なんでも書く日記

書かないと忘れてしまうのでなんでも書く日記。読んでも役には立ちません。

仮想通貨取引所の利用に必須の2段階認証(2FA)とそのバックアップ

仮想通貨の不正送金被害

ビットコインなど仮想通貨を入手するには仮想通貨を取り扱う取引所に登録する必要がある。まずはこの取引所に日本円を入金した上でビットコインなど仮想通貨を購入することになる。このため、この取引所は銀行口座や証券口座のように自分の資産を預ける重要な存在であるが、銀行口座や証券口座と比較すると法的な保護が整備されていない状況である。

www.nikkei.com実際に仮想通貨の不正送金事件も発生しているが、銀行口座における不正送金のように利用者に補償がなされる取引所は多くない。9月7日付日経新聞では不正送金の被害額を5900万円としているが、実際には国内だけでこの数十倍の被害が発生していてもおかしくないだろう。

f:id:occha:20170918104739p:plain

仮想通貨取引所の利用に2段階認証の利用は必須

 取引所における不正ログインと不正送金を防止するには、2段階認証の利用が必須である。しかし、ほとんどの取引所では2段階認証は必須とはなっておらず、アカウント名とパスワードを設定するだけで登録することができてしまうので、2段階認証を利用していない人も多いだろう。

f:id:occha:20170918105458p:plain

2段階認証を利用しない場合のリスク

2段階認証を利用しない場合には、犯罪者によって比較的容易に取引所への不正ログイン及び不正送金を行われてしまう恐れがある。犯罪者が不正ログインを行うための手法には、大きく以下の2つがある。

  1. 総当たり攻撃・辞書攻撃

    この攻撃は、ログインを試みる対象のアカウントのパスワードが不明な状況において、膨大な種類のパスワードによりひたすらログインを試行したり(総当たり攻撃)、あるいはパスワードとして利用されることが多いことが知られている文字列をパスワードとしてログインを試行する(辞書攻撃)方法である。
    ログイン試行回数に制限を設けていない取引所であれば、この方法により不正ログインが成功してしまう可能性が高まる。なお、ほとんどの取引所でアカウント名はメールアドレスであるため、インターネット上に公開していたり他の様々なサービスに登録しているようなメールアドレスであれば、犯罪者に入手されている可能性が高い。

  2. アカウントリスト攻撃

    この攻撃は、他のサービスで利用しているアカウント・パスワードの組み合わせが既に漏洩していることを前提としている。

    www.security-next.com日々、非常に多くの情報漏洩事件が報じられているが、さらにニュースとして報じらていなかったり、犯行が明らかになっていないものも多数あることが考えられる。
    それら、既に漏洩しているアカウント・パスワードの組み合わせにより不正ログインを試行するのがアカウントリスト攻撃である。この攻撃は、総当たり攻撃・辞書攻撃と比較して、攻撃を受けた際に検知することが難しく、犯行の発覚が遅れる傾向があり、被害が拡大する恐れがある。

2段階認証を利用した場合のリスク

2段階認証を行った場合、取引所へログインするためにはアカウント名・パスワードの入力の他に、スマートフォンタブレットなど、2段階認証を行うため登録を行った端末が必要になる。 このことにより、犯罪者による不正ログインが成功するリスクを低減することができる。

しかし、その反面、2段階認証の登録を行った端末が盗難にあったり、紛失・故障したりした場合には、自分自身もログインできなくなってしまう恐れがある。その場合、取引所に連絡し、再びログインできるよう依頼することになるだろうが、特に本人確認をしていない海外取引所などにおいては、その過程に時間と労力がかかることが想像される(取引所によってはバックアップコードなど復旧の仕組みを用意している場合もある)。

f:id:occha:20170918105453p:plain

2段階認証のバックアップ手順

2段階認証は、取引所において設定時に一度だけ表示されるQRコード(二次元バーコード)を、スマートフォンタブレットなど端末の2段階認証アプリに登録することで設定される。後から再度、同じQRコードを表示させることはできず、設定を更新すると別のQRコードが表示され、前のQRコードで行った登録は無効となりログインには使えなくなる(このことが2段階認証による安全性を担保している)。

f:id:occha:20170918113941p:plain

Zaif取引所の2段階認証設定画面

では、2段階認証を設定した端末を紛失・故障などして、取引所にログインできなくなるリスクを低減するにはどうすればよいか?最もシンプルな方法は、2段階認証の設定時に複数台の端末で同時に設定することである。

f:id:occha:20170918104919p:plain

これは手順としては1台の端末を登録するのとほとんど手間が変わらない。

  1. 取引所で2段階認証を有効にする設定を行い、QRコードを表示させる。
  2. 1台目の端末で2段階認証アプリを起動し、QRコードを登録する。
  3. そのまま、2台目の端末で2段階認証アプリを起動し、QRコードを登録する。

これだけの手順で、登録したどちらの端末でも2段階認証を行えるようになる。ただし、登録した2台の端末を一緒に持ち歩くと同時に盗難・紛失するリスクが高まるので、1台は常に自宅に置いておくなどして別に保持ことが望ましい。