三菱UFJ銀行の練馬支店と玉川支店における行員による貸金庫の中身の窃盗事件が話題になっています。
三菱UFJ銀行元行員 貸金庫予備鍵で10数億円相当窃取か|NHK 首都圏のニュース
【NHK】三菱UFJ銀行の行員が支店の貸金庫から10数億円相当の金品を盗み取っていた問題で、この行員は顧客用の鍵のスペアキーを使って貸金庫を開けてい…
日本放送協会
貸金庫というサービスはマルチシグの鍵を保管したり、シードフレーズのバックアップを保管するためにビットコイナーなら利用を検討したことがある方も少なくないと思います。その貸金庫に対する信頼が今回の事件で揺らいでいますが、ビットコイナーが貸金庫を利用する上での注意点を考えていきましょう。
・貸金庫のセキュリティは様々
・内容物が見られる可能性は低いが、常にある
・ビットコイナーが自衛する方法
貸金庫のセキュリティは様々
貸金庫にはいくつかのタイプがあります。それぞれの違いにフォーカスするためにまず共通点を確認しましょう:
・金庫室、あるいは閲覧ブースには一度に1組あるいは1名しか入室不可。従業員も入室しない。
・貸金庫の中身にはある程度の制限がある(ナマモノ禁止、現金禁止など。業者による)が、従業員が中身は確認しない。
客錠の予備キーは存在する場合としない場合があり、存在する場合は運用面の仕組みも検証が必要になりますが、今回は割愛します。(三菱UFJの事件は運用面の仕組みに、担当者が予備キーを勝手に使用できてしまう穴があったと言われています)
それでは主要な方式を見ていきます。
半自動式(自動式とも)
貸金庫と聞いてまずイメージするのが半自動式のものです。これは小さな郵便受けサイズのロッカーのような貸金庫がたくさん部屋に入っていて、銀行側が金庫室または客のロッカーの銀行錠を解錠することで、客が中身のボックスを取り出せる方式です。
中身のボックスは客錠で施錠されており、専用のブースに持っていってそこで解錠して中身を出し入れする形になります。ブースは貸金庫室内にあるため、誰かが乱入できない限りは金庫の中身は客しか見る・触ることができません。
全自動式
こちらはタワーパーキングのような仕組みになっており、ブースに入って暗証番号とキーカードなどを使って認証すると自動的に契約している金庫がブース内へと送られてきて、そこで客錠を使って解錠し、そのまま中身を出し入れできる形になっています。
整備用の入口などを使って全自動式の機械に入り込むことができても各金庫に客錠がかかっています。いくつかの認証をスキップする攻撃方法ではあるので、整備用の入口も厳重に守られているか確認したいところです。
ロッカー式
これは銀行ではなく倉庫系の貸金庫(寺田倉庫など)に見られる1つの形式で、客は定められた認証を行うことで銀行の貸金庫同様に厳重に守られたロッカー室のような金庫室に入室し、客錠で割り当てられたロッカーを解錠し、その場で荷物を出し入れするタイプです。
専用のブースのようなものがないことが特徴ですが、これはロッカーに大型の荷物を預けることを想定していてのことだと思われます。こちらも一度に1組までの入室となりますが、他の客が自分の貸金庫の周辺に滞在する時間が長くなりやすい形式なのが気になる方もいるかもしれません。
余談ですが、寺田倉庫はアートやブランド品の保管を想定している、火災等に関して保険があるなど、銀行や財閥系の貸金庫よりかなりサービスレベルが高いと感じました。
内容物が見られる可能性は低いが、常にある
そもそも貸金庫を利用する目的として、「自宅に置きたくないものを、セキュリティの強い場所に置かせてもらいたい」という需要があります。したがって、ナンバーワンの検討事項は「本当に貸金庫は自宅よりセキュアなのか?」という点です。ほとんどの場合、実際にそうであると考えます。単純に物理的なセキュリティが住宅と比べ物にならないのと、銀行や貸金庫業者のレピュテーションがかかっているためです。(今回はそれでは十分な内部犯行防止にはなりませんでしたが)
防犯という観点
闇バイトという形で社会問題となっている通り、標的型の強盗が流行している現状においてビットコインの保有を知られると家で保管するリスクはかなり高くなってくると考えられます。公言せずとも、取引所等からの顧客データ流出によって犯罪グループの標的となってしまうリスクがあります。
このとき、セルフカストディしていないケースでは暴力で脅され、取引所から出金させられるでしょう。セルフカストディしているケースでは、犯人グループはおそらく秘密鍵を教えさせるよりは、その場で送金させたいはずです。
このとき、例えば送金に必要なシードフレーズやハードウェアウォレットが家ではなく貸金庫にあれば、物理的に送金できないため、資産を失う可能性が下がります。(家族を人質に取るなどして貸金庫に取りに行かせるとなると犯行が長時間かつ大掛かりになり、失敗リスクが非常に高くなります)
ただし、そのような場合にむしろ犯人を刺激してしまうリスクは高く、物理的な危害を加えられるリスクと天秤にかけることは難しいです。もし危機的な状況になったとしても、犯人を刺激しないように対応することが最善です。貸金庫を利用しているからといって強盗を予防できるわけではありません。
特定のPINコードを入力すると「メインとは別のウォレットを表示する」機能のあるハードウェアウォレットもありますが、標的型攻撃であればアドレス等を調べられているリスクもあるため、危険な賭けになります。闇バイトに関しては、犯行中は指示役と通話状態にあるケースが多いため、実行犯がポンコツでも指示役が詳しいリスクがあります。
防災という観点
ビットコインの保管について考えるとき、ついつい盗難リスクばかりを心配しがちですが、少なくとも現在の日本においては盗難以上に心配すべき事項としてシードフレーズ等の紛失や自然災害による消失リスクが挙げられます。おそらくですが、悪魔の証明になるためシードフレーズを災害で失っても火災保険などでカバーされないと思います。
この点では住居がどこにあるかなどにもよりますが、そもそも貸金庫のある場所に火気がないという1点だけで災害リスクは住居での保管と比べて低いと考えます。気になる場合は災害リスクについて貸金庫業者に質問しましょう。また、(貸金庫事業者に解錠されて中身を捨てられていなければ)紛失リスクもないため、セルフGOXの主要パターンは排除できます。
自衛する方法
このように貸金庫の利用には一定の価値があり、相当額のビットコインを所有している方は利用を検討すべきサービスの1つだと考えます。では、今回問題となっているように運用面の設計ミスなどによって誰かに貸金庫を解錠されてしまった場合のリスク対策はどうしたら良いのでしょうか?一番おすすめなのがマルチシグの利用です。
マルチシグ
マルチシグであれば、片方のシードフレーズとデリベーションパス(マルチシグウォレットの中身を定義する公開鍵などの情報)が流出しただけではせいぜいアドレスがバレるだけで、送金するには十分な数の鍵を集める必要があります。家+貸金庫+実家、家+貸金庫+会社、家+貸金庫+別の貸金庫、家+貸金庫+マルチシグ事業者、家+貸金庫+クラウド…のように、うまいこと鍵を分散させることで「強制的に送金させられない・させられにくい」と「1つ鍵を失っても問題ない」が両立できます。
この場合、シードフレーズが閲覧されたという情報がわかると対処できるので(シングルシグなら閲覧されたとわかった時点で手遅れなことが多い)、貸金庫に預ける際にスクラッチ式のシールを貼ったり、何らかの方法で封印するなどしておくと知らない間にセキュリティが低下しているリスクを下げられます。また、定期的にマルチシグをセットアップし直すことでセキュリティ状態をリセットできます。
頻繁に送金する場合は面倒になるので、日常的に使うウォレットと貯蓄に使うマルチシグウォレットは分けておくことになるでしょう。
まとめ
・貸金庫の利用はシードフレーズ等を住居で保管するよりは災害対策や防犯対策がしっかりしており、セルフGOXリスクも込みで考えると積極的に検討したい
・各社ともプライバシーに配慮しているが、今回の事件のように100%確実に中身を見られないと考えるべきではないため、マルチシグの1つの鍵の保管に留めることが無難
次の記事
読者になる
一緒に新しい世界を探求していきましょう。
ディスカッション