ウォレットのセキュリティ

ビットコインは日本円などの法定通貨と比べ、現状では盗難や紛失により資産が失われてしまうリスクの高いものです。

ビットコインの最低限の仕組み・用語の意味や保管方法ごとのリスクについてしっかりと理解しておくことで、大幅なリスク軽減につながるため、ここでは取引所や各種ウォレットのセキュリティについて解説します。

前提知識

ウォレットを使用する上では、最低限以下の用語の意味を理解しておきましょう。

アドレス

ビットコインにおける「口座番号」の役割を果たしています。ただし、銀行の口座とは異なり、非常に簡単にいくつでも無限に作成・保有することが可能でプライバシー等のために毎回新規作成することもある程なので、「メールアドレス」に例えられることもあります。アドレス(+秘密鍵)の集合のことを「ウォレット」と呼びます。

ビットコインアドレスは1や3からはじまる26から35桁(ほとんどが34桁)の英数字の羅列です。一定の規則に従ってビットコインアドレスは作成されるため、送金先アドレスのコピーが一文字足りなかったり入力ミスで何文字か間違えてしまったりしても、アドレスとしては無効なものと判定され送金不能となるので別のアドレスに送られてしまうことはありません。

秘密鍵(プライベートキー)

送金のための「暗証番号」や「パスワード」の役割を果たしています。ふつう、一つのアドレスに対してただ一つの秘密鍵が対応しており、従来システムの暗証番号やパスワードとは異なり、秘密鍵のみからアドレスを算出することが可能なので、秘密鍵を他人に見られると簡単にビットコインを盗難されてしまいます。

ビットコインアドレスと同様の英数字の羅列のかたちで表現されますが、どのウォレットでも特別な操作をしない限り秘密鍵が画面に表示されることは通常ありません。送金の際にはウォレットソフト内部に含まれている秘密鍵を使用する作業が行われています。

復元用パスフレーズ

最近のウォレットでは、ほとんどの場合設定されているのが復元用のパスフレーズです。リカバリーフレーズなどとも呼ばれ、12単語から24単語の英単語または日本語の単語で構成されます。

パスフレーズというのは無限に近い複数の秘密鍵のマスターキーの役割を果たしており、一つのパスフレーズから同じ秘密鍵のセットを作成することが可能です。秘密鍵からは直接アドレスが算出できるので、同時にアドレスも判明します。

ビットコインを保管している端末が故障しても、パスフレーズさえ安全に保管しておけば別の端末からウォレット内のアドレス(+秘密鍵)をすべて復元することができます。逆に、他人にパスフレーズを見られるとウォレット内のすべてのビットコインを盗み取られてしまいます。

ビットコインを失うリスクについて

ビットコインを失うリスクには、大きく分けて「盗難リスク」と「紛失リスク」の二つがあります。盗難リスクは悪意のある他人にビットコインを盗まれてしまう危険性であり、紛失リスクはビットコインの秘密鍵の場所が分からなくなって送金できなくなってしまう危険性です。

当サイトでは、紛失リスクよりも盗難リスクの軽減を重要視し、最も盗難リスクが高いと思われる取引所を多額のビットコインの保管に利用することは非推奨の立場をとっていますが、二つのリスクはトレードオフ的な関係にあり、万能で絶対に安全であるという保管方法はないので、どの保管方法にどのようなリスクがあるかというのを理解してどこに保管しておくかを個人の価値観によって判断するのが重要となります。

以下より盗難リスクが高いと思われる順に保管方法ごとのリスクを解説します。

①取引所、秘密鍵を預けるウェブウォレット

ウェブウォレットとは書きましたが日本の場合はすべて取引所と考えて良いと思います。海外には取引所ではない単なる秘密鍵を預けるタイプのウェブウォレットもあります。イメージとしては銀行に預けるのと同じものですが、取引所は法規制によって手厚く保護されてる銀行とは異なる点には注意しましょう。

盗難リスク

第三者にお金を預けることになるので、預けている取引所自体が外部からハッキングを受け盗まれる可能性や内部犯行により盗まれる可能性があります。盗難時の被害額が大きい場合、顧客の資産が補填できず倒産、預けていたビットコインが返ってこないという事態も考えられます。ただし、倒産によるリスクは2017年4月の仮想通貨法の施行を受けて登録制・認可制になることで今後ある程度軽減される方向に向かっていくとは考えられます。

現実的に最もリスクが大きいのは、自分のアカウントに不正ログインされ、ビットコインを不正送金されてしまうケースです。二段階認証をかけていても突破される事例は多くありますし、銀行のインターネットバンキングの不正送金でさえ多く起きています。預金保護法で規制されている銀行の場合でも自分の過失(パスワードを自分の過失で流失等)による不正送金は全額補償はされないので、補償についての法規制が全くないビットコイン取引所では自己責任ということで十分注意しましょう。

紛失リスク

お金を預けているので、自分の不注意による紛失リスクというのは非常に小さいと考えられます。ログインパスワードを紛失しても再設定が可能ですし、よっぽど顧客情報の管理がずさんな取引所でない限り、紛失リスクは無視できるでしょう。

その他のリスク

秘密鍵を自分で保有していないために、その他のリスクがいくつか存在します。直ちに資産を失うものではありませんが、送金手数料を自分で完全に自由には設定できないため早く送金完了させたくてもできない、出金には他人の許可が必要となるためそもそも送金実行に時間がかかる場合がある、など24時間365日いくらでも自分で送金が可能というビットコインの特徴が失われてしまうものです。しばらく放置していたら取引所が気が付かない間にサービス終了していて取り出せなくなった、という可能性もあります。

専門的になってしまいますが、それ以外にも万が一ビットコインが分裂した際に一方のコインしか受け取れない可能性がある、ビットコイン残高をもとに仮想通貨を配布するようなプロジェクトのトークンを受け取れないなどのリスクが考えられます。

②秘密鍵を自分で管理できるウェブウォレット

blockchain.infoに代表されるウォレット形式で、異なるPCやスマホからも同じウォレットに容易にアクセスできるため、使用上は便利といえますが、盗難リスク及び紛失リスクともに高いので十分リスクを理解している人以外には現在はおすすめしておりません。

盗難リスク

お金を預けているわけではないので、倒産によるリスクはありませんが、取引所と同様にアカウントへの不正ログインによる盗難リスクがあります。

紛失リスク

秘密鍵や復元用のパスフレーズの情報は自分で管理することになるので、紛失リスクが発生します。

③デスクトップウォレット、モバイルウォレット

自分のPCやスマートフォンにビットコインの秘密鍵(パスフレーズ)を保管するタイプのウォレットです。ここから先の保管方法はすべて「タンス預金」に当たるもので、保管が完全な自己責任となります。

盗難リスク

PCやスマートフォンがウイルス感染したりハッキングを受けたりすることによって秘密鍵を盗み出される可能性があります。現状では、まだそのようなウイルス等は大きく広がっていませんし、個人のPCに不正アクセスされるリスクは取引所のアカウントに不正ログインされるリスクと比較すると非常に小さいため、取引所の盗難リスクと比較すると大幅に安全だと考えられます。

ただし、ビットコインの普及とともに今後ウイルス等が広がっていく可能性も十分考えられますし、基本的に多額の保管にはおすすめできません。一般的にPCよりもスマートフォンのほうがウイルス感染のリスクは低いといわれていますが、ゼロではありませんし普段から持ち歩くスマートフォンには紛失からの盗難リスクも発生する(スマホ自体やアプリにパスワードによるロックを掛けておくことで、大幅にリスクを減らすことが可能)ので、一概にPCとスマホのどちらが安全とは断言できません。

紛失リスク

PCやスマートフォンの故障によるリスクはありますが、秘密鍵・パスフレーズさえあれば復元が可能なので、その点はほとんど無視できます。ただし、自分で秘密鍵・パスフレーズを管理することになるので、パスフレーズ自体の紛失のほか、パスフレーズのメモし忘れやメモの間違い等があると紛失につながるので注意が必要です。間違いを防ぐために多くのウォレットでは確認画面が用意されていますが、そうでない場合は必ず自分で試すようにすると良いでしょう。

ほとんどの場合はパスフレーズをバックアップをとるだけで対策となりますが、中には電子データ形式でしかバックアップがとれないものもあるので、その場合はデータの破損リスクなどが発生します。

④オフライン環境下のデスクトップウォレット

インターネットに接続された通常のPCと接続されていないオフライン環境下のPCの2台を用意し、秘密鍵を保管するオフラインPC上で送金データを作成した後、送金データを秘密鍵を保管していないオンラインPCに移して送信する方法です。

通常のデスクトップウォレットよりは安全だと思われますが、2台のPCが用意できるのであれば、最後に説明する「マルチシグネチャウォレット」を作成することをおすすめします。

盗難リスク

インターネットに接続していない端末のみに秘密鍵を保存することになるので、通常のデスクトップウォレットよりは盗難リスクが低いと考えられますが、USBメモリを通じてウイルス感染する可能性もあるので注意が必要です。

紛失リスク

通常のデスクトップウォレットやモバイルウォレットと同様にパスフレーズのメモ忘れや間違い、メモの紛失が紛失リスクとなります。

⑤ペーパーウォレット

紙媒体などに秘密鍵を印刷することにより長期保管する方法です。セキュリティ上、一度秘密鍵を読み取ると使用不可となり長期保管専用なのがデメリットと言えます。

盗難リスク

秘密鍵の作成ツールをダウンロードしてオフライン環境下のPCで秘密鍵を作成、印刷することによりビットコインを保管します。ツール自体にウイルスや悪意のあるコードが混入していたり、作成するPCがウイルス感染していると、盗難されるリスクとなります。

ただし、作成時と読み取り時以外には一切盗難リスクが発生しないので、正しく作成さえできれば最も盗難リスクが低い保管方法です。

紛失リスク

これは自分で秘密鍵を保管するタイプのウォレットすべてに共通することですが、紙に印刷することになるので、紙自体の紛失リスクや劣化リスク等があります。ただし、ペーパーウォレットは、基本的には英単語などから構成されるパスフレーズではなく無秩序な英数字の羅列からなる秘密鍵を直接印刷することになるので、一文字でも正しく読み取れないと秘密鍵の推測が不可能でビットコインの紛失によりつながりやすいといえます。

そのため、他の保管方法でも同様ではあるのですが、より一層紙自体の保管方法に気を使う必要があります。例えば金属等に刻印することを含め劣化に強い材質のものを使用したり、火事対策に耐火金庫に入れたり、複数同じものを印刷して分散保管することなどが考えられます。

⑥ハードウェアウォレット

専用の端末に保管する方法です。盗難対策のための専用機器なので、最も安全な保管方法の一つですが、やや操作が面倒であったり高価なのが欠点といえます。

盗難リスク

専用機器が使われているので、ゼロではありませんが総合的に見て最もリスクが低い保管方法だと考えられます。使い方さえ覚えれば事前に難しい知識をもつことなく安全に使用できるので、購入する必要がある点を除いてはウイルス対策により気を使わなければならないペーパーウォレットよりも万人にすすめやすいと言えるでしょう。

紛失リスク

ウォレット端末が故障するリスクもあるので、他の保管方法と全く同じパスフレーズの紛失リスクが存在します。ハードウェアウォレットに保管しているから安心と油断して、パスフレーズのメモの管理を疎かにしていると、端末が故障したときにビットコインを失ってしまうので十分注意しましょう。

全般的なセキュリティ向上策

すべての保管方法に共通するリスク軽減策として以下のようなものがあります。

分散保管

絶対に安全な保管方法というものはありません。そのため、万が一を考えて、例えば複数の取引所を利用したり、複数のハードウェアウォレットを購入したり、取引所とデスクトップウォレットとペーパーウォレットに分けておくなど、資産を分散しておくことが重要です。

マルチシグネチャアドレス(ウォレット)

マルチシグネチャアドレスとは、送金のために1つのアドレスに対し複数の秘密鍵(実際的には複数のパスフレーズ)が必要になる特殊なアドレスのことです。通常のビットコインアドレスは1からはじまりますが、マルチシグネチャアドレスは3からはじまります。

エスクローや複数人による共通の資産の管理など様々なマルチシグネチャを利用した応用がありますが、個人のビットコイン管理で使う際には二段階認証的な役割を果たし、利用にはPCとスマホ、ハードウェアウォレットとスマホ、2台のPC、2台のハードウェアウォレット等複数の端末が必要となります。

送金に複数の端末(内の秘密鍵)が必要となることで、ウイルスやハッキングによる盗難リスクを大幅に減らすことが可能となります。ただし、その分複数の復元用パスフレーズをすべて安全に保管しなければならず、紛失リスクが増大してしまいますので、十分検討の上利用してください。

2 of 2のマルチシグネチャアドレス

通常、m of nのマルチシグネチャアドレスといったとき、n個存在する秘密鍵のなかで送金にm個の秘密鍵を必要するアドレスのことを指します。2 of 2なので、2個中2個の秘密鍵を使えば送金が可能なアドレスということになります。これが最も基本なかたちのマルチシグネチャアドレスになります。

2 of 3のマルチシグネチャアドレス

紛失リスクを軽減するために、2 of 3のマルチシグネチャの利用も考えられます。この場合、例えば3つのパスフレーズを、自分が住む家、家族・親戚が住む別の家、銀行の貸金庫にそれぞれ分散して保管しておけば、どれか一つを紛失しても二つのパスフレーズが安全であれば送金できることになります。

ただし、2 of 3の場合は、3つのパスフレーズがそろわないとアドレスそのものが分からなくなってしまうというリスクが存在するため、3つのマスター公開鍵(復元用パスフレーズのアドレス版、秘密鍵の情報は含まれていないがウォレット内のすべてのアドレスを復元できるマスターキー)すべてを列記したものをそれぞれのパスフレーズと合わせて保管しておかなければならない点に注意が必要です。

最終更新日: 2017年05月29日

コメント欄

ゲスト(匿名)としての投稿の場合は、任意のメールアドレス(非公開、123@456.com等ランダムな文字列でも可)の入力も可能です。SNS等を利用してログインした場合には、自分の投稿を編集することができます。

現在、情報提供のコメントや間違いのご指摘コメントに対して独自トークンをお送りする実験企画を実施中です。企画に参加したい場合は、コメントの最後に送付を希望するCounterpartyなどのアドレスを書いてください。(プライバシー保護のため送付後にコメント内のアドレスは削除させていただきます。)