ハードウェアウォレット×bitfinex・コインチェックへのハッキング
bitfinex=ビットフィネックス
2016年8月だったか?
香港の取引所であった、bitfinex=ビットフィネックスが
ハッキングされて、ビットコインが盗まれる大事件がありました。
流れ出てしまった被害額は約12万BTC(7200万ドル)の、
ちょ~膨大な被害額でした。
・・・マウントゴックスに次ぐ事件ですね。
これは、
取引所のウォレット=暗号通貨を保管しておく場所。
つまり、webウォレットからビットコインが盗まれた
ということになるわけですが、
webウォレットからビットコインを盗もうすると、
秘密鍵 のコードを複数知っている必要があります。
それを知っているのは内部の人間の可能性が高い
とも言われたりしますが、
コインチェックへのハッキング
2017年3月下旬頃、
コインチェックの、同じWebウォレットから
ハッキングによってビットコインが盗まれる人が
何人か? 被害にあわれました。
○○○万円といった相当な金額の方もおられました。
1つの取引所のセキュリティ問題ということもありますが、
コインチェックの個別アカウントにログインされた方で、
2段階認証をしていてもハッキングされたわけです。
ビットコイン、または暗号通貨を運用している人にとっては、
「大手だから安心だし大丈夫」といった概念ではなく、
個人としてしっかり管理していかなければ。ですね。
「明日は我が身」そう考えて、
自分だけのハードウォレットを用意することが必要です。
僕は以前からハードウェアウォレットは準備していたので
心配することは無いのですが、
コインチェックを利用している僕にとっても
ハッキングの事件は、衝撃と言いますか、
残念な気持ちにもなったわけですが、
僕の場合は、
何か用途がある場合に、コインチェックへ日本円を送金して、
その用途のために利用していますが、
普段はコインチェックには
わずかな日本円またはビットコイン(イーサリアム)しか
残っていない状況を日々心がけています。
では、ビットコインはどこに保管しているのか?
ということになるのですが、
Trezor Wallet(トレザーウォレット)を使用しています。
⇒ Zaif TREZOR™(トレザー)
トレザーは、
現状ではセキュリティー面ではトップクラスの安全性を保ちながら、
利便性がかなり良いものと実感しています。
blockchain.info など。ウォレットに入れている場合、
先ほどのように、コインチェックの個人アカウントへ
ハッキングされたりする可能性も事実としてあるので
その危険を高いセキュリティーでクリアできれば、
安心して暗号通貨を保管することができます。
秘密鍵を知らなければ送金はできないのですが、
例えば blockchain.info が秘密鍵を管理しているので、
blockchain.info がハッキングされたら
ビットコイン等は盗まれてしまうわけです。
または、前途のように秘密鍵をしっている、
内部犯行でコインを盗まれしまう。ということも
可能性はかなり低いですが絶対無いとは言えないわけです。
少額ならまだいい(良くはないけど)として、
取引所にそのまま保管している場合は危険で、
・自分だけの銀行
・自分だけの口座
・自分だけしか知らないpinコードと秘密鍵
を準備して大事な暗号通貨を保管しましょう!
ということですね。
同レベルで安全なのは
ペーパーウォレットというものがありますが、
それを作るときに、いったんペーパーウォレットに入金すると、
使うときに面倒と言うか、手間でもあって、
また、一部だけを使うということが出来ないのです。
Trezor のハードウェアウォレットは、
秘密鍵を完全に守りながらも、
普通のウォレットのように入出金がスムーズにできます。
Trezorは、
秘密鍵を特殊なチップに内蔵しているのですが、
チップは秘密鍵を保管して、それをつかって電子署名します。
それしかできない専用チップであるわけですが、
ハードウェアという特質性を考えてもウイルスからも安全です。
そのチップは、
署名しますか? しませんか?
という以外の命令を受け付けない仕組みで、
PC にもしウイルスがあった(侵入していた)としても、
秘密鍵を盗むということができないわけです。
Trezorに接続した PC ができることは、
チップに 署名してください。の、命令を出すことと、
署名した結果を受け取ること です。
では、、
PCが勝手に署名の命令を出した場合があったとします。
(何等かの原因で仮にですよ。)
USBで PC と繫いである Trezor(本体)の確認ボタンを押さないと
署名されないようになっているので安全です。
本体=ハードウォレット側でのトラブル時は?
・チップ自体が壊れる
・本体を紛失してしまった
トレザーは、BIP32 の階層ウォレットを使っています。
全てのアドレスが、
24ワードの リカバリー パスフレーズをメモっておくことによって、
再現できるようになっています。
本体を紛失してしまっても、
先ほどの 24ワードのパスフレーズで、
新たな トレザーを購入後、再インストールができます。
または、
BIP32 をサポートしているウォレットがあれば、
24ワードを入力することでビットコインを取り出せます。
パスフレーズを再入力する時
パスフレーズ=秘密鍵と言ってもいいのですが、
PCからパスフレーズを入力して、
キーロガーなどが入っていた場合は盗まれてしまいます。
それを防止するために、
24ワードの順番をトレザーが指定します。
キーの 5番目を入れてください。
次は 15番目を入れてください。
のように順番をランダムに指定します。
24ワードが全部盗まれたとしてもその順番を当てることは
恐ろしく困難なことで、
さらに別でダミーのワードを挟んでくるので
本来のパスフレーズでないものも入力する必要があります。
これは、
ダミーのワードも含めて、
36ワードのうち、24ワードを選択し
さらにそれを100%の正しい順番で。の必要があるわけです。
これは数字では表せないほどの確率と、
世界中のビットコインマイナーのハッシュパワーを
使ったとしても 100年以上は かかるといった計算のようです。
トレザーは、
アカウントを複数作れるので、
用途によってビットコインを分けておくこともできます。
ハードウォレットということもあってアドレスを使いまわすこともなく、
取引ごとに新しいアドレスを生成してくれます。
取引所のウォレットにそのまま保管しておくのは
ハッキングされた! が、自分に来るかもしれないです。
トレザーは 15,000円(当初)で購入できます。
今はもうちょっと安いかも。。
●ヴィトンやエルメスの財布には 100,000円出せるけど、
●ハードウォレットに 15,000円 は出せない。
というのは矛盾しています(´・ω・`)
同じお金を保管しておくところです。
暗号通貨は大事はお金(正確には違いますが)です。
大事なお金は安全性の高いところに保管しておきましょう☆
[…] ⇒ Zaif TREZOR™(トレザー) […]