【2019年】国内仮想通貨取引所の「セキュリティ対策・資産管理状況」まとめ

仮想通貨取引所BITPoint（ビットポイント）で仮想通貨の流出事件が発生したことを受けて、日本国内の仮想通貨取引所は自社の「セキュリティ対策・資産管理状況」に関するアナウンスを行なっています。この記事ではそれらの内容や各取引所が行なっているセキュリティ対策の内容などを取引所別にまとめて掲載しています。
2020年6月追記：仮想通貨の呼称は2020年5月に「暗号資産」へと変更されました。記事内に記載されている「仮想通貨取引所・仮想通貨」などの表現は2020年5月以前の表現であり、現在は全て「暗号資産」へと変更されています。

こちらから読む：お得なキャンペーン情報も掲載「仮想通貨取引所」関連ニュース

Liquid（リキッド）

Liquid（リキッド）は、今回発生した事件のような「仮想通貨流出」の事象は発生していないと報告しており、顧客資産を安全に保管するために以下のセキュリティ対策を実施していると説明しています。

【セキュリティ対策】
・100％コールドウォレット管理
・マルチシグ対応（BTC・BCH対応済）
・出金先の仮想通貨アドレスのホワイトリスト化
・API経由での出金の禁止
・お客様の出金依頼から完了まで4段階のステップを設定
　1.出金依頼
　2.2段階認証（2FA）
　3.お客様への出金依頼内容確認メール送付およびお客様による出金内容の再確認
　4.弊社専任スタッフによるオフライン環境での出金作業
・WEB/スマホアプリでのログイン時も2FAの必須化

また、下記のような「組織体制の構築」や「包括的なセキュリティチェック」などといった、同社ガバナンスを強化した上での実効性のある運用を既に行っているとも報告されています。

【組織・体制対策】
・CEO栢森を中心とした危機管理委員会の設置
・第三者機関の外部専門家によるセキュリティチェック
・コールドウォレットが実装できない仮想通貨の取扱禁止
・外部のみならず内部犯行防止の為の各種施策

>>「Liquid」のセキュリティ対策に関する詳細はこちら

bitbank（ビットバンク）

bitbank（ビットバンク）は、今回の事件を受けて同社セキュリティの再点検を行なった結果、ホットウォレット・コールドウォレットからの仮想通貨の不正流出は確認されておらず、セキュリティ上の重要な脆弱性も検出されなかったと報告しています。

同社で管理しているホットウォレットは分別管理の対象外となる仮想通貨で運用されており、顧客の分別管理対象資産は含まれていないとのことです。また、利用者に安心してサービスを利用してもらうために、顧客の仮想通貨は同社が管理しているコールドウォレットで保管されているとも説明されています。

「仮想通貨を狙った攻撃の概念」や「それを防止するために同社が行なっている運用管理方法」については、以下の公式ページで詳しく紹介されているので、そちらをご確認ください。
>>bitbankの「ウォレット運用体制」はこちら

Huobi（フォビ）

Huobi（フォビ）は、今回の不正流出を受けて「緊急点検」を実施した結果、同社が管理している仮想通貨で不正流出などは確認されなかったと説明しています。

同社は仮想通貨を管理する際に、マルチシグ(*1)含めた複数人承認による管理でウォレットの管理体制を構築しており、仮想通貨をコールドウォレットで管理している他、マルチシグが利用可能な仮想通貨ではマルチシグを採用して管理し、秘密鍵を物理的、仮想的に分散させた形で電子署名を行なっていると説明されています。
(*1)マルチシグ：仮想通貨を送信する際に複数の人物からの承認が必要な仕組み

ホットウォレットは、仮想通貨の利便性を損なわないようにするために採用していると説明されています。

>>「Huobi」のセキュリティ対策に関する詳細はこちら

DeCurret（ディーカレット）

DeCurret（ディーカレット）は、仮想通貨流出の報道を受けて「システムの臨時点検」を行い、同社が管理する仮想通貨の不正な流出がないことを改めて確認したと報告しています。

同社は、顧客預かり分の法定通貨・仮想通貨を自社資産と分別して管理しています。
法定通貨はジャパンネット銀行の口座でその名義が顧客資産であることが明確に分別していることが判断できる預金口座名義で管理しており、仮想通貨は顧客専用のコールド・ウォレットで自社資産と分別して管理していると説明されています。また、マルチシグで秘密鍵を管理することによって、万全な仮想通貨保管を実現しています。

また「情報セキュリティ」に関しても"厳密なシステムリスク評価基準"を設けており、「利用者から預かった情報」や「自社で管理している情報資産」を想定される脅威から保護することによって、情報保護およびシステム障害時の対応を適切に管理・整備をしています。

なりすまし・脆弱性攻撃・内部者による不正行為を含めた「サイバー攻撃」や「不正アクセス」などといった、システムの完全性・機密性が脅かされるリスクに対しても、適切なシステム対策を講じています。

>>「DeCurret」のセキュリティ対策に関する詳細はこちら

bitFlyer（ビットフライヤー）

bitFlyer（ビットフライヤー）は、仮想通貨不正流出の事件を受けて緊急点検を実施した結果、同社が管理する仮想通貨における不正流出は確認されなかったと報告しています。

同社公式サイトの「セキュリティ」に関するページには、
・アカウントロック機能
・携帯電話・デバイスによる2段階認証
・ログイン履歴の管理・確認メールの送信
・自動タイムアウト
・マルチ・シグネチャ採用
・コールドウォレットに80%以上を保管
・自動更新プログラム
・顧客情報データベースの暗号化
・自己診断機能による各サーバーのヘルスチェック
・各種サイバー攻撃への対策
・IPアドレス制限
・自己診断によるアラート自動送信
・暗号学論的に安全な疑似乱数生成器の使用
・携帯電話番号認証
・Facebook認証
・日本円・仮想通貨預入、払出における確認
・ウイルス・ハッキング対策
・資産の分別管理
などをはじめとする、非常に多くの対策が講じられていることが記されています。

一般的な仮想通貨取引所で導入されている仕組みだけでなく「独自の技術」や「自己診断機能」なども組み込んでいるビットフライヤーは、最先端の技術でセキュリティを高めるだけでなく、それによってサービスの利便性が損なわれることがないようにするために尽力しています。

>>「bitFlyer」のセキュリティ対策に関する詳細はこちら

coincheck（コインチェック）

coincheck（コインチェック）は、安全性・セキュリティを保つための取り組みとして、 ・顧客資産の分別管理 ・SMS・デバイスによる二段階認証 ・SSL暗号化通信 ・パスワードの強度チェック ・疑いのあるアクセスに対するアカウントロック ・自動タイムアウト などを採用しています。

同社は、セキュリティ認証を強化するためにSMSや、Google社が提供する認証アプリ「Google Authenticator」による二段階認証を採用しています。

また、不正アクセスの疑いのある人物のログインを防止するために、一定回数以上アカウント情報の入力に失敗した場合にはアカウントを一時的にロックする方式を採用しています。

この他にも、ユーザーがログインした状態で一定時間「何も操作しない状態」が続いた場合には自動的にログアウトされる「自動タイムアウト」の仕組みも採用されています。

>>「coincheck」のセキュリティ対策に関する詳細はこちら

GMOコイン

GMOコインは、セキュリティ強化・顧客資産管理のために、
・顧客資産の分別管理
・コールドウォレット管理とマルチシグ対応
・サイバー攻撃対策
に取り組んでいます。

同社は、顧客資産と自社資産を物理的に分別して保管しているだけでなく、営業日毎に過不足が生じていないかを算定・照合することによって、分別管理を徹底しています。

仮想通貨の保管方法としては、即時送付を行う必要がある仮想通貨以外は「コールドウォレット」で保管しています。また、コールドウォレットからホットウォレットに資金を移動する場合には、"複数部署からの承認"が必要となる体制をとっているため、資金移動でも高いセキュリティが保たれています。

仮想通貨を送金する際に"複数の秘密鍵"が必要となる「マルチシグ」は、同社のセキュリティ基準を満たすそれぞれの仮想通貨に導入されており、秘密鍵をセキュリティ構成の異なる複数の場所に保管することでリスク低減を図っています。

悪意の第三者からの"サイバー攻撃"に対する対策としては「ユーザーアカウントの乗っ取り」「システムへの侵入」という2つの観点から以下のような対策を講じていると説明されています。

『ユーザーアカウントの乗っ取り』に対する対策
・日本円出金や仮想通貨送付の際に、2段階認証を必須化
・ログイン実績のない環境からログインがあった際に、2段階認証を必須化
・ログイン履歴の記録とメールによるユーザーへの通知

『システムへの侵入』に対する対策
・システムの24時間365日監視
・外部のセキュリティ専門家による定期的なシステム脆弱性診断
・グループ会社と連携した脆弱性情報の収集

「GMOコイン」のセキュリティ対策に関する詳細はこちら

TAOTAO（タオタオ）

TAOTAO（タオタオ）は、
・顧客資産の分散管理
・24時間365日のシステム監視・運用
・コールドウォレットとマルチシグの活用
・不正ログインの防止
・適切な情報セキュリティ対策
・内部監査の実施
などを行なっています。

同社は、WAF（Web Application Firewall）を導入することによってアプリケーションの脆弱性をついた攻撃からユーザーを保護しています。

顧客資産は「コールドウォレット」を用いることによって外部のネットワークから完全に隔離された環境で管理されており、出金を行う際には、複数の人物による承認が必要となるマルチシグを導入することによって、顧客資産を保護しています。

不正ログインの防止策としては、2段階認証（2FA）を採用することによってアカウントの乗っ取りなどを防止しています。

>>「TAOTAO」の情報セキュリティ基本方針はこちら

DMM Bitcoin（DMMビットコイン）

DMM Bitcoin（DMMビットコイン）は、
・顧客資産の分別管理
・コールドウォレット運用
・出金時の不正行為確認
・不正ログイン防止
・社内セキュリティの強化
などに取り組んでいます。

同社は、ユーザーから預かった日本円を自己資金とは別口座で管理するとともに、仮想通貨も「同社保有分」と「ユーザー保有分」で物理的に分離して管理しています。また、仮想通貨ウォレット口座間で資金移動を行う必要がある場合は、取締役も含めた複数部署からの承認を受けた上で移動を行なっており、資金移動後もその内容を社内で共有しています。

顧客資産専用のコールドウォレットを保有している「DMM Bitcoin」は、顧客資産の90％以上をコールドウォレットで保管するために、営業日毎に顧客資産を確認しながらコールドウォレットを運用しています。コールドウォレットからホットウォレットへと仮想通貨を移動する際には、取締役も含めた複数部署からの承認を得た上で、2人体制で移動作業を行うようにしています。

仮想通貨の出金依頼を受けた場合には、申請を行ったユーザーのログイン履歴を確認し、不正な動きが行われていないか？の確認が行われるようになっています。この際に不正の疑いがあった場合には、出金を行う前にユーザーに連絡が行われるようになっています。またこの作業に関しても取締役も含めた複数部署からの承認を得た上で実施されるようになっており、出金後には社内で共有するようになっています。さらに出金を行う際には2つの作業工程があり、それぞれの工程は別の社員が行なっているとされています。

不正ログイン防止策としては、「不正アクセスの疑いのある通信を遮断するツール」を導入し、ログイン情報を監視することによって不正の可能性のあるログインを制限しています。またユーザーが出金を行う際の2段階認証（2FA）が必須となっており、これに生体認証を組み合わせることをユーザーに推奨しています。

社内セキュリティの面では、ファイヤ・ウォールを用いて外部からの不正アクセスを社内ネットワークに侵入させないようにしているほか、通信だけでなく社内端末の動きを「24時間365日体制」で監視しており、万が一の事態が発生しても即座に対応できる体制を整えています。

>>「DMM Bitcoin」ののセキュリティ対策に関する詳細はこちら

Zaif（ザイフ）

Zaif（ザイフ）は、安全な仮想通貨取引サービスを提供するために、
・預かり暗号通貨管理の強化
・ユーザー情報やバックアップデータ管理の強化
・システムインフラの堅牢性強化
・顧客からの預かり金を分離
・リスク管理やセキュリティ対策の強化
を行なっています。

同社は、ユーザーから預かっている仮想通貨残高の中の「流動しないもの」に関しては、システムから完全に隔離された状態で複数箇所に分けてオフライン管理しており、それらの資産を再移動する場合には権限を持った複数管理者の電子署名が複数段階に渡って必要となる内部統制制度を導入しています。

またユーザー情報やバックアップデータも、移行・読み出し・復元を行う際に"権限を持った複数管理者の電子署名"が複数段階に渡って必要となる仕組みを導入しています。

取引所のシステムに関しては、複数層に渡って外部から遮断することによって「内部への侵入が実質的に不可能なシステムセキュリティ環境」を構築しているため、データベースなどに外部からアクセスすることは"一切不可能"だと説明されています。

「会社の経営資金」と「顧客からの預かり金」は完全に分離して管理されているため、預かり金が会社の運営などに流用されることは一切ないとのことです。

>>「DeCurret」のセキュリティ対策に関する詳細はこちら

SBI VC Trade（SBI VCトレード）

SBI VC Trade（SBI VCトレード）は、
・EV SSL証明書採用によるフィッシング対策強化
・サイバー攻撃・内部犯行への対策
・コールドウォレットで仮想通貨を保管
・マルチシグネチャで秘密鍵を管理
・高い強度のパスワードによる認証
・総当たりによる不正ログインへの防御
・日本円・仮想通貨資産の分別管理
などによって、顧客資産を安全に保管しています。

同社は、世界統一の厳格な審査基準で発行されている「EV SSL証明」によって、同社に成りすまして「SSLサーバ証明書」を取得する試みを極めて困難なものにしています。

また、サイバー攻撃に対するあらゆる防御策を講じるため積極的に投資を行っているほか、内部関係者による不正行為を帽子するために「必要なモニタリング」や「システム対策」を講じています。

仮想通貨の保管方法としては、即座に資金移動を行う必要のない仮想通貨は「コールドウォレット」で保管を行なっており、仮想通貨の秘密鍵は同社の管理基準に基づいて、一つのアドレスに複数の秘密鍵を割り当てる"マルチシグネチャアドレス"を採用しています。また、仮想通貨・日本円ともにユーザーの資産は分別管理されているため、資産の悪用・流用などの面でも安心です。

同社サービスを利用するために必要となるパスワードは「半角英大小数字記号のうち2種類を使用した、8文字以上のパスワード」という強度の高いものが必要となるように設定されています。さらに「ログインパスワード」とは別に「取引パスワード」を求めることによってセキュリティを高めるとともに、ログインの失敗を繰り返した際には「一定時間のロック」がかかるようにすることで不正アクセスを防いでいます。

>>「SBI VC Trade」のセキュリティ対策に関する詳細はこちら