2018年3月22日付で、あるニュースが発表されました。その内容は、仮想通貨を狙った取引所などへの不正アクセスが、2017年の1年間だけで149件にも上ったというものです。被害額も6.6億円と非常に高く、近年話題にもなった取引所へのハッキングと同じくらい警戒が必要になっています。では実際のところ、仮想通貨はどのような経路で流出していて、被害を防ぐためにはどうすればいいのでしょうか。
2017年に発生した仮想通貨流出の詳細
まず初めに断っておきたいのですが、この「2017年に発生した仮想通貨の流出および盗難被害が149件も発生した」というのは、あくまでも日本全国の警察が把握している認知件数になります。つまり、実際はもっと多くの被害が発生している可能性もあるのです。ただでさえ日本の警察はサイバー犯罪への対策が遅れていますし、認知できていないものがあったとしても特段おかしくはないでしょう。
警察庁によると、仮想通貨流出の被害を受けた取引所は国内外あわせて19社。年間の認知件数を集計したのは2017年が初めてですが、被害時期不明のものと2016年までの被害を合わせても7件だったことなどから、以前より被害は増えていると見られています。
一方の被害額は6億6240万円となっており、そのうち4億5350万円はリップルです。仮想通貨界のトップをひた走るビットコイン(1億9440万円)に比べ、倍以上の被害額となっているのは意外なところ。
ここまで被害の膨らんだ理由として第一に挙げられるのは、仮想通貨がハッカーにとって盗むに値するものとなったことです。2017年に大人気となった仮想通貨は今や多くの人が所持しており、ハッカーたちにとってはターゲットが増えてやりやすくなったと言えます。
また、大半の仮想通貨は価格が暴騰しているため、1度の流出で盗める金額も増えているのです。さらに、ブームに乗っかって仮想通貨を始めた人の多くはセキュリティ意識が低く、管理がずさんであることも被害の増加に拍車をかけていますね。
ちなみに、2017年だけで判明した仮想通貨流出149件のうち、なんと122件は仮想通貨の管理方法が甘かったため起きてしまったと見られているのです。例えば、取引所が2段階認証を推奨しているにもかかわらず、IDとパスワードだけで管理しているような人が対象になりました。
これは全体のおよそ82%にもなる数字であり、どれほど管理の甘さが仮想通貨を盗まれるという事態に直結しているか、よく判る結果でしょう。
最も多い手口は取引所に作ったウォレットへの不正アクセス
こうした管理の甘さなどもあり、2017年に仮想通貨が流出した149件で最も多かった手口は「ウォレットへの不正アクセス」となりました。ウォレットへ不正アクセスされると、たちまち預けていた仮想通貨は犯人の口座に流れていくことでしょう。
パソコンの高性能化が著しい現代において、ハッカーは凄まじいスピードで様々なIDとパスワードの組み合わせを試すことができるため、推測されやすいものを設定していると瞬く間に乗っ取られます。
ここで先ほども話に出た2段階認証、例えばワンタイムパスワードや追加の本人確認を用意していれば、殆どの場合ハッカーは面倒だと判断して諦めてくれます。こういったものを必ず利用するよう心掛けるだけでも、あなたのウォレットが乗っ取られる可能性は非常に低くなるでしょう。
ほんのひと手間ですから、使える方は必ず利用してください。万が一、そういった2段階認証の無い取引所を使っているなら、取引所を乗り換えることも考えるべきです。
ターゲットを銀行口座から仮想通貨口座に切り替えている
ところで、仮想通貨のウォレットへ不正アクセスされる件数が増えた大きな要因として、今まで銀行の口座を狙っていた人がターゲットを切り替え始めた、ということも挙げられています。
銀行口座に入っている現金を狙う手段は数多くありますが、最近ではATMに専用の機械を仕込んだり、ネットバンキングの偽サイトを作ったりするなど、巧妙化が進んでいます。その一方で当然ながら銀行側の対策も進んでおり、それこそ送金に際いてワンタイムパスワードを導入する、モニタリングを強化するなどといったセキュリティ強化も施されてきました。
その甲斐あってか、ハッカーが銀行口座をそう簡単には乗っ取れなくなり、ネットバンキングへの不正アクセス被害はピーク時に比べ、件数ベースで4分の1にまで減少したのです。
そんな最中、まだ2段階認証すら周知されていないほどセキュリティ意識の低い仮想通貨取引所が登場したのですから、ハッカーは見逃さないはずがありません。彼らにとってはブルーオーシャンに見えたことでしょう。
2段階認証を利用していても安心はできない
では、2段階認証を利用していれば安心安全かというと、そうでもありません。それどころか、2段階認証を利用していたのに仮想通貨を盗まれたケースも後を絶たないのが現状です。「でもそれを使ってさえいれば補償があるよね」と思われるかもしれませんが、その補償金額には上限が設けられている取引所もあり、全額が返ってくる保証は無いのです。
さらに、もし2段階認証に携帯電話のSMSを使用していると無意味に等しくなります。そもそもSMSの送受信技術に脆弱性があり、あっさり内容を読み取られる可能性があるからです。
スマートフォンに入れることのできるウォレットアプリが原因で、仮想通貨を盗まれてしまう可能性もあります。いわゆる偽ウォレットと呼ばれるもので、ここにあなたのウォレット情報を入力したが最後です。特に、審査が厳しいはずのAppStoreで平然と配信されていたこともあり、被害に遭ってしまう人も多くいました。偽物という括りで言えば、仮想通貨取引所の偽サイトにも気を付けなければなりませんね。
また、ウォレットと紐付けているメールアドレスが同時に乗っ取られるケースも発生しており、その場合は「不正アクセスがあったかもしれません」といった旨のメールを陰で処分されてしまう恐れもありますし、メールボックスの中身からログイン情報を推測されるようなことも起こりかねません。
今のところ固いセキュリティだと言えるのは、やはりハードウェアウォレットでしょうか。しかし、こちらも現物そのものを紛失するなどして盗難に至る可能性があり、100%安全とは言い切れません。ソフトウェアウォレットのセキュリティ向上なら、特定のIPアドレス以外でアクセスできないようにすることが挙げられます。この意味が理解でき、実行できる人はやっておくべき効果的な手段です。
取引所・投資家双方の努力で仮想通貨流出を防ぐ
どうしても仮想通貨の流出となると、「取引所がちゃんとしていないからだ」と言われがちな傾向にあります。確かに、最近のコインチェック事件などはさすがに取引所側の落ち度が大きいでしょう。しかし、日常的に行われる比較的少額な仮想通貨の盗難は、およそ投資家側に責任のあるケースが多いのです。
たとえば、企業側の努力で被害件数の大きく減った銀行の件にしても、未だフィッシングサイトに引っかかって口座を乗っ取られる人は少なくありません。それと同じく、取引所の対策だけでは全ての仮想通貨流出を防ぐことはできません。仮想通貨を取引所で安全に運用するためには、取引所だけでなく投資家の努力も求められているのです。
