ビットコインの自己管理という終わりのない修行 ③

練木照子 • 2021年10月08日

本コラムは2021/10/01付の「ビットコインの自己管理という終わりのない修行 ②」の続きです。

今回は苦労して構築したDIYマルチシグにトラブル続発で疲弊し、現在の管理法である３-of-５マルチシグによるジョイントカストディにたどり着くまでを振り返り、ジョイントカストディサービスとはどのようなものかをご紹介する本テーマ最終編です。

注）以下、私の管理方法をお勧めするものではありません。今利用可能なツールの紹介、自分に合った管理方法の見つけ方の参考情報としてご活用いただければ幸いです。

***************

DIY２-of-３マルチシグを試用すること数ヶ月、もう少しビットコインを入れてみようかと考えていた矢先にトラブルが発生します。ノードがダウンしてマルチシグをコーディネートするアプリ Specter にアクセスできなくなってしまいました。

ノードを立てるには複数の方法がありますが、技術素養が乏しい場合、ラズパイにUmbrelやRaspiBlitzなどをインストールするのが一番手軽です。私もmyNodeという商品を利用しました。myNodeには有料版と無料版があり、有料版は99ドルですが、ソフトウェア更新を１クリックで行え、メールでのサポートも受けられる他、ビットコインコアやLNDの他に多様なアプリが用意されていて、必要に応じてカスタムインストールでき、Specterも１クリックで利用可能です。（この頃、話題になり始めた Umbrel は無料なのにアフターサポート以外は myNode 有料版と遜色ないということで、その後一気に市場シェアを拡大しました。）

私は有料版を購入したのでサポートを受けられましたが、それでも原因特定と解決までに１ヶ月を要し、その間、少額といえどもSpecterで管理するビットコインのことが心配でなりませんでした。

無事ノードが復旧し、ほっとしたのも束の間、今度はマルチシグウォレットの署名機として使っている２台のハードウェアウォレットの１台、Cobo Vault がディスコンという事態に遭遇します。

今年６月、Cobo Vault 製造販売会社経営陣の間で事業方針に齟齬が生じて会社が分裂することになり、現商品の販売即時停止と３ヶ月後のサポート終了が唐突に発表されました（前職ソニーで商品ディスコンでも２年間のサポートは当然と考えていたので、こんなにカジュアルにディスコンする企業があると知って驚きました）。
ハードウェアウォレット部門は、会社を去る CEO が新会社で引き継ぐこと、新会社で Cobo Vault のクローンのようなハードウェアウォレットを Keystone とリブランディングして販売することも併せて発表されました。Cobo Vault ユーザーは今ならKeystoneウォレットが半額というプロモーションのお知らせが届きましたが、半年前に99ドルで購入したばかりのウォレットのクローンに更に50ドルも支払う気にはとてもなりません。「納得がいかない。そもそも Cobo Vault のファームウェアはオープンソースなんだから、それをメンテ、更新すれば良いのでは？」と抗議すると、「ファーム更新には特別な鍵が必要だが、その鍵は元の会社の管理下にあり、新会社はアクセス権がない。」と言われました。モヤモヤしつつも、今後は事業存続リスクが高いスタートアップのハードウェアウォレットは買わないと心に決めて諦めました。（３ヶ月後の９月、購入１年未満のウォレットについては全額返金すると突然の方針転換が発表されました。現在返金手続き中ですが、返金されても私の方針は変わりません。）

立て続けにトラブルに見舞われ、これは精神的に持たないとの結論に達し、DIYマルチシグへの挑戦はわずか半年で終わりました。

***************

ステージ４：CASA３-OF-５マルチシグ

ステージ３で得た教訓は、sovereign indivisualとして主権と自由を手にするには、最低限、例えば、ログを見て問題の原因に当たりをつけ、SSHでサーバ接続して問題解決を試みることができるくらいの技量が必要だということです。技量を習得すべく勉強するにしても、その間どのようにビットコインを管理するかが課題でした。

ジョイントカストディ

そこで選んだのが現在の管理法、ジョイントカストディです。ジョイントカストディとは、マルチシグの鍵の１つ（または送金に必要な署名数未満の鍵）を事業者に預けることで、自分で管理する鍵（を保管するウォレット）にアクセスできなくなった時、事業者の鍵を使ってビットコインを新たなウォレットに避難させるというリカバリー支援を受けられるサービスです。ビットコインの所有権は保持しつつ、トラブル時には助けてもらえる安心感が得られるわけで、ハードコアビットコイナーからすると邪道ですが、100%自己管理できる知識やスキルを習得するまでの一時的措置としては、取引所に放置するよりはずっと安全かつ健全だと思います。

日本にはジョイントカストディを提供する事業者はありません。ジョイントカストディは金融庁の現規制ではカストディアンには当たらないと考えていますが、FATFはAML対象に含める方向で調整中と記憶しています。そうなると、このサービスを始めるハードルとコストが格段に上がるため、日本で提供する事業者は今後も現れないかもしれません。

アメリカには既にUnchained CapitalとCasaという２社があります。２社の最大の違いは匿名性です。 Unchainedの利用にはフルKYCが求められますが、Casaは個人情報として提供するのはメールアドレスのみです。

Casaの３-of-５マルチシグ

私は匿名性に加え、CTOがサイファーパンクかつビットコインセキュリティの第一人者のJameson Lopp氏であることを理由にCasaを選びました。

Casaはゴールド、プラチナ、ダイアモンドという３つのプランを提供しています。私が購入したのは３-of-５マルチシグのプラチナプラン https://keys.casa/platinum です。年間利用料1,800ドルと高額ですが、万が一の時のリカバリー支援、複数法域にまたがる鍵の分散保管、遺産相続支援という私のニーズに応えるサービスであり、利用と引き換えに得られる心の平安と安眠に十分見合う価格だと自分に言い聞かせています。

とは言え、私には大金です。購入を決めるまでには３ヶ月におよぶ無数のメールのやりとりと２回の Google Meet コールを要しました。迅速かつ丁寧に質問に答えてくれ、個々人の事情を考慮したケーズバイケースの対応も可能との説明を受け、100％納得した上で契約できました。事前コンサルは無料なので、気になる方は受けてみることをおすすめします。残念ながら日本語には対応しておらず、英語かスペイン語のみです。

２-of-３マルチシグのゴールドプランは最初の１ヶ月は無料で利用できるので、興味のある方は試してみてはいかがでしょうか。

ウェブで利用契約とビットコインまたはクレジットカードでの支払いを終えると、数日のうちにウェルカム・パックが届きます。匿名で利用するなら、ハードウェアウォレット購入時と同じ方法、ビットコイン払いで自宅以外に配送がおすすめです。メールアドレスはユーザーIDを兼ねるので、Casa専用アドレスを新たに作ることをおすすめします。

ウェルカム・パックの中身は以下です。

Ledger Nano S…１台
Trezor One…２台
AnkerのUSB/USB Cアダプター
Tamper evident bag（開封すると開封痕跡が残るシリアル番号入りの封筒）
ハードウェアウォレット保管ケース…３個（防弾ベストのような素材でできている）
ハードウェアウォレット識別シール…３枚

1と2は故障時や紛失時には無料で新しいものを送付してもらえます。また、Trezor１台をColdcardに変更して、ベンダー固有リスクをさらに軽減することも可能です。この場合、Coldcardは自分で用意する必要があります。

初期設定・バックアップ作成

初期設定はステップバイステップの説明動画が用意されています。ハードウェアウォレットのPINコードの選択や識別シールでの管理法などはCasa独自方式なので戸惑う部分もありますが、その理由も丁寧に説明されているので納得して進められます。

バックアップもCasa独自です。ステージ３でマルチシグにするとバックアップすべきものが大幅に増えて管理負担が増すと言いました。Casaはバックアップとして守るべきものが増えるとGoxリスクも増すと考え、almost seedlessという方法を実践しています。ニモニックを記録、保管するのは自分で管理するウォレット４つ（ハードウェアウォレット３台＋モバイルウォレット）のうち、ハードウェアウォレット１台分のみで、残り３つのウォレットはニモニックをメモることすら禁止です。（モバイルウォレットのバックアップは暗号化してユーザーのGoogle Drive/iCouldに自動保管されます。）

さらに、通常はニモニックとウォレット本体は別の場所に保存しますが、Casaでは同じ場所での保管を推奨しています。具体的には上記ウェルカム・パックの４にニモニックをメモした紙（または金属板）を入れて封印し、ウォレット本体と５に同梱して保管します。

初期設定の最終ステップは Casa スタッフとの Google Meet コールです。ここでは強盗に押し入られた場合などに備え、パニックワードと緊急連絡先を指定します。顧客とのコミュニケーションでパニックワードが出た場合、Casa は指定の緊急連絡先にコンタクトし、事前に決めたプロトコルの実行を促すという流れです。

また匿名利用を希望しない場合、このコールで顔写真の登録を行います。これは緊急ロックダウンという一切の送金を凍結するパニックモードがあるのですが、これを解除する際にCasaスタッフ２人以上が事前登録した顔写真とロックダウン解除を要求する相手が同一人物であるか判断する際にのみ使われます（普段は暗号化してオフライン保管）。匿名利用のユーザーには別の方法が用意されています。

ここまで終われば、あとはウォレットを保管場所に分散するだけです。私はモバイルウォレットとハードウェアウォレット１台の計２つの鍵は日本で自ら管理し、残り２つは北米とヨーロッパに分散させました。通常は自宅金庫、貸金庫、オフィスを想定しているようです。

私が地球規模での地理的分散にこだわる理由は２つです。１つ目は地震リスクが大きい日本に全ての鍵を保管したくないこと、２つ目は身バレしているビットコイナーとして、ビットコインが爆上げしたら強盗に遭うのではという不安です。私が保有するビットコインなんて微々たるものですが、翻訳本出版やTwitter投稿から大量に持ってると誤解される恐れがあるのではと心配しています。そのため、あえて保管方法を公言し、私からビットコインを奪うには一緒に世界一周する必要があると攻撃ハードルを上げることで、標的になるリスクを軽減できるのではと期待しています。

長くなったのでUX解説は割愛しますが、特筆すべき点はHealth Checkと呼ばれるウォレットの生存確認を半年ごとに行うことです。ハードウェアウォレットが機能するか、クラウド保存したモバイルウォレットのバックアップは有効かを検証するものです。プロセスは非常に簡単なので、ウォレット管理を託す相手が技術リテラシーが低くても問題ありません。

総括

３週にわたりビットコインの自己管理について書きましたが、私の結論はビットコイン管理の「最善」方法は現時点ではないということです。もしかしたら、今後もそんな方法は出てこないかもしれません。どの方法にもトレードオフが伴うということです。攻撃者に盗まれないように安全性を高めると、構成や運用が複雑になり、手に負えなくなった結果、自らの落ち度でビットコインを失うセルフGoxリスクが高まります。逆に利便性を重視しすぎると安全性は下がります。生活スタイル、住環境、技術理解度、保有ビットコイン数は十人十色なので、各人が自らのニーズと状況に応じて、納得のいく安全性と使い勝手のバランスを見つけるしかないと考えています。

中には取引所に放置することが「最善」という人もいるかもしれません。ただ、ビットコインの所有者とは秘密鍵の所有者であり、秘密鍵を自己管理して初めてビットコインの所有権を主張できるのです。取引所に置いてあるビットコインの所有者は法的にはあなただとしても、技術的には取引所です。取引所やカストディアンにビットコインが集中すると、金本位制がなし崩し的に法定通貨制度にすり替わった二の舞となるリスクもあります。

難しそう、面倒と敬遠せず、自己管理について学び、実践する人が増えることを期待しています。そのための教育を取引所を含めたビットコイン関連事業者は積極的に提供すべきだと考えています。

練木照子

Georgetown MBA ->ソニー (-> 世界を放浪) -> AndGo ->フルグル。ビットコイン教育サイト「ロストイン・ビットコイン」運営。「ビットコイン・スタンダード」「ビットコインの歩き方」「ビットコイン、強気にならずにはいられない理由」邦訳。Diamond Hands Magazineにときどき寄稿。世界各地のビットコイン事情を見に行くのが趣味。