取得要件以上の水準にて運用を行っています。

 

また米国の NIST800-30, ISO31000 等のガイドラインに基づいた IT Security Audit を実施中。

 

先日コインチェックで流出事件が起こったのをきっかけに、事業における優先順位の見直しを行い、

セキュリティ・顧客資産保護のための施策が最優先であることを改めて全社で意識統一・徹底するようです。

 

そして、セキュリティの観点から点検を実施し、瑕疵のないことを確認できたようです。

bitFlyerでは、今まで以上に不正送金を始めとするさまざまな課題に対処予定としています。

]]>