コインチェックの出金セキュリティが危ない

2017年6月6日、コインチェックさんはセキュリティを大幅アップデートして、現在日本で一番安全な仮想通貨取引所に生まれ変わりました。

この記事は過去記事として残しておきますが、あくまで「過去はこうだった」というご参考としてお読み頂ければと思います。


こんにちは。@マナです。

皆さんは大事な仮想通貨(暗号通貨)をどこで保管してますか?
取引所にそのまま保管している人もきっと多いですよね。というか、私もその一人です。(一部はウォレットに保管してますけど)

私が日本の取引所で”セキュリティ体制が一番ヤバイ”と思っているのがコインチェックさん。
ヤバイっていうのは「危ない」って意味ですよ。

なぜなら、アカウントをハッキングされちゃったら、簡単にどこの誰にでも仮想通貨(暗号通貨)を出金されちゃう仕様だから。

仮想通貨取引所各社の出金セキュリティ体制

ビットフライヤーさんの仮想通貨出金セキュリティ

まず日本で最大手のビットフライヤーさんのセキュリティから見てみよう。

ビットフライヤーの出金セキュリティ

2段階認証設定をしていれば、出金先のアドレスを追加しようとすると、

ビットフライヤーの出金セキュリティ

出金アドレス追加前に2段階認証の確認コード入力を求められる。
これなら仮にアカウントハッキングされて他人にログインされたとしても、自分の仮想通貨(暗号通貨)が勝手にどこかに出金されるリスクは低い。

Zaifの出金セキュリティ体制

Zaifの仮想通貨(暗号通貨)出金キュリティ

次に私が応援してるZaif(ザイフ)さん。
Zaifさんは出金アドレスの制限をかけることができる仕様。自分で許可した出金アドレス以外には送れないようになっている。

Zaifの出金アドレス制限

↑こんな感じで出金アドレスに制限をかけていて、これを外そうとすると、

Zaif出金先アドレスの解除

2段階認証のトークンを求められる仕様。
ビットフライヤーさんと同様、仮に他人にアカウントハックされたとしても、自分の通貨が勝手にどこかに出金はされない。

Poloniexの出金セキュリティ体制

次は海外取引所だけど、Poloniexさんの出金セキュリティ。

Poloniexの出金セキュリティ

仮に他人にアカウントハックされたとすれば、出金アドレスの記入と出金量は誰でも簡単に入力はできてしまう。

そして「Withdraw」をクリックすると、

Poloniexの出金セキュリティメール認証

登録されたメールアドレスに
「ハロー。あなたの通貨0.05BTCを本当に出金してもOKかな?OKだったらこのURLリンクをクリックしてくれれば出金開始するよー。心当たりが無いなら連絡されたし。」

というメールが届く。

つまりメール認証による出金セキュリティシステムですね。

Poloniexのアカウントハッキングをされたとしても、メールアドレスのハッキングさえ受けていなければ、他人の操作で勝手に出金されることはない。これなら二段階認証よりも安心。

コインチェックさんの出金セキュリティ

ではコインチェックさんの出金セキュリティはどうか。

コインチェックさんの出金セキュリティ

仮にアカウントハッキングされたとすれば、簡単に出金アドレス入力までには誰でもたどり着ける。出金アドレスの制限機能も無い。

ちょっとだけビットコインを送金してみようか。「送金する」ボタンをクリック。

コインチェックさんの出金セキュリティ

あ、送金できた。

コインチェックでビットコイン送金

5分で送金完了されおった(汗)

これ、仮に他人にアカウントハッキングされてしまったら、どんなアドレスへも出金され放題の”ザル状態”ってことですよね。

コインチェックからの出金メール

一応、コインチェックさんからは「やぁ、君のビットコイン出金やっといたからね」ってメールは来ますよ。(オイw)

でもこれ、夜中で寝てる時やメールチェックできない間にハッキングされて出金されちゃったら、どうやって対応してくれるんだろう。「自己責任で」とか言われるんじゃなかろうか。

コインチェック様、できるだけ早めに出金セキュリティシステムの向上お願い致します。

2017年3月27日にハッキングされてる様子をリアルにYoutubeにアップされてらっしゃる人がいました。

あぶなっかしすぎてコインチェックさんは使えませんな。

(以上、2017年6月5日までのコインチェックさんの状況でした)


【追記】
2017年6月6日、出金時に2段階認証を求められるセキュリティ仕様にアップデートされて、この件は解決しました。

さらに、ログイン時に複数回間違うと30分間アカウントロックされるような仕様、100万円を上限に盗難補償サービスを行うなど、セキュリティと運営体制を大幅に改善しています。

今のコインチェックさんは、私から特に初心者の方にはお勧めできる取引所になっています。

2段階認証は万能じゃない

2段階認証のセキュリティって万能じゃないんですよ。

2014年の時点で、2段階認証って既に突破されて、やり方は世界中に広まっちゃっているんですね。

hahさんが見つけた2段階認証突破方法を実行するには「ターゲットのアカウント名とパスワード」「2段階認証に登録された携帯電話の番号」「発信者電話番号偽装サービス」「キャリアのボイスメール用の電話番号」の4つが必要になります。発信者電話番号偽装サービスとは、SpoofCardといったネットサービスのことで、有料ですが登録しておけば電話をかけるときに相手のデバイスに偽の番号を表示させられるというものです。

【引用】Gigazeine Google・Facebook・Yahoo!などの2段階認証を突破する方法が判明

「2段階認証 破られる」でググれば、ハッキングされた例がたくさん出てきますよ。

仮想通貨(暗号通貨)取引所の2段階認証突破

自分の資産は自分で守らなければいけませんので、仮想通貨はできるだけ取引所に置かず、外部ウォレットに移動させましょう。


2017年6月6日、コインチェックさんはセキュリティを大幅アップデートして、現在日本で一番安全な仮想通貨取引所に生まれ変わりました。

全ての通貨の入出金に対応、取引所に置いている通貨が盗難に遭った場合でも100万円以内は補償対応予定など、良いサービスを拡充中です。

また、これからコインチェックさんを使われる方に注意するポイントを別記事「コインチェックを利用する場合の注意点」に書いています。
ご参考頂ければ幸いです。

このブログを書いている人

@マナです。貯金1000万円(+475万)で2017年から仮想通貨(暗号通貨)売買を開始。座右の銘「外そう、自分のリミッター」。