追証なし・最大レバレッジ100倍が魅力の海外取引所、BitMex(ビットメックス)。
「たまに仮想通貨取引所がハッキングされたニュースを見るけど、ビットメックスは大丈夫?」
「ビットメックスの安全性はどう?」
「この間ビットメックスでメールアドレス流出事件があったって聞いたけど、いったい何があったの?」
2014年のマウントゴックス事件、2018年のコインチェック事件など、仮想通貨取引所のハッキング事件は後を絶たず、たびたび世間を騒がせてきました。
そのためビットメックスを始めてみたいと思っても、セキュリティ面が気になって踏み切れないという方もいらっしゃるのではないでしょうか。
ビットメックスはこれまでセキュリティに定評があり、世界最大の取引量を誇る仮想通貨取引所となりました。
しかし今年11月にユーザのメールアドレス流出事件があり、さらに同日、ビットメックスのツイッターアカウントがハッキングされるという事件がありました。
いったい何があったのか、気になっている方も多いと思います。
そこで本記事では、ビットメックスのセキュリティについて、11月の事件の詳細も交えて解説します。
さらにビットメックスを使う際におすすめのセキュリティ対策についても解説しますので、より安心してビットメックスを利用するためにチェックしてみて下さい。
目次
- ビットメックスのセキュリティの特徴
- (1)マルチシグ対応
- (2)コールドウォレット対応
- (3)ビットメックス従業員による、出金時の厳しいチェック
- (4)登録メールアドレスにログイン通知が送られる
- (5)Amazonの最新クラウドセキュリティを活用
- (6)強固な取引エンジンセキュリティ
- (7)セキュリティランキングで3位にランクイン
- ビットメックスのメールアドレス流出事件は何があったのか
- (1)ビットメックスのメールアドレス流出事件とは?
- (2)ビットメックスのメールアドレス流出事件の原因は?
- (3)ビットメックスのツイッターアカウントハッキング事件とは?
- (4)ビットメックスの今後の対策は?
- ビットメックスでおすすめのセキュリティ対策
- (1)二段階認証を行う
- (2)自動配信メールを暗号化する
- (3)フィッシング詐欺に注意する
- (4)強固なパスワードを設定する
- ビットメックスのセキュリティまとめ
ビットメックスのセキュリティの特徴
まず、ビットメックスのセキュリティの特徴について解説します。
ビットメックスは「厳密で保守的なセキュリティを重視しており、利便性のためにセキュリティを脅かすことはない」と表明しており、パフォーマンスとユーザのセキュリティに力を入れています。
その言葉通り、ビットメックスでは高いセキュリティを実現していますので、その特徴をひとつずつ見ていきましょう。
(1)マルチシグ対応
ビットメックスのセキュリティの大きな特徴が、マルチシグ対応であることです。
マルチシグとは、ウォレットアドレスから仮想通貨を送金する時に、2つ以上のパスワードが必要とされる仕組みです。
鍵が2つ付いている家は泥棒から敬遠されるように、ハッカーもマルチシグ対応の取引所はハッキングを避けたいので、安全性を高めることができます。
ビットメックスは全てのウォレットアドレスについて、マルチシグに対応しています。
(2)コールドウォレット対応
ビットメックスは、インターネットと繋がっていない、「コールドウォレット」と呼ばれるウォレットにデータを保存しています。
ハッカーはインターネットを通じて情報を盗もうとするため、オフラインになっていると盗むことができないのです。
じっさい、2018年に起こったコインチェック事件では、500億円以上もの仮想通貨NEM(ネム)が流出しましたが、NEM(ネム)のウォレットはコールドウォレットではなく「ホットウォレット」でした。
ホットウォレットはコールドウォレットと違いオンライン上で仮想通貨を管理するため、通貨の出し入れが容易な一方、ハッキングのリスクに常にさらされています。
さらにNEM(ネム)はマルチシグにも対応していませんでした。
コインチェック事件では、コールドウォレットとマルチシグに対応していたビットコインはハッキングされませんでした。
ビットメックスではビットコイン(BTC)を入金し、独自の通貨「XBT」を使用してトレードします。
入金されたビットコイン(BTC)はコールドウォレットに送られるため、代わりにXBTを通貨としてトレードに使用しているというわけです。
ユーザは、ビットメックスから外部に送金する際に初めて、XBTからビットコイン(BTC)に変換して受け取ることができます。
悪意を持った第三者が、もしビットメックスのシステムに侵入したとしても、ビットコイン(BTC)の現物にアクセスできない仕組みになっているのです。
(3)ビットメックス従業員による、出金時の厳しいチェック
さらに、ビットメックスからのあらゆる出金は、ビットメックスの2名以上の従業員の手作業での承認が必要となっています。
すべての入金アドレスを検証し、ビットメックス従業員がコントロールできるキーが必ず含まれるようにしており、キーが一致しない場合は取引が中止されます。
このおかげで、ハッカーがもしマルチシグとコールドウォレットを突破しても、すぐに残高を移動させることはできません。
ビットメックスからの出金可能時間が、日本時間22時の一日一回のみになっているのはこのためです。
ユーザとしては不便に感じることもあるかもしれませんが、利便性よりもセキュリティを重視しているビットメックスならではの対応といえるでしょう。
(4)登録メールアドレスにログイン通知が送られる
ビットメックスでは、ビットメックスのアカウントにログインが行われるたびに、登録しているメールアドレスに「ログイン通知」というメールが送られます。
メールには登録アカウントにログインが行われた「時間」、「IPアドレス」、「ブラウザ」、「国」の詳細が記載されています。
そのため身に覚えのないログインが行われても、ユーザ側ですぐに分かるようになっています。
ログインに心当たりがない場合は、メールアドレスを保護して二段階認証を追加し、ビットメックスのパスワードを変更することを推奨されます。
緊急の場合は「ログイン通知」のメールにそのまま返信して、運営側に相談することもできるので安心ですね。
(5)Amazonの最新クラウドセキュリティを活用
ビットメックスのシステムでは、Amazon Web Service (AWS)のワールドクラスのセキュリティを活用しています。
AWSとは、世界190か国以上で数百万の顧客をサポートする、Amazonによるクラウドサービスです。
Amazonは2006年からクラウドサービスを始め、その高いセキュリティが信頼され、月間100万以上のアクティブカスタマーが利用しています。
ビットメックスのすべてのシステムでは、ハードウェアトークンなどの複数の形式によるアクセス認証が必要とされます。
それぞれのシステムは、承認済みの監視されたチャネルを除いて、相互に通信することができません。
認証された機器でなければ通信できないので、悪意を持った第三者が勝手に機器をつなげようとしても、接続できないというわけです。
(6)強固な取引エンジンセキュリティ
発注や取引、決済、入金、出金などを行うための取引エンジンは、特に高い信頼性が要求されます。
ビットメックスの取引エンジンはデータベースとツールのセットである「kdb+」というプログラム言語を採用しています。
この言語は、高頻度取引アプリケーションとして大手銀行が長年利用してきた実績があり、高い信頼性を実現しています。
(7)セキュリティランキングで3位にランクイン
ご紹介したように高いセキュリティを持つビットメックスは、専門の評価機関からも高く評価されています。
ICO関連の分析研究を行う評価機関「ICORating」が2018年10月に発表した、取引所のセキュリティランキングで、ビットメックスはCoinbase Pro、Krakenに続き第3位にランクインしています。
ビットメックスのメールアドレス流出事件は何があったのか
2019年11月1日、突然発生したビットメックスでのユーザーのメールアドレス流出事件。
セキュリティに定評があり、これまで大きなセキュリティ面での問題がなかったビットメックスで起きた事件だけに、驚いた人も多かったのではないでしょうか。
これから安心してビットメックスを利用するためにも、いったい何があったのか、原因は何だったのか、今後対策は行われるのか、詳しく見ていきましょう。
(1)ビットメックスのメールアドレス流出事件とは?
2019年11月1日、ビットメックスからユーザ宛にメールが一斉送信されました。
これはインデックスの比重変更を受けて、BitMexが11月22日に予定していたアップデートに関するお知らせに関するメールでした。
しかしメールの宛先「To:」に他の大量のユーザのメールアドレスも含まれてしまっており、世界中で大量にユーザのメールアドレスが流出するという事件になってしまったのです。
(2)ビットメックスのメールアドレス流出事件の原因は?
ビットメックスはこの問題を受け、4日にTwitterとブログ上にて声明を発表し、事件の背景と原因について説明しました。
・ビットメックスのツイッター
・ビットメックスのブログ
声明では下記のように経緯が説明されていました。
- ヤフーメールのような大手メール送受信システムでは様々な制約があり、重要なメールを大勢に一斉送信することが困難であった。
- そのため、ビットメックスはメール送信を行うための自社システムを新たに開発した。
- ビットメックスでは、2017年以来ユーザにメールを一斉送信する機会がなかった。
- いざその新たなシステムでメールを送信をしようとした際に、送信に10時間以上もかかりそうだということが分かった。
- 早く送信ができるようにビットメックスのスタッフは急いでシステムを書き換えた。
- その結果、メール宛先の「To:」の欄に他のユーザのメールアドレスも入ってしまった。
メールアドレスの流出は、何者かによるハッキングなどではなく、ビットメックス内部でのシステムの運用ミスであったことが明らかになったのです。
本来、新しいシステムを使う前には、十分なテストを行うべきであったところ、十分なテストができていなかったのです。
さらに流出の影響の範囲についても明記しています。
- 11月1日にBitMexから送信されたメールのTo欄に、自分のメールアドレスしか記載されていない場合は、流出被害にはあっていない。
- 11月1日にBitMexから送信されたメールのTo欄に、他のユーザのアドレスも記載されていれば流出被害にあっている。
- 11月1日にBitMexから送信されたメールを受信していない場合も、流出被害にあっている可能性がある。
※ミスに気付いたビットメックスが送信途中で通信を切ったため、ユーザが受信していない可能性はあるが、そのユーザのアドレスが記載されたメールを他のユーザが受信している可能性がある。
(3)ビットメックスのツイッターアカウントハッキング事件とは?
メールアドレス流出事件が起きたのと同じ日に、ビットメックスのツイッターアカウントがハッキングされる事件も発生しました。
ビットメックスの公式アカウント上で「Hacked(ハッキングした)」、「Take your BTC and run(ビットコインを引き出して逃げろ)」などといったツイートが投稿されたのです。
ビットメックスは4日の声明の中で、このハッキング事件についても言及しています。
ハッキングの発生から6分以内にアカウントを正常な状態に戻したとし、ハッキング被害はメールアドレスの流出事件とは無関係だとしています。
ハッキング関連のツイートはすでに削除されています。
(4)ビットメックスの今後の対策は?
ビットメックスは声明の中で、メールアドレスの流出被害に遭ったユーザに対し、フィッシング詐欺に注意するよう呼び掛けています。
ビットメックスから送信されるメールのアドレスは「support@bitmex.com」と「noreply@bitmex.com」のみであり、ユーザのパスワードを聞くことも一切ないとしています。
ビットメックスでは、プライバシーとセキュリティを引き続き最重要項目と位置づけ、今後セキュリティの強化に向けて、新たな機能をシステムに実装していくとしています。
ビットメックスでおすすめのセキュリティ対策
これまでご紹介したように、ビットメックスでは高いセキュリティを実現しています。
ビットメックス内部の運用ミスが原因でユーザのメールアドレスが流出したり、ビットメックスのツイッターアカウントがハッキングされたりといったことはありましたが、ビットメックスの取引所自体がハッキングに遭ってユーザの資産が盗まれたというようなことはありません。
しかし悪意を持った第三者は、いついかなる攻撃を仕掛けてくるか分かりません。
不測の事態に備えて、ユーザ側でもできるだけの対策をしておくことが重要です。
取引所自体に問題がなくても、ユーザのメールアドレスがハッキングされて不正ログインなどの被害に遭ってしまう可能性もあります。
ユーザ自身がセキュリティ対策を行うことで、セキュリティのリスクは確実に減らすことができるでしょう。
ここではビットメックスを利用するにあたっての、おすすめのセキュリティ対策をご紹介します。
自分の大切な資産を守るためにも、ぜひ活用してみて下さい。
(1)二段階認証を行う
ビットメックスを利用するにあたって欠かせないのが、「二段階認証」です。
二段階認証は、ログイン時にスマホへ確認コードを送信して入力することで、不正ログインを防ぐ方法です。
二段階認証は任意ですが、セキュリティを強化するため必ず行うようにしましょう。
二段階認証はアカウント画面から設定することができます。
- 画面左上の「アカウント」をクリック
- 左側のメニューバーから「マイアカウント」をクリック
- 画面下部の「2要素認証を有効化」をクリック
「2要素認証を有効化」のプルダウンメニューでは、「GoogleAuthenticator」または「Yubikey」のどちらかの認証方法を選ぶことができます。
Yubikeyはセキュリティが高いものの、専用の認証デバイスが必要となります。
より一般的な認証方法である、GoogleAuthenticatorを使用するのが良いでしょう。
利用するためにはGoogleの公式アプリ「Google Authenticator」をスマホにインストールする必要があるので、ビットメックスに登録する際、必ずインストールしておきましょう。
続いて画面にGoogle認証コードとQRコードが表示されます。
Google認証コードは、GoogleAuthenticatorで認証コードが発行できなくなった場合に必要な、秘密コードです。
メモを取ったり、画面キャプチャを保存するなどして、大切に保管しておきましょう。
QRコードをスマホで読み取ると、GoogleAuthenticatorに6桁の数字が表示されます。
この数字を上記画面のワンタイムパスワード入力ボックスに入力し、「送信する」をクリックします。
画面左下に、「二段階認証が有効化されました」と表示され、二段階認証の設定が完了します。
(2)自動配信メールを暗号化する
ビットメックスでは、オプションですべての自動配信メールを暗号化することができます。
この暗号化はPGP(Pretty Good Privacy)と呼ばれるもので、事前に用意された「秘密鍵」と「公開鍵」を当事者同士が交換して、鍵が一致すればメールを開くことができるという仕組みです。
そのセキュリティの高さから、ビジネスや電子署名などでも活用されています。
(3)フィッシング詐欺に注意する
アカウントの乗っ取りを防ぐために注意しなくてはならないのが、フィッシング詐欺です。
フィッシング詐欺とは、送信者を詐称したメールを送りつけたり、ニセのメールからニセのホームページに誘導するなどして、アカウント情報などを盗み出すことです。
ビットメックスから送信されるメールのアドレスは「support@bitmex.com」と「noreply@bitmex.com」だけなので、それ以外のアドレスから送信されるメールには注意しましょう。
ビットメックスがユーザのパスワードを聞いてくることもないので、パスワードを聞いてくるメールが送られてきても無視するようにしましょう。
(4)強固なパスワードを設定する
ビットメックスは、セキュリティ強化のために強固でユニークなパスワードを設定することを推奨しています。
強固なパスワードを設定するためには、下記のような条件が役立つでしょう。
- 最小でも8字、できれば10字以上使用する
- 小文字と大文字を織り交ぜる
- 数字や記号を入れる
- 名前や誕生日などの個人情報を使わない
- 意味のある単語を使わない(music, loveなど)
また複数のサイトでパスワードを使いまわすことは避け、ビットメックス用の独自のパスワードを設定した方が良いでしょう。
ビットメックスのセキュリティまとめ
今回はビットメックスのセキュリティについてご紹介しました。
仮想通貨取引所を利用するにあたり、多くのユーザが恐れるのがハッキングの危険性でしょう。
ハッキングには「取引所がハッキングされる」場合と、「ユーザのアカウントがハッキング」される場合があります。
「取引所のハッキング」のリスクに関しては、ユーザとしては取引所のセキュリティの信頼性を見極めることがポイントになるでしょう。
ビットメックスは、今回ご紹介したように、数ある取引所の中でも特に高いセキュリティを実現しています。
11月にはビットメックスのユーザのアドレスが流出するという事件がありましたが、これはビットメックス内部でのシステム運用の不備が原因でした。
2018年のコインチェック事件のように、取引所がハッキングされてユーザの資産が盗まれたような事件とは、性質が異なるといえるでしょう。
さらに「ユーザのアカウントのハッキング」のリスクを減らすためには、今回ご紹介したようにユーザ自身でもセキュリティ対策を行うことが大切です。
セキュリティ対策を万全にして、楽しく安心してビットメックスを利用しましょう。