国内取引所比較(セキュリティ編)

このページでは、国内取引所のセキュリティについて比較します。

各取引所によってセキュリティの優劣の差はあると思われますが、外部からは取引所内部のセキュリティ体制の評価が非常に困難です。本ページは実際のセキュリティの差というよりも、どれだけセキュリティをアピールしているかという比較になります。当サイトでは、どこの取引所も信頼できずビットコインを保管する場所ではないというスタンスで、できる限り個人のウォレットにビットコインを保管しておくことを推奨しています。

※取引所は個人のウォレットと比べて紛失リスクが少ないというメリットがあり、自分で調べることやコンピュータ関連が苦手な人は取引所の方が安全な場合もあります。ウォレットの種類別セキュリティのページも参照して、個人の価値観などをもとに保管場所を決めてください。

各取引所共通のセキュリティ施策

以下のセキュリティ施策は、そもそも法規制されているなどの関係でどこの取引所も行っているものです。法令遵守している限り、ただこれらを実施しているからと言ってその取引所のセキュリティが他よりも特に優れているわけではありません。

顧客資産の分別管理

顧客資産は取引所の運営企業の資産と分別管理することが法律で義務付けられています。これにより、仮に取引所が経営破綻しても原則では顧客資産は保護されるようになっています。

顧客資産(金銭)の信託保全

顧客資産は信託会社などに信託保全することが法律で義務付けられています。法律上は法定通貨が対象であり、仮想通貨の資産には適用されないので注意しましょう。

コールドウォレット

コールドウォレットとはインターネットに繋がっていないオフライン環境のウォレットのことで、95%以上の顧客資産(仮想通貨)をコールドウォレットに保管することが法律で義務付けられています。

ホットウォレット(オンライン環境のウォレット)として仮想通貨を保管している場合には、それと同量の仮想通貨を別に保持しておくことも義務付けられています。

マルチシグネチャウォレット

マルチシグネチャウォレット(マルチシグ)とは送金のために二つ以上の秘密鍵が必要となるウォレットのことです。仮想通貨の種類によっては、プロトコルとして実装されていないものもあり、無理矢理マルチシグにしてもセキュリティが必ずしも向上するわけではないので、法律としては義務付けられていません。

ビットコインの場合はほとんどの取引所が導入しているものと思われますが、マルチシグはただ導入すればいいというよりは鍵の管理体制がどうなっているかが非常に重要なので、外部から見た評価は難しいです。

登録・ログイン関連のセキュリティ

ログイン時の二段階認証・強力なパスワード設定や不正利用対策のアカウントロック、その他犯罪対策などのための本人確認などです。

これらはどの取引所でも導入されており、利用者側でも気を付けなければならないことなので、二段階認証などの設定はしっかりとしておくようにしましょう。

各取引所のセキュリティページ

各取引所がセキュリティに関する特設ページを作っている場合に、そのページ及びそこに記載されている上記以外の主な施策を掲載しています。あくまで取引所サイトに記載されている内容だけなので、実際には他の取引所でも実施されていることも多くあると思われます。

取引所名 その他のセキュリティ施策 セキュリティ施策ページ
coincheck - https://coincheck.com/ja/documents/security
GMOコイン 脆弱性情報の収集や外部のセキュリティ専門家による定期的なシステム脆弱性診断など https://coin.z.com/jp/corp/about/security/
DMM Bitcoin 脆弱性情報の収集など https://bitcoin.dmm.com/about/security
BTCBOX - https://blog.btcbox.jp/about-storage
bitFlyer 社内システムへのウイルス・ハッキング・フィッシングメール対策など https://bitflyer.com/ja-jp/s/regulations/security
bitbank バグバウンティプログラム、ISMS認証取得など https://info.bitbank.cc/info/security-about
Zaif - -
BITPoint - https://www.bitpoint.co.jp/bunbetsu/
Coin Estate - -
SBIVCトレード サイバー攻撃・内部犯行への対策など https://www.sbivc.co.jp/crypto-assets/efforts-for-safe-trading
BitTrade - https://www.bittrade.co.jp/ja-jp/about/security/
楽天ウォレット - https://www.rakuten-wallet.co.jp/service/security.html
LINE BITMAX 専用のハードウェアによる秘密鍵生成・署名(HSM)など https://terms2.line.me/linexenesis_walletmanagement
OKCoinJapan - -
CoinBest - https://www.coinbest.com/cms/agreement/security
CoinTrade - https://coin-trade.cc/docs/security/
WhaleFin - -
Binance - https://coin-trade.cc/docs/security/

SSL関連セキュリティ

SSL(Secure Socket Layer)とはインターネット上でパスワードなどの個人情報を暗号化して送受信する仕組み・技術のことであり、近年はほぼすべてのサイトで導入されており、SSL導入済みのサイトはhttps://からはじまるアドレスとなっています。

取引所全体のセキュリティには、ウェブサイトのセキュリティ、アプリのセキュリティ、取引所内部の技術的システムや人的組織・管理体制など様々な要素に依存していますが、SSLはウェブサイトのセキュリティの一部にしか関係せず、SSL関連のセキュリティが優れてるからと言って取引所全体のセキュリティが優れている、またはその逆とは限りません。

外部からの評価が困難な取引所のセキュリティの中でも、SSLは客観的かつ手軽に誰でも確認できるので、参考までに本ページで紹介しています。下表はあくまでも当サイトが調査した時点のデータで、日々変化する可能性があるのでご注意ください。※調査SSLの有効期限が切れる時期に再調査して更新しています。

取引所名 認証局 タイプ Qualys評価 HSTS HSTSプリロード 調査ドメイン 調査SSL有効期限
coincheck Amazon DV B - - coincheck.com 2024/03/22
GMOコイン GlobalSign EV A - - coin.z.com 2024/05/14
DMM Bitcoin GlobalSign EV A - - bitcoin.dmm.com 2024/07/24
BTCBOX GlobalSign OV A+ - www.btcbox.co.jp 2024/08/04
bitFlyer DigiCert EV A+ - bitflyer.com 2024/07/10
bitbank Amazon DV A+ app.bitbank.cc 2024/02/22
Zaif GlobalSign EV B - - zaif.jp 2024/04/28
BITPoint Cloudflare DV A - - trades.bpj-ex.com 2024/04/20
Coin Estate Amazon DV A - - www.j-himalaya.co.jp 2024/06/21
SBIVCトレード SECOM EV B - simple.sbivc.co.jp 2024/03/31
BitTrade CyberTrust OV A+ - www.bittrade.co.jp 2024/02/13
楽天ウォレット DigiCert OV A - - my.rakuten-wallet.co.jp 2024/01/14
LINE BITMAX GlobalSign OV A - - access.line.me 2024/09/10
OKCoinJapan Amazon DV A - - www.okcoin.jp 2023/12/20
CoinBest Amazon DV A - - www.coinbest.com 2023/12/09
CoinTrade Starfield EV B - - trade.sf.coin-trade.cc 2024/01/22
WhaleFin DigiCert DV A - - pro-jp.whalefin.com 2023/10/22
Binance DigiCert OV A+ - accounts.binance.com 2024/02/17

認証局

SSLを発行している企業・団体のことです。

タイプ

SSLの証明書にはDV(ドメイン認証)、OV(企業認証)、EVの3種類があります。そもそもSSLの役割には暗号化以外にも、実在証明という本当にそのサイトを運営している企業が存在しているのかを証明する役割もあります。DVは暗号化のみである一方、OVやEVは実在証明の役割も果たしておりEV>OV>DVの順で取得するための費用が高くなり審査も厳しくなります。

主にフィッシング対策にOVやEVが用意されていますが、実際はフィッシング詐欺に合わないようにわざわざSSLを確認する人は多くないと思われ、どちらかと言えば運営サイトのセキュリティのアピールの意味にしかなっていない実情もあります。かつては、EV SSLをもつサイトはブラウザのアドレスバーが緑色で表示されわかりやすかったのですが、現在の主要ブラウザではいちいちSSLの詳細情報を確認しないと分からないようになっており、さらにその傾向が強まっています。

上表は取引所のログインページのドメインに使われているSSLを調査したものですが、SSLのタイプによって暗号強度などは変わらないので、その取引所のトップページとログインページでドメインが違う場合は、トップページではEVだがログインページではDVという取引所もあります。

Qualys評価

SSLの評価サイト(Qualys SSL Server Test)によるSSL評価です。URL・ドメインを入力すれば誰でも調べることができ、証明書のセキュリティが総合的に評価されます。

新たな脆弱性の発見や証明書の更新状況により評価が変わる場合があるので、最新の正確な情報は上表だけではなく各自で上記URLからチェックしてください。

※本評価はあくまでSSLのみが対象であり、取引所全体やウェブサイト全体のセキュリティを評価するものではありません。

HSTS

HSTSとはHTTP Strict Transport Securityの略で、ブラウザにSSLが適用されていないhttp://で始まるURLを入力しても、実際はhttp://とは通信せずにhttps://と直接通信するように指示するものです。

通常はhttpから始まるURLにアクセスするとhttpと通信した後にhttpsへと遷移することになりますが、HSTSが有効だとhttpを中継せずに直接httpsと通信するため、httpsに遷移する前の段階で行われる攻撃を防ぐことができます。

HSTSプリロード

HSTSが有効にされているかどうかはまずはそのサイトにアクセスしなければ分かりません。そのため、HSTSが有効であるサイトでも初回のアクセス時にはhttpとの通信が試みられ攻撃の余地が残ります。

そこでHSTSを適用しているサイトとしてデータベースに登録できるサービスをGoogleが提供しており、ブラウザが事前にそのデータベースを読み込むことで、HSTSプリロードに登録されているサイトでは初回のアクセス時からHSTSが適用されhttpの通信を試みることはありません。Chrome, Firefox, Safari, Edgeなどの主要ブラウザが対応しています。

なお、主要ブラウザではそもそもサイトの設定に関係なくソフト側でHTTPS通信を強制するようなモードも実装されており、今後はHSTSやHSTSプリロードをサイト側で有効化しなくても自動的にブラウザがHTTPSにアクセスする流れになることも考えられます。

調査ドメイン

上表のSSLデータを調査したドメインです。トップページではなく、パスワードなどの個人情報が入力されるログインページのドメインを調査対象としています。複数ドメインが利用されている取引所もあるので、調査ドメインと違うドメインでは上表と異なる可能性があります。

調査SSL有効期限

調査したSSLの有効期限です。稼働中の取引所のSSLが期限切れのまま放置されることは考えにくいので、上表の期限が過ぎている場合は単純に上表のデータ更新が遅れているものとお考え下さい。

全取引所を定期的に一括で調査するのは大変なため、有効期限切れ後または有効期限前のSSLが更新されるタイミングで各取引所ごとに上表のデータを更新する予定です。

最終更新日: 2023年09月03日

コメント欄

コメントシステムを試験的に変更し、メールアドレスの入力やSNSからのログインを廃止しました。投稿後5分以内であれば編集や削除が可能です。その後に削除したいコメントがあれば依頼していただければこちらで削除いたします。

質問については出来る限りお答えしていますが、個人が運営している関係上対応の遅れや見逃し等限界もあるのでご了承ください。