愚かなハッカーたれ、利口なエンジニアよりも

自我と距離をおきたいプログラマの日記

なぜ取引所に預けたままは危険で、不正送金などで預けたお金がなくなるのか

2018年1月26日に起きたコインチェックからのXEM不正送金問題。以前から取引所に仮装通貨を預けたままにしておくのは危険だと言われていますが、取引所から通貨がなくなるケースとしてどのようなものがあるか、自分なりに考えてみました。今回、コインチェックはXEMで被害にあったので、NEM/XEMを例に書いてみますが、他の通貨でもほぼ当てはまると思います。

基本知識

  • NEMアカウントを作ると秘密鍵が発行される
  • 秘密鍵を知っている者は、そのNEMアカウントからXEMを出金できる

マルチシグ対応しているNEMアカウントの場合、そのアカウントの秘密鍵を知るだけでは出金できませんが、今回はマルチシグ対応なしで考えます。(コインチェックも対応していなかったようなので)

取引所の仮想通貨の管理方法

  • 取引所も一般ユーザーと同じくNEMのアカウントを取得し、それをXEM入出金の窓口アカウントとして使います。
  • 窓口アカウントは取引所によっては1つかもしれないし、複数かもしれません
  • ユーザーの数だけ窓口アカウントを用意するわけではありません。
  • 1つの窓口アカウントで複数のユーザーの入出金を受け付けます
  • 例えるなら1つの銀行口座に複数のユーザーのお金がまぜこぜに入っている状態です
  • 取引所はNEMとは別に自前で、各ユーザーのXEMの残高管理をします。これを仮に取引所システムと呼びます
  • 取引所システムは窓口NEMアカウントの入出金をリアルタイムで監視し、各ユーザーのXEM残高を正確に記録することを試みます
  • ユーザーが取引所にログインして見られる自分のXEM残高は、取引所システムのデータベースに記録されている数字です
  • つまり実質的にNEMとは切り離された数字で、NEMのノードやブロックとは関係がありません
  • また取引所に登録したユーザー情報も取引所システムで管理されているもので、NEMとは切り離されています

次にユーザーおよび取引所のお金がなくなる可能性について述べます

NEMの窓口アカウントの秘密鍵が盗まれる

窓口アカウントの秘密鍵が第三者に知られてしまうと不正に出金できてしまいます。この場合、取引所システムにユーザーのXEM残高は記録されたままです。しかし、取引所は肝心のXEMを失っているので、引き出そうとしたユーザーに渡すXEMがありません。つまり取引所は入出金を停止せざるを得ません。

取引所が窓口アカウントとは別の非公開NEMアカウントを持ち、定期的に窓口アカウントから非公開アカウントへXEMを送金し、かつ秘密鍵を厳重管理していればXEMは残るでしょう。

今回、コインチェックは保有していたXEMのほぼ全額を出金されてしまったようです。おそらく窓口アカウントのみで運用しており、それらの秘密鍵が第三者に知られ、ほぼ全額出金されてしまったと思われます。

取引所システムのユーザーのパスワードが盗まれる

ユーザーの落ち度により取引所にログインするパスワードが第三者に盗まれた場合、不正出金されてしまいます。この場合、第三者はそのユーザーの残高分のXEMしか引き出せません。被害は取引所単位で見れば軽微でしょう。(ユーザーにとっては甚大ですが)

取引所システムがクラッキング(ハッキング)に合い、複数のユーザーのパスワードが第三者に知られた場合、それらのユーザーの残高合計分のXEMまで引き出せてしまいます。もし全ユーザーのパスワードが漏洩した場合、全ユーザーの残高合計分のXEMまで引き出せてしまいます。

しかし、ユーザー単位での出金を繰り返さないといけないので、すべて引き出すには相当な時間がかかると思われます。その間にユーザーおよび取引所が不正出金に気づくでしょう。今回のコインチェックのようにほぼ全額出金されるような自体にはならないと考えられます。

秘密鍵が盗まれるケース

秘密鍵を盗むことができるのは、高度なクラッキング能力をもったクラッカー(ハッカー)だけとは限りません。プログラムを一行も書いたことがない人でも秘密鍵を知ることはできます。

  • 取引所の元社員、もしくは現役社員で、社内ネットワークにアクセスでき秘密鍵を知るチャンスがあった
  • 取引所を設立する際に、設立者がその段階ではセキュリティに気を使っておらず、知人など第三者に知られてしまっていた(そして立派に育った時点でその鍵を使って出金した)

これらのケースは、NEMアカウントをマルチシグ対応し、署名人を定期的に増やす・変えるなどすれば、不正出金を防げる可能性があります。マルチシグ対応している場合、出金したいNEMアカウントの秘密鍵だけでなく、署名人となったNEMアカウントの秘密鍵も必要になるからです。

インチェックの場合、マルチシグ対応していなかったことから、出金したいNEMアカウントの鍵さえ知っていれば、いつでも送金できたわけで、誰かが何かのタイミングで秘密鍵を知ったのでしょう。これは高度なクラッカーの手口とは限りません。

取引所を利用するユーザーからすると、取引所が秘密鍵をどのように管理しているかはわかりません。それがユーザーが取引所を利用する際に背負うリスクです。取引所から自分のアカウントに送金した通貨に関しては、そのリスクから解放されます。しかし、今度は自分でそのリスクを背負うことになります。

原則、秘密鍵を盗まれたら終わりなので、貯金用アカウントの秘密鍵は生成してすぐに絶対に誰にも見られること無く書き写して、銀行の貸金庫に入れるなどするのが無難でしょう。入金用のアドレスだけあれば、貸金庫の中でコールドウォレットと化したアカウントへ送金できます。

取引所システムのセキュリティホール

クラッカーが秘密鍵を知らなくても出金できるケースもあると思います。例えば取引所システムでAPIのようなものを用意し、それをキックすると出金できるようにしている場合。もちろん、これは社内向けのものですが、クラッカーがサーバーに侵入しキックできてしまえば出金できてしまいます。これはクラッカーとしてのスキルが必要になりますが、キックする権限があった元社員の犯行もありえるでしょう。

 

(間違いがありましたら、twitterでご指摘ください)

イケハヤさん概念化の時代を先取り感。まだ実名セルフブランディングで消耗してるの?

以前から概念化になりたいとつぶやいておられたイケハヤさんですが、この度、正式に?概念化することになったようです。複数人でイケハヤ風のつぶやきをして、最終的にはAIなんかで自動投稿を目指すようです。

イケハヤは分散化し、バーチャルブロガーとなりました。 : まだ仮想通貨持ってないの?

時代を先取っているなあと思いました。もう実名でセルフブランディングして、炎上まみれになりながら突き進め!とか時代錯誤な気がするんですよね。どこまでいっても見知らぬ他人はヴァーチャル上でアイコン化した存在としてしか見ない。石を投げる人はずっとイメージを変えないし、ファンになってくれた人も変わることを求めない。なら、偏った発言で支持されたり叩かれたりするアイコンとしてそこに存在し続ければいい。

ヴァーチャル上のアカウントを自分個人とひもづけてしまうと、他人の声に悩んだり、苛立ったりする。自己防衛のために矛盾が生じてまた叩かれたり、ファンが離れるからと新しいことをするのをためらったり。そうやってセルフブランディングは自我への執着を強くするから煩悩まみれになって苦も増える。だからイケハヤというアカウントを自分個人の人格と切り離してしまって、自分は新しいことを始めるってすごく健全だと思いますね。

自分は概念というよりアバターという方がしっくりきます。ヴァーチャル上の空間ではみんなアバターを目指せばいいと思う。脳の意識製造工場が生み出すつぶやきの偏りが、1つの人格であるかのようなアバターを作る。ある程度育てば、それは個人の人格から離れてヴァーチャル空間に存在するようになる。

個人の脳の意識製造工場だけでなく、複数人の脳の意識製造工場が紐付いていて1つのアバターを作り出してもいい。キズナアイだって、モデリングした人も、声を当ててる声優さんも、今日はこれをやろうと企画している人もキズナアイではない。しかし、キズナアイは確かにヴァーチャル空間にいる。人間の体ってアバター部品の入れ物みたいなものだ。

ちなみに複数で概念を運用するとしてブログの収益は分配するのかな?と思ったらトークンで配りたいそうです。これも先取り感。

あと概念運営は遠隔地ではだめなようで勤務地は高知の山奥とか(笑)人口増やしたいそうです。

 

 

人間関係、金銭、仕事内容でストレス溜めたくないから人を雇わない

昨晩、経営者の方と飲みに行く機会があった。やりたいことをやるために人を増やしたのに、人の管理に追われたり、雇っている人のレベルに合わせた仕事をやるようになってきた話。もう1人は若いうちに稼ぎ切って楽したいと思って起業したけど、会社の経営を維持するために仕事に追われる日々になってしまった話。やっぱり、そうなるよなあと思って、改めて人は雇いたくないなと思ったのでした(笑)

人を雇うと給料を払い続ける義務が生じる。それを払い続けるためには、その人にやる気を持って働いてくれないと困る。でも他人のやる気を引き出すことって難しい。環境の変化が激しい中、社員に給料を払うだけの仕事が継続してあるかわからないし、社員が変化に対応してくれるかもわからない。

自分が心底夢中になれる自社サービスを立ち上げて、それが世間で認められて、この会社で働きたい!って最初からやる気がある人が集まってくれれば、それは経営者本人にも社員にもやりがいのある会社になるだろう。でも、そんなふうになることはそうそうない。

自分がやりたいことが世間のニーズと合うとは限らないし、規模を大きくする必要があるものではないかもしれない。また人が増えて、現場より経営者の立場になることで、つまらなくなってしまう人もいるだろう。

自分はやっぱり1人でフットワーク軽く仕事も遊びも両立して生きていくほうが性に合っている。独立した頃はこのスタイルを情熱が足らないのではないか?と罪悪感もあった。けど、たびたび経営者の人たちの話を聞くと、1人だから仕事とプレイベートの時間、収入などのバランスがコントロールしやすくストレスなく生きていけている。自然と行き着いたこのスタイルが自分にとって良い状態なのだと受け入れた。

今は、この生活を続けるための足固めに力を入れている。

最終的には富の偏りを防ぐ仮想通貨が支持されるはず。やっぱりPoI通貨が本命!

ビットコインのようなPoW通貨のマイニングに社会的生産性があるように思えない。多くの通貨を保有している者が、多くの報酬を受け取れるPoSも先行者メリットが大きく、既存の法定通貨同様に貯める方に強い意志が働く。やっぱり信用スコアが上げることで報酬が多くもらえるPoI通貨が、フェアでより良い社会を作る基盤になると私は思う。

例えばこういうPoI通貨はどうか?その通貨が流通するデジタル経済圏で、人から評価されるような使い方をすると信用スコアが上がり、利息のような形でより多くの報酬がもらえる。もし貯めたまま使わない状態が続くと、信用スコアは下がり、かつ、税金のような形で自動で通貨が引き落とされ、信用スコアが高い人に回る。

アカウント作成から一定年数が過ぎ、信用スコアが一定値を超えた場合は、貯め続けても信用スコアが下がらず、税金のような自動引落もわずかになるような仕組みにしておく。

このような仕組みの中では、若いうちは貯めることよりも生産的なことに使うようになると思う。信用スコアを十分上げ、その利息で生活していくことが老後働けなくなった時のリスクヘッジになるからだ。

仮想通貨の面白いところはこのように人の行動を変えうることだと思う。

日本破綻は若者が法定通貨JPYを捨てることで起きるのかも

少子高齢化により増大する医療費が日本を破綻に導くより前に、若者が日本円(JPY)を捨てて仮想通貨に移行することで、日本破綻が起きる可能性。

今の多くの若者は、JPY経済圏では割を食う。年金だってもらえるかどうかわからない。ならば、仮想通貨を買い、JPYに依存しない新たな経済圏を作り、そこで資産を築いたほうが良いと考えることは自然なように思う。

現在、仮想通貨を買っているのは30代以下の若者が多いという。若くして仮想通貨で億り人と言われるように資産を築いたものもいる。仮想通貨市場はまだ伸びる可能性があり、さらに多くの若者が仮想通貨で資産を作ることになるかもしれない。

そういった資産を築いた若者が結託して、仮想通貨で独自の経済圏を作る動きも出てくるかもしれない。もはや彼らはJPYを必要としない。そうやってJPYを捨てる若者が増えることで、日本と言うか日本円は急速に価値を失っていくかもしれない。

ゲームで腹立つ事があると目が覚めるので眠気覚ましにおすすめ

いまごろ、モンハン3Gをプレイしているのですが、マップの矢印がどっちに向いているかわからないし、通れそうに見えるところが通れなかったり、とにかくわかりづらい!それでいつもイライラするんですが、そのせいで目が覚めてくることを発見。それ以来、眠気がやってきたらモンハンプレイするようにしている(笑)

コッリ ピアチェンティーニ バルベーラ 2015 イル ヴェイを飲みました

f:id:eimei4coding:20180113172451j:plain

酸味、タンニン、果実味どれも程々にバランス良く。軽くもないが重くもなく程よい飲み口。自然派特有の個性はそれほど感じない。バルベーラ好きな人なら普通に美味しく飲めると思う。

f:id:eimei4coding:20180113172502j:plain

食事の邪魔にならないので料理にも合わせやすい。肉料理に良いと思います。なんとなくバルベーラはこの造り手イルヴェイの他のものより一番個性がありそうな印象だったけど、今まで飲んだ中で一番普通な感じでした。

ちなみに冬場だしいいだろうと、開けてから常温でバキュバンもしませんでしたが、3日目でもほとんど劣化を感じず美味しく飲めました。それも素晴らしい。というか、むしろバキュバンした方が味が飛びそう。

item.rakuten.co.jp