「暗号通貨」って自分たちが勉強してる「セキュリティに出てくる暗号」と一緒ちゃうの??と誰もが思ったことあると思います。その疑問が解決できる機会になればと思い記事にしました。
2018年1月26日に「コインチェックがハッカーに攻撃を受けた」事件がありましたよね。この事件ってただのセキュリティ事故だよね?SC過去問にもよく出てくるアレが起きちゃっただけでしょ?と思いました。
※わたしは専門家ではありませんが、間違いを恐れず記事にしますのでご了承ください。
話を進める前に、セキュリティを語る上で必要な基礎用語として以下があります。
- C(機密性)
- I(完全性)
- A(可用性)
セキュリティ対策する上でこの3つをクリアしないといけないというものでしたね。銀行などはI(完全性)とA(可用性)を重要視して行っています。なぜなら情報改ざんをされても、バックアップデータで復元すれば業務復帰できるからです。
いやいや、個人情報盗まれたらダメじゃないの?と思いがちですが、銀行が持っている(誰がいくら預金してるなどの)個人情報をハッカーによって盗まれたところで直接的にはお金になりません。ハッカーは「銀行狙っても金になんねーわ・・・」と気づいたのです。
しかし・・・
仮想通貨では盗まれてはいけない情報があり、仮想取引保管所には「お金という電子ファイルの実態が保管されている!」ので銀行とは比べ物にならない「前代未聞のセキュリティ対策」が必要になるわけです。
韓国では(現在は規制変更されたかもしれませんが)通信販売業者として届け出を行えば、誰でも仮想通貨取引所を経営できて、特別なセキュリティー規定はなかったらしいんです。
その結果2017年にセキュリティー点検をしたところ
- 個人情報をバックアップしていない
- (問題になったコインチェックのように)インターネットと接続されたサーバに顧客情報を保存している
という指摘を受けたところが多数あったようです。もし仮想通貨を売買したければ「ユーザがセキュリティ対策が十分に行われている業者を選ぶ」ことが重要になってくるということですね。
仮想通貨の内容を、先ほどのセキュリティ基礎用語に当てはめてみます。
- C(機密性)・・・二段階認証などによるアクセス制御
- I(完全性)・・・サーバ内のデータを正常の状態を保たれること
- A(可用性)・・・24時間いつでも情報を使用(取引)できること
仮想通貨では事業者が必要最低限のセキュリティ対策しておかないといけないのですが、法律(改正資金決済法、仮想通貨法など)では「ここまでのセキュリティ対策が行われていれば、刑事罰には問いません」というラインがあります。言い換えると「情報を漏らしたら無条件で刑事罰だ!」ということは法律には書かれていないということです。
なぜでしょう?
「情報」は漏洩しないことはありえないという前提の考えがあるからです。
- 新しく買ったパソコンに既にウィルスが入っているかもしれません。
- ビルの管理人が実はハッカーの回し者かもしれません。
- 掃除のおばさんが実はハッカーかもしれません。
今までの話だけでも「ハッカーは手段を選ばず本気で狙ってきそう」と思いますよね。
※ちなみに・・・何をされてしまうとアウトかというと、今やあるあるパターンである、フィッシングメールのクリックを機にバックドアが作られてしまうとアウトです。全て正規の取引として操作されてしまいます。バックドアが作られてしまっているかを見つけるのは簡単でないので、被害を出さない対策として「必要ないときはパソコンやWifiの電源を切る」もありかもしれません。ただコインチェック社は顧客が24時間取引できるようにしないといけないのでパソコンの電源を切ることは出来ないので、不審ファイルや不審通信の有無などは厳重にチェックしてるのではないかと思います。
※近々、暗号通貨の仕組み(ブロックチェーンやマイニングの概要)について書きます。
www.jouhoushori.com
以上です。
