主要な暗号資産(仮想通貨)が利用している基盤技術となるブロックチェーンですが、ハッキング(改ざん)をするのは困難だとされてきました。
しかし、最近ではブロックチェーンのシステム上の脆弱性を原因とするハッキング事件が起こってきています。この記事では、ブロックチェーン技術の特徴や安全性についての基本的概念についてお伝えします。
さらに、ブロックチェーンにはどのような技術的限界や危険性が存在するかや、現在取りうるセキュリティ対策などについてご紹介していきます。
目次
ブロックチェーンとは?主な形態は3つ
ブロックチェーン(分散型台帳技術)は多くの暗号資産を支えており、取引データのコアとなる技術的基盤となっています。その主な形態は以下の3つです。
- パブリック型
- プライベート型
- コンソーシアム型
これらは、ネットワークが公開される範囲が異なります。セキュリティ面では、パブリック型は多数の参加者によって改ざん耐性が高く、プライベート型はアクセス管理による統制がしやすいなど、それぞれ異なる強みがあります。
ブロックチェーンの暗号化による安全性
ブロックチェーンには、取引データの改ざんなどを防ぐために「ハッシュ関数」によるブロックの暗号化や、「Proof of Work」などの仕組みがあります。以下に詳しくご紹介していきます。
ハッシュ関数:ブロックの暗号化
ブロックチェーンは、取引データの安全性を担保するために「ハッシュ関数」という暗号化のための技術を用いています。
ハッシュ関数とは、取引データが外部から判読できないようにするために生成される、一定の文字数による不規則な文字列のことです。外観上は一種の暗号のようなこの文字列は、「ハッシュ値」と呼ばれています。
一定数のトランザクションがブロックとして格納されているのは前述の通りですが、このブロック内の取引データ履歴はオープン化され、誰でも確認できます。
しかし、肝心のトランザクションの具体的な取引内容については、このハッシュ関数により暗号化されています。したがって、記録されている取引履歴自体は外部から確認できるものの、取引内容の詳細は判別できません。
このハッシュ値は、全く同一のデータに対しては同じハッシュ値が生成されます。しかし、少しでも異なるデータに対しては異なるハッシュ値を生成することで、外部からの判別を不能とし、改ざん等からデータを守っています。
Proof of Work:膨大な計算による正当性の保証
暗号資産の代表格のビットコイン(BTC)のブロックチェーンにおいては、新たなブロックの生成は、ブロックチェーン参加者による「承認作業」を通じておこなわれます。
この承認作業は「マイニング(採掘)」と呼ばれ、過去の一連のブロック生成において不正がおこなわれていないことを証明する仕組みにもなっています。この仕組みはProof of Work(PoW)と呼ばれ、ビットコイン(BTC)のブロックチェーンの安全性を担保するために大きな役割を担っています。
マイニングを通じて新たに生成されるブロック内には、過去のトランザクションデータを暗号化した直前のハッシュ値と新たなトランザクションデータ、そして後述する「ナンス」によって構成されています。
ナンスとは「Number Used Once」の略称であり、マイナーが新たなブロックを追加するたびに生成する数値です。前述の承認作業とは、これら直前のハッシュ値と新たなトランザクションデータ、ナンス値の整合性を膨大な計算を通じて確認し、承認することです。
承認を通じて新たなブロックがブロックチェーンに追加され、マイニングを成功させたマイナーにはその報酬としてコインが支払われます。
ブロックチェーン技術の危険性や技術的課題|サイバー攻撃について
ブロックチェーン技術では、どういったサイバー攻撃を受ける可能性があるのか気になる方も多いと思います。ブロックチェーン技術に対する主要な攻撃手法について紹介します。
51%攻撃
ブロックチェーンの改ざんに関して、よく話題に上がるのが51%攻撃です。51%攻撃とは、全マイナーのうちの51%以上が悪意のあるマイナーで占められている状態を指します。
この状態になると、攻撃者は取引記録を意図的に操作できるようになります。具体的に51%攻撃によって可能になる不正の種類には、以下があります。
1つ目は、送金や売買などの仮想取引の二重支払いです。二重支払いとは、同じ仮想通貨で2回の取引をすることを指します。
2つ目は、マイニングを独占し、マイニング報酬を全て手に入れる不正です。そして3つ目は、取引承認を妨害されたり、送金が無効化されたりする不正です。
ただし、プライベート型のブロックチェーンは、参加者が限定され管理者によって承認されるため、公開型ブロックチェーンで議論されるような51%攻撃は成立しません。その代わり、管理者の権限が悪用されるリスクなどが考慮されます。
フィッシング攻撃
ネット詐欺のひとつとして広く知られているフィッシング攻撃は、ブロックチェーン技術に対しても重大な被害を生む可能性がある攻撃手法です。フィッシング攻撃とは、偽のWebサイトやメールを使ってユーザーに秘密鍵やウォレットのパスフレーズを入力させ、資産を盗み取る手口です。
特に仮想通貨のウォレットや取引所のログイン画面を装ったケースが多く、公式サイトと見分けがつきにくいのが特徴です。
ルーティング攻撃
こちらも、インターネットサービス全般に対する攻撃手法で、ルーティング攻撃というものがあります。
これは、インターネットの「情報が流れる経路」を乗っ取ったり改変したりすることで、トランザクションの伝播を遅らせる攻撃です。なかなかイメージしにくいかもしれませんが、情報が流れる「道」を車の走行する道に例えて考えると良いでしょう。ルーティング攻撃では、本来の正しい道ではなく異なる道へ誘導したり、信号を操作して意図的に渋滞を作り出したりするようなことが起きます。
ブロックチェーンでルーティング攻撃を受けると、取引の確認に時間がかかったり、一部の人が見ているデータが古いままになってしまったりする危険があります。最悪の場合、「送金が二重にできてしまう」ような不正につながる可能性もあります。
シビル攻撃
シビル攻撃とは、攻撃者が複数の偽アカウントを作り、ネットワーク内での影響力を不正に高める手口です。ブロックチェーンでは、偽のノードがあると見せかけることで、先ほど説明した51%攻撃のリスクが高まったり、特定の取引が意図的にブロックされることで、合意形成が歪められたりするおそれがあります。
具体的な詐欺行為・事件例|モナコインのハッキング事件について
ブロックチェーンには、既にご紹介してきたように改ざんなどを防ぐための安全性が担保される仕組みがあります。しかし、ここへきてブロックチェーンのシステム的な脆弱性を利用して盗み出されるハッキング事件が起こりました。
それが「モナコイン(MONA)のブロックチェーン書き換え事件」です。これまでのハッキング事件は、取引所への攻撃などによってコインが抜き去られるといったものが大半でした。
この事件は、従来改ざんされることはないといわれてきたブロックチェーンの信頼性に、大きく影響するものでした。モナコインのブロックチェーンのシステム上の脆弱性は、今日まで根本的には解決されていません。したがって、今後も同じような事件が発生する可能性が残されています。
モナコインのハッキング事件の概要
モナコインのハッキング事件は、ブロックチェーンのルールを悪用し、ブロックチェーンが不正に書き換えられたことで起きました。
ブロックチェーンは、マイナーによる承認作業の際に複数のブロックが承認されると、分岐(フォーク)することがあります。ブロックチェーンのルールを簡単にいえば、承認によって既存のブロックチェーンよりも長いブロックチェーンが生まれると、その長いほうのブロックチェーンが正しい結果であると認識されます。
すると、分岐の際に既存のブロックチェーンは無効化され、そこで「Reorg(巻き戻し)」と呼ばれる再編成が起きるようになっています。つまり、再編成によって既存のブロックチェーンに入れ替わるように新たなブロックチェーンが採用されてしまうことになります。
モナコイン事件において、まずハッカーは、海外の暗号資産取引所「Livecoin」にモナコインを送金してから他のコインに換金して出金しました。その裏で、自分が生成した多くのブロックをすぐには公開せず、一定期間隠し持っていました。
そして隠し持っていたブロックをまとめて公開することで、既存のブロックチェーンより長いブロックチェーンを出現させ、既存のブロックチェーンを無効化させました。
無効化されたほうのブロックチェーンには、ハッカーがモナコインを使って購入した他の通貨の購入履歴や、その後にその購入した通貨を出金したデータが記録されていましたが、最終的にはそれらの履歴が消え、ハッカーは換金だけを成立させることに成功しました。
ハッキング後の対応
事件が起きた2018年5月の直後である2018年6月1日、ブロックチェーン推進協会は説明会を開きました。
この説明会では、先ほど説明した「ブロックチェーンの合意形成メカニズムの悪用」が説明されました。PoWのシステムには限界があるとし、PoWに他の技術を組み合わせる必要があるとの見解を示しました。
この事件後、モナコインの価格は急落しました。日本国内の一部の暗号資産取引所では、モナコイン取引時に必要な承認回数を増やすなどの対策を発表したところもあります。しかし、この事件で使われたハッキング手法(Selfish Mining)に対する根本的な対策は見つかっていないのが現状です。
セキュリティリスク対策の方法や仕組み
ブロックチェーンの安全上の課題はすぐには取り除くことができないため、ハッキングに対する防衛策を個別に講じる必要があります。
暗号資産取引所もそのためにセキュリティ対策を講じています。例えばその1つとして、「マルチシグ」が挙げられます。
マルチシグ:複数の秘密鍵による安全性の強化
マルチシグとは複数の秘密鍵を利用した公開認証方式のことです。マルチは「複数」シグは「署名」を表しており、秘密鍵が常に複数あるのが特徴です。
これまでの個人認証は「パスワード認証方式」が主流で、予め設定したIDとパスワードを入力して個人を認証する方式です。しかし、秘密鍵がパスワード1つしかないこの方式では、個人の端末などにハッキングされると取引所内に保管している暗号資産が持ち出されてしまう可能性があります。
この点、マルチシグは複数の秘密鍵を、複数の場所に保管しておく仕組みがとられています。ハッカーは複数のそれぞれの端末に侵入して、すべての秘密鍵を入手しなければハッキングすることができません。
マルチシグを使えばハッキングしづらくなるため、セキュリティ対策として非常に有効です。マルチシグで利用されている秘密鍵の数ですが、システムによって異なります。
一般的には「2 of 3」方式が採用
一般的なマルチシグは「2 of 3」と呼ばれる方式が採用されています。
この2 of 3では、3つの秘密鍵が設定されており、そのうちの2つの秘密鍵が揃えば認証される仕組みになっています。大方の2 of 3は、3つの秘密鍵のうちの1つが利用している暗号資産取引所で保管され、残りの2つの鍵は個人端末で保管されます。
そうすることで、取引所が仮にハッキングされて保管していた秘密鍵が盗まれても、認証されるのを防いでくれます。反対に個人の端末で保管されている秘密鍵が盗まれても、同じように個人で保管されている秘密鍵と取引所で保管されている秘密鍵が揃わないので、ハッカーが盗難できません。
マルチシグは、認証に必要な複数の秘密鍵を同時に盗むことが困難なために、非常に有効なセキュリティ対策といえます。しかし、それでも個人で2つの秘密鍵が1つの端末に保管されている場合、ハッカーが比較的簡単に侵入してしまう可能性もあります。
また、個人が端末に保管している2つの秘密鍵が端末の故障や破損などで失われたり、アクセスできなくなったりするリスクもあります。さらに、取引所がハッキングにより秘密鍵の1つを盗まれると、シングルシグとなってしまい、上述のパスワード認証方式と同じセキュリティレベルになる可能性もあります。
このように、マルチシグだけでは完璧なセキュリティ対策とはいえないことは理解しておいたほうがいいでしょう。
コールドウォレット:オフラインでの保管
続いて、マルチシグの限界をかなりのレベルで克服できるのが、コールドウォレットです。暗号資産を保有したら、マルチシグ対応の取引所を利用しつつ、合わせてオフラインでのコールドウォレットによる保管も大切です。
ホットウォレットとの違い
コールドウォレットとホットウォレットの違いは、保管時のネット接続状態です。言い換えると、オフラインがコールドウォレットで、オンラインがホットウォレットです。
ホットウォレットは、暗号資産のウォレットのように常にインターネット回線に接続されて、暗号資産取引がおこなえる状態になっています。したがって、暗号資産の売買や送金をリアルタイムで取引するのに便利です。
暗号資産取引所の多くが決済や送金用のアプリなどのサービスを提供し、リアルタイム取引ができるようにしています。しかし、常時ネット回線に接続されていることから、ハッカーによる侵入や保管している暗号資産の流出が起こるリスクが高くなります。
コールドウォレットのメリット
オンラインから隔絶され、USBアクセサリーやペーパーなどで秘密鍵を保管するコールドウォレットは、ハッキングによる流出を防ぎます。
コールドウォレットの場合、紛失や災害時などの消失のリスクには気をつける必要がありますが、ハッキング対策には非常に有効な手段です。モナコインの流出事件でも、コールドウォレットに保管していたユーザーのコインは流出を免れました。
暗号資産取引所はマルチシグ対応をしているところを選び、個人でもコールドウォレットなどを活用することで、ハッキングから自分の通貨を守るように心がけることが重要です。
TLS(Transport Layer Security)と二段階認証
暗号資産取引所では、通信の安全性を確保するために「TLS(Transport Layer Security)」という暗号化通信技術が使用されています。
以前はSSL(Secure Sockets Layer)と呼ばれていましたが、現在はTLSが標準規格として利用されています。
TLSを導入しているサイトでは、通信内容が暗号化されるため、悪意ある第三者が送受信データを盗み見たり、改ざんしたりするリスクを大幅に減らせます。
公式サイトかどうかを確認する際は、URLが「https://」で始まっていること、ブラウザのアドレスバーに鍵アイコンが表示されていることを確認しましょう。
さらに、取引所のアカウントを保護するためには「二段階認証(二要素認証)」を必ず設定することが重要です。
これは、ログイン時にメールアドレスとパスワードに加えて、認証アプリ(例:Google Authenticator、Authyなど)で生成されるワンタイムパスコードを入力する仕組みです。
これにより、パスワード情報が漏えいしても、第三者が不正にログインすることを防ぐことができます。
二段階認証を設定する際は、SMS(ショートメッセージ)ではなく、認証アプリや物理セキュリティキー(FIDO対応など)を利用するのが推奨です。
また、バックアップコードを安全な場所に保管し、フィッシングサイトにログインしないよう、URLをブックマークから開くなど基本的な対策も心がけましょう。
ブロックチェーン・セキュリティの将来性
ブロックチェーンのセキュリティは、今後ますます進展していくことが期待されます。その大きな原動力と見込まれているのが、AIなどの新しい技術です。一方で、量子コンピュータなどの新規技術は「新たな脅威」ともなり得ますが、これに対抗するような量子耐性暗号化の研究も着実に進められています。
今後は異なるブロックチェーン同士が相互運用することで、ユーザーがより自由に取引できる環境が広がっていくと考えられます。それに伴い、安全なセキュリティ構築が不可欠となり、業界全体のセキュリティに対する意識も高まっていく可能性があります。
ブロックチェーン技術を用いたセキュリティトークンとは:
セキュリティトークン(ST:Security Token)は、ブロックチェーン上で発行されるデジタル化された有価証券です。仲介業者が介在しないブロックチェーン上で取引されるため、迅速かつ効率的な取引が可能になります。2021年頃から大手金融機関がセキュリティトークンの取り扱いを開始し、新たな資金調達手段(STO:Security Token Offering)として大きな期待が寄せられています。
セキュリティトークンの種類:
セキュリティトークンには、数多くの種類があります。代表的なセキュリティトークンは下記です。
- 株式
- 債券
- 不動産
- 貴金属
- 芸術品
セキュリティトークンのメリット:
セキュリティトークンのメリットは、投資の小口化が可能になるだけではなく、多様な商品への投資ができることです。株式や債券以外にも、証券取引では取り扱われなかった資産に投資できます。
セキュリティトークンの活用事例:
国内では、不動産や債券に投資できるセキュリティトークンが主流です。発行コストや法整備が不十分という課題はありますが、2020年5月の金融商品取引法改正以降、発行数は増加傾向です。また、国外では積極的に不動産や企業向けのセキュリティトークンを発行しているケースが多く見受けられます。
まとめ:ブロックチェーンのリスクを理解し、適切な予防や対処を
この記事では、ブロックチェーンの技術的な危険性などについてお伝えするとともに、現時点で取れるセキュリティ対策についてお伝えしました。
暗号資産を保有する場合は、マルチシグ対応の仕組みやコールドウォレット、二段階認証を上手く活用して資産を常に守る意識を持つ必要があります。
また、暗号資産に関するニュースなどを定期的にチェックして、セキュリティ面にも関心を持つように心がけるのが良いでしょう。