仮想通貨の重大なリスクとして、ハッキングによる被害が挙げられます。分散台帳はハッキングの抑止力としては機能しますが、ハッキングそのものを阻止することはできません。
ブロックチェーンやウォレットのバグ、ログイン時やウェブサイトのセキュリティー欠陥など、ハッキングの要因は様々です。今回は、人気仮想通貨の一つ、イーサリアムにまつわる主要なハッキング事件の経緯を紹介します。また、こうしたハッキングが発生した時、被害を最小限にとどめるためのユーザー側の対策についてご紹介します。
「仮想通貨」のハッキング
仮想通貨がハッキングされるという表現は正確ではありません。仮想通貨の周辺でハッキングが発生している、というのが適切でしょう。ハッキングのパターンを大まかにまとめてみます。
- 端末・ポータルサイトのハッキング…取引所個人アカウントの乗っ取り、取引所ウォレットからの資金の不正な引き出し、取引所ウェブサイト上のリンクの改変、ウォレット会社からの秘密鍵の漏洩等
- 仮想通貨取引へのハッカーの介入…仮想通貨送金先アドレスの改ざん、投資利益の不正な過剰取得、悪質なコードを含むスマートコントラクトなど
- その他…仮想通貨要求型サイバー攻撃など
ここでは、人気仮想通貨の一つであるイーサリアムを例に、ハッキング事件の中身を詳しく見ていこうと思います。いずれもイーサリアム自体に問題はなく、外部の団体が提供するサービスの欠陥が原因となった事例です。
イーサリアムのハッキング①:The DAO事件
DAO(自律分散型組織)とは、一言で言うと「経営陣のいない投資ファンド」のことです。集権的な体制の存在しない理想的な分散型企業を目指す、野心的な試みでした。
DAOでは、出資者はファンド(親DAO)に仮想通貨を投資します。親DAOの運用方針は、出資者の投票で決定されます。その決定に賛成しない場合、出資者は自分の出資金を回収し、自分で管理する子DAOに保管できます(Split機能)。また、出資したDAOで利益が生じた場合は、その利益の一部を報酬として子DAOで受け取ることができます。
事件の当事者となったのは「The DAO」という名のDAOです。The DAOの報酬受け取りシステムにバグがあったのです。それに気づいたハッカーはSplit機能を使って自分の子DAOを作成し、一度しかおこなえないはずの報酬受け取りを何度も反復することに成功しました。それが放置された結果、DAOから総額約50億円相当のイーサリアムが抜き取られてしまったのです。
幸い、「Split後27日間は子DAOを使えない」という制約があったため、イーサリアムはその期間内でハードフォークを実行し、盗まれた仮想通貨を無効化することに成功しました。盗まれた額の返済もおこなわれている模様です。
しかし、この事件はイーサリアム内部で対立を生み出しました。対立点は「外部機関で発生した問題に対し、イーサリアムが介入すべきか」という点でした。そうした介入は分散化の基本理念に反すると主張した人々は本家イーサリアムからハードフォークし、イーサリアムクラシックを生んだのです。
イーサリアムのハッキング②:Parityウォレット事件
ウォレット会社Parityは、ICOなどのプロジェクト向けのマルチシグウォレットを提供していました。しかし、そのコーディングの中に致命的な欠陥があったのです。
Parityでマルチシグウォレットを作る際、2種類のスマートコントラクトが運用されていました。具体的には、基本的な機能を定義した「ライブラリ」と呼ばれるコードと、ユーザーごとに異なる軽量なコードの2種類です。各ユーザーに対してライブラリが一度だけ発動し、マルチシグウォレットが生成される仕組みでした。コードを分けておくことにより、ウォレット生成時の負荷を軽減していたのです。
しかし逆に言えば、このライブラリは「まだ発効していないウォレット」です。この事件では、ライブラリが悪用されました。ある人物が、ライブラリから強制的にマルチシグウォレットを生成し、さらにそのウォレットを消去したのです。その結果、ライブラリ自体が効力を失い、ライブラリを使って生成された他のマルチシグウォレットが全て使えなくなってしまったのです。
これらのウォレットの中に取り残されたイーサリアムは、総額170億円相当と言われています。これは、前述のThe DAO事件の3倍以上にあたる額です。未だに、この資金は動かせない状態が続いています。
ハッキング被害を防ぐには?
前述の事例のように、仮想通貨で起きるハッキングのパターンは主に2種類です。
- 端末・ポータルサイトのハッキング
- 仮想通貨取引へのハッカーの介入
このうち、前者の「端末・ポータルサイトのハッキング」に関しては、ユーザーレベルで講じられる対策がいくつかあります。
- 強固なパスワードの利用…取引所でアカウントを持っている場合は、パスワードの強度に十分に注意が必要です。取引所のアカウントには仮想通貨などの資本だけでなく、銀行口座やクレジットカード情報などの個人情報が含まれていることをきちんと認識しておきましょう。
- 二段階認証の利用…二段階認証を導入することで、アカウントの乗っ取り被害を防げる確率は格段に高くなります。手続きに長い時間を要するものではないので、登録・認証をしておくことをオススメします。
- 初期設定を怠らない…デフォルトの設定が改ざんされたウォレットを知らずに購入し、「適切に初期設定せずに利用した結果、仮想通貨を盗まれてしまった」という被害も出ています。その端末が確実に自分だけの端末になるよう、事前に設定をしましょう。
- 怪しいリンクには触れない…仮想通貨に限らず、少しでも怪しいリンクはクリックしない方が賢明です。メールなどでリンクが送られてきて不審に思ったら、まずは検索してみましょう。同じようなメールが他の人にも送られているかもしれません。
最後に
イーサリアムの事例で見てきたように、ハッキング事件は個人では防げない部分があります。しかし、ユーザー側でできる対策も全く無いわけではありません。ハッキングが起きた時の自己防衛のためにも、十分にリスクを知り、対策を講じておきましょう。
