仮想通貨の問題とリスク

2017年11月15日

仮想通貨は、基本的にWebMoneyやPayPalなどの電子マネーと同じです。従来の電子決済システムと同様の問題を抱えている、ということでもあります。

しかし、仮想通貨独自の運用原理から問題が生じることも多く、こちらはさらに厄介です。その上、この原理に端を発する仮想通貨独自のリスクも生じています。

偽の支払情報とフィッシング

まずは、昔からある窃盗の問題です。たとえば、友達に送金しようとしているとしましょう。友達のウォレットのアドレスを正しくコピーしたのに、クリップボードにコピーされたアドレスをマルウェアが別のアドレスで置き換え、他の人に送金されてしまう、そんなことが起きる可能性があります。皆が皆、コピーしたアドレスを見直すほど用心深いとは限りません。特に、アドレスが意味のない文字の羅列だったりしたらなおさらです。

このほか、フィッシングの問題があります。普通の電子マネーの場合と同様、だまされてフィッシングサイトに誘導されてしまい、そこで暗号ウォレットをアップロードしてパスワードを入力してしまうという問題です。

従来のオンラインバンキングや決済システムを利用している場合も、サイバー犯罪に巻き込まれることはあります。ただ、従来型のシステムでは、送金を取り消すチャンスがかなりあるものです。仮想通貨の場合は事情が異なります。ブロックチェーンで起こったことはブロックチェーンの中での問題であり、送金に関するクレームを申し立てる行為は、例えるならば、国内の問題を国連に提訴するようなものです。

決済ゲートウェイのハッキング

正しいアドレスで正規の決済ゲートウェイを使用していても、財産を失うことがあります。仮想通貨「Ethereum Classic」で一番有名なWebウォレットの正規アドレスはhttps://classicetherwallet.com/ですが、2017年6月、このウォレットが突然、利用者のウォレットからお金を盗み始めました(英語記事)。

実は、ハッカーがソーシャルエンジニアリングの手法を用いて、自分たちが本物のドメイン所有者であると、ホスティングプロバイダーに信じ込ませていたのでした。アクセス権を取得したハッカーたちは、お金の流れを傍受し始めました。

幸いにも、ハッカーたちの戦略には穴がありました。ただちに受取人を差し替えたために正体がすぐに露呈し、数時間でわずか30万ドルを盗んだに留まりました。もし、ウォレットを集めてしばらくそのまま待っていたなら、すぐに発見されることはなく、損害額はもっと大きかったと思われます。

従来型の金融サービスも、このような攻撃の標的となることがあります。たとえば今年、ブラジルでは、ハッカーが銀行をまるごと乗っ取る事件がありました(英語記事)。

送金アドレスのエラー

ここまでに紹介した事例はどれも典型的な電子マネーの問題ですが、先に述べたとおり、仮想通貨独自の欠点もあります。たとえば、送金先のアドレスを間違えたためにお金を失うといったリスクです。

Ethereumの場合、アドレスの最後の1桁がコピーされていないと、お金が跡形もなく消えてしまいます。目的の受取人へ送られた場合でも、アドレスエラーのために送金額が256倍になってしまった(英語記事)という事例があります。

アドレスの検証機能が組み込まれているBitcoinの場合、この手のエラーは発生しません。しかし、誰か知らない人に送金してしまう恐れはあります。誤ったアドレスに送金したために800ビットコインを失うのは、ただごとではありません(リンク先は英語サイト。800ビットコインは、2017年9月28日現在の交換レートで約320万ドル)。このほか、うっかり80ビットコイン(約32万ドル)の手数料を払うはめになる可能性もあります。

なお、評価の高いBitcoinクライアントを使っていれば、このような間違いはまず起こりません。こういったトラブルは、おそらく自作のクライアントを使っていたためでしょう。

ウォレットファイルの消失や窃盗

仮想通貨にありがちな問題といえば、ウォレットの紛失や窃盗も挙げられます。大半の利用者は仮想通貨ウォレットファイルをコンピューターに保存しているため、マルウェアを使って盗み取られる可能性や(英語記事)、ハードディスクのクラッシュが原因で失われる可能性があります。

慣れた人は、秘密鍵のハードコピーを作成し、USBハードウェアウォレットを購入して不測の事態に備えていますが、このような人は少数です。

「一元管理された」電子マネーの場合、現時点では、仮想通貨よりもきちんと対策が取られています。ほとんどのオンラインバンクは2段階認証を必須としており、SMSによるワンタイムパスワードでの取引確認を実施しています。法人の場合や巨額取引の際には、USBトークンの使用が必須です。

保護されていないICO

2017年、仮想通貨所有者の間で、ブロックチェーンや仮想通貨に関連するプロジェクトへの投資熱が高まりました。このような資金調達方法は、ICO(Initial Coin Offering)と呼ばれます。

ICOがブームになった経緯やEthereumネットワークの概要、スマートコントラクトの仕組みなどについては、過去記事で詳しく触れました。技術的な詳細はそちらの記事に譲るとして、要するに、インターネット接続さえあれば、仮想通貨を使って驚くほどの資金を簡単に集められるのです。2017年には、すでに17億ドル以上の資金がICO経由で集まっています。成功したプロジェクトの話はあまり聞こえてきませんが、投資家たちは楽観的です。

では、何が問題なのでしょう?仮想通貨市場を規制する手段が、いまだに存在しないということです。リスクアセスメントの仕組みもなく、投資に対する見返りもまったく保証されておらず、プロジェクト発案者を信じるしかありません。

一般に、「誰かがアイデアを持っている」という事実は、そのアイデアが優れている、または実現可能である、という意味ではありません。結果としてできあがる成果物が利益を生むという意味でもなければ、プロジェクト発案者が集めたお金がディレクター(発案者自身)への支払いではなく本当にプロジェクト実現に向けて使われるということでもありません。仮想通貨市場では受取人の追跡や正体の特定が簡単にはいかないことを発案者がよく承知していて、お金を持ち逃げして終わる可能性もあります。

アドレスの偽装

もっとシンプルな方法でお金を巻き上げることも可能です。ICOでの資金集めは、指定された時間に開始し、必要な金額が集まった時点で終了するのが普通です。集金用のアドレスは、開始時にプロジェクトのWebサイトに掲示されます(これは単なる慣例で、必須ではありません)。

あるICOで、あるハッカーがプロジェクトサイトへのアクセス権を手に入れ、資金集めの開始と同時に、集金用アドレスを自分の所有するアドレスに置き換えました(英語記事)。1時間のうちに、2,000人の参加者が約800万ドルを投資しました。後に、アドレスが偽物であるという警告が出されましたが、熱心な多数の投資家が偽アドレスに送金を続け、ハッカーはその日のうちに、さらに200万ドルを手に入れました。

仮想通貨所有者と仮想通貨投資家へのアドバイス

こういった問題を、どうすれば回避できるでしょうか?

  1. Webウォレットのアドレスは必ず確認しましょう。また、オンラインバンクやWebウォレットにアクセスする場合、リンクをクリックしてアクセスするのは避けましょう。
  2. 送金前に、受取人のアドレス(少なくとも最初と最後の文字は必ず!)、送金額、手数料を再確認しましょう。
  3. 仮想通貨のウォレットをなくした場合やパスワードを忘れた場合に備えて、ウォレットを復元するためのニーモニックフレーズをメモしておきましょう。
  4. 仮想通貨に投資をするときには、常に冷静に、十分な情報を得た上で判断しましょう。パニックになったり、慌てたりしないように。
  5. 仮想通貨による投資は非常にリスクが高いということを忘れないでください。投資額は失っても許容できる金額に留め、多角的な投資を心がけましょう。
  6. 仮想通貨のハードウェアウォレットを使いましょう。
  7. 仮想通貨ウォレットへのアクセスや暗号証券取引所での取引などに使用するデバイスは、高品質のセキュリティ製品で保護しましょう。