便利なはずのホットウォレット、その問題点とは?|DApps(ブロックチェーンを活用したアプリケーション)のことなら

TOP  コラム  便利なはずのホットウォレット、その問題点とは?

便利なはずのホットウォレット、その問題点とは?

2019.01.17

コラム

便利なはずのホットウォレット、その問題点とは?

流出事件などで注目されるウォレットの安全性
ブロックチェーンの技術概念を基盤とする仮想通貨(暗号通貨)は、単なる取引・決済手段の利便性向上というメリットだけでなく、新たな独自経済圏の創出とともに、さまざまな社会問題の解決につながることが期待されており、今後は私たちにとってより身近な存在になっていくでしょう。

すでに資産運用の観点における仮想通貨への関心は高く、いまや多くの投資家が市場に参加するようになりました。こうした市場成長の中、一方で近年の仮想通貨・暗号資産業界は、深刻なハッキング被害の報告も急増しています。

国内ならば、2014年に大量のビットコインが消失したマウントゴックス事件に始まり、2018年のコインチェックにおけるNEMの大量流出事件が記憶に新しいでしょう。海外の取引所でも日本円にして数百億円単位のハッキングによる不正送金、盗難被害が複数発生しています。

こうした状況の中、より安全に資産を管理していくためには、ウォレットのセキュリティにおける正しい知識と賢い利用法を身につけることが欠かせません。そこで今回は、とくに問題視されているホットウォレットについて、どのような仕組みで、何が弱点となっているのか解説していきます。

オンライン状態にあるがゆえの便利さと危険
ウォレットには大きく分けて、ホットウォレットとコールドウォレットの2種類のタイプがあり、そのうちホットウォレットは、常時インターネットに接続されているもののことをいいます。

ホットウォレットの場合、銀行口座のようなものとして資産を管理しているウォレットが常にオンライン上にあるため、残高確認や送金・受け取り金といった取引手続きが、ごくスムーズに処理可能で、いつでも簡単に実行できるというメリットがあります。

しかし、常にオープンなインターネットのネットワーク上にあることがそのままデメリットともなり、常時高いハッキングリスクにさらされているという状態になっているのです。この危険性について、ウォレットの仕組みから、より詳しく考えていきましょう。

ウォレットで行われていること
仮想通貨のウォレットは、銀行口座のようなものといいましたが、厳密には異なり、仮想通貨自体を保管・管理しているわけではありません。資産を取り扱う上で用いる、ペアになった公開鍵と秘密鍵から成る暗号鍵の生成・管理とバックアップ用アドレス、送金トランザクションの生成、残り資産の所有権証明管理といった機能を主なものとして搭載しています。

取引のためには、秘密鍵がまず生成されます。そこから不可逆な一方向関数による変換でペアになる公開鍵が作られ、さらに同様の変換で送金アドレスが作成されます。公開鍵とアドレスはネットワークに公開されますが、秘密鍵は本人のみが知り得るもの、外部には絶対非公開であるべきものです。

取引ではアドレスに仮想通貨が送られ、これを生成した秘密鍵を保有管理する人だけが、そのアドレス内の仮想通貨を動かせる仕組みになっており、ブロックチェーン上には「アドレスAからアドレスBにいくら」といった取引データが次々に記録されていくものとなっています。

つまり仮想通貨自体と個人を直接紐付けるものはなく、またアドレスにも持ち主に関する個人情報などは含まれていないため、秘密鍵だけが唯一の所有権を示す認証手段になるのです。

逆に言うと、秘密鍵の情報さえ取得すれば、誰でも本人認証をクリアすることができ、送受金を自由に行えることになります。このように秘密鍵の管理はきわめて重要で、絶対に他人に知られてはならないものとなります。

秘密鍵と公開鍵は、データの暗号化と復号に用いられる技術で、秘密鍵により暗号化されたデータは、それとペアになる公開鍵でしか復号できません。また公開鍵で暗号化したデータもまた、そのペアの秘密鍵でしか復号不可能です。この特性から、秘密鍵による暗号化結果と公開鍵を相手に知らせると、相手はその人が本当に秘密鍵を保有している本人かどうか確認することができるため、電子署名が成立します。

このような本人確認の秘密鍵・公開鍵を、取引に用いるものとして、ウォレットは生成・管理しているのですが、ホットウォレットの場合、常時オンライン状態にあるため、秘密鍵もまたオンライン上の情報となることが一定以上ある仕様になっています。そのため、ハッキング被害に遭いやすく、本人認証の仕組みに脆弱性がある点が問題となります。

取引所が大量の仮想通貨取引をスムーズに処理できるというメリットから、もしホットウォレットで資産管理を行っていると、セキュリティを強化していても、常に攻撃リスクにさらされるものとなり、ハッキングされた場合、大量の資産を乗っ取られてしまう、流出するということが起きてしまいます。

個人のウォレットアプリでも、ホットウォレットの場合、即座に電子署名が実行でき、手軽に入出金が行えますが、ダウンロードした端末が攻撃に遭うと、秘密鍵の情報が盗み取られ、資産を消失する可能性があるのです。

いかがでしたか。秘密鍵管理の重要性とホットウォレットの問題点について、理解できたでしょうか。オンライン上の管理によってもたらされる利便性と安全性が、いわばトレードオフの関係になっていますから、リスクを正しく理解して、取り扱いに十分注意することを強くおすすめします。

▼DApps総研
https://dapps-info.com/

(画像は写真素材 足成より)