東氏
ジョナサン・アンダーウッド氏
ビットコイナー反省会へようこそ。今日は特別にBitbankのChief Bitcoin Officerを務めるジョナサン・アンダーウッドさんに来ていただいています。よろしくおねがいします。
よろしくおねがいします
今日は先日告知した通り、先日BitPointnの取引所でハック事件が起きてしまって、国内ではここ数年で3件目の大きなハック事件となってしまったのですけど、結構、取引所のセキュリティ大丈夫なのかとか、どういう形で暗号通貨、暗号資産を守っているのかという質問の声があったので、セキュリティの専門家であるジョナサンに来ていただいて、いろいろ質問をしていこうと思っています。よろしくおねがいします。
よろしくおねがいします
ジョナサン、そしたら、一応知らない人のために簡単に自己紹介お願いしてもいいですか、今やっていることと、ビットコイン歴、というか、こういう感じで興味を持ちましたとか、なんでそんなに日本語がうまいかも含めて
ながいな、ええっと、私はジョナサン・アンダーウッドと申します。Bitbank株式会社で、主に取引所の仮想通貨にまつわるセキュリティの開発の部分と、子会社のブロックチェーン大学校株式会社で、FLOC株式会社と提携をして、教育のビジネスをやらせていただいています。
ビットコインとの出会いなのですが、私がある行政機関の方の、凡ミスにより、何故か私が脱税者と勘違いされ、全残高押収、差し押さえられるという事件にあってしまい、自分の潔白を証明するまでの間は、全く銀行を使えませんでした。というここで、私が、その間に、ビットコインと出会って、もともと技術の趣味とか仕事柄もいろいろと開発をしていたので、ソースコードがオープンソースということで、どんどんオープンソースのコミュニティに参加させていただいて、気づいたらBitbankさんの顧問になって、それで正社員になって、今になる感じです。
今はビットバンクでは、それこそセキュリティの責任者みたいな感じですか?Chief Bitcoin Officerという名前なんですけど
仮想通貨に関わるセキュリティの部分ですね、例えば、コールドウォレットの運用とか設計、監査人になるのかわからないがそこら編の部分を担当させていただいています。
なるほど、というわけで、自分からも補足させていただくと、少なくとも自分が知る限り、国内では、海外も含めてぐらいですけど、おそらく彼ほど仮想通貨のセキュリティに詳しい人はいないんじゃないかぐらいの、ガチなセキュリティ「専門家」って言っちゃっていいんですかね、まぁでも仕事で完全にやってますしね、仮想通貨セキュリティの専門家で、今日いろいろビットポイントさんの件もそうですし、どうやって、取引所はどういう感じでどういう攻撃から守っているのかとか、あとは結構リスナーから個人で仮想通貨を管理するにはどうしたらいいのかという質問がちょこちょこ来ていたので、セキュリティ全般について質問していきます。
では早速なんですけど、Bitpointさんの件、ちょっと残念ですけどまた先週起きてしまいましたね
そうですね
やっぱりいろいろ細かくおっていますか?
まぁあの、一応ハックがあったという事実についてはちょっと、早足で、自主規制団体の中で、なんかこういう事があるかも知れないみたいな、ゆる共有みたいなものはあったんですけど、それを除いては基本的に、一般の方々と同じぐらいの情報開示のペースになっています。
なので、追っているのは追っているが、今現在公開されている情報があまりにも専門家向けと言うよりは一般の方向けの説明になっているので、ちょっとたとえば暗号鍵が何を指しているのかとか、そういう部分ですね、ちょっと詳細についてはまだ私自身は把握していない、でございます。
今の時点であまり情報が出ていないのでジョナサンは判断できないということだと思うんですけど、今時点で、気になっているところはありますか?自分が気になっているのは、ホットウォレットをマルチシグで管理していたって言っていたんですけど、そこの鍵を取られて、暗号化していたのも全部解錠されて取られたと言っているんですが、どういう状況なのかなというのがちょっとよくわからなくてそこが気になっているんですけど
もともと、そうですね、ビットポイントさんのサイトとかを、知り合いとかにビットポイントさんのセキュリティはどうなんですかと聞かれたときにWebサイトを拝見させていただいて、ちょっとどういう仕組みになっているのかがあまりよく想像ができないような、結構色んな事を言っていた、例えば、ホットウォレットはマルチシグで暗号化してますとか、いろいろ言っていることはあったが、実際の所それがどういう仕組としてWorkするのかというところは、よくわからないですね。
たとえば、ホットウォレットとマルチシグというのが、技術的な解説に入っちゃっていい感じですか...?
あ、じゃあ基本のところから入りましょうか、仮想通貨取引所の基本というところだと思うんですけど、よく言われるホットウォレットとコールドウォレットってあるじゃないですか、一応そこから開設しますか、ホットウォレットって何のためのウォレット7日とか
まずはですね、ホットとコールドはあの、英語から来ているんですけど、温かいと、冷たいっていう、言葉なんですよね
そこから
それぐらいわかるわってツッコまれるかも知れないですけど、じゃあ暖かさ、温度って何を表しているかと言うと、どれだけ盗まれる危険性が高いかということにちなんで名前をつけています。なのでほっとウォレットは基本的にインターネットに常時接続している機材、機械に、秘密鍵が置かれている状態をホットウォレットと言います。基本的に。
それは、機械の中でその秘密鍵が暗号化されていて、その暗号を解くための鍵が実はその機械の中に無くて、と言っていても、私はそれはホットウォレットと言います。暗号鍵がめっちゃコールドやんみたいなことを言われても、それはもう暗号化された秘密鍵が常時インターネット接続されているものに乗っている以上、それはホットウォレットです。なぜなら暗号化されたやつを盗まれたら、あとは暗号化された秘密鍵をどこかにしまっておいて、いつか暗号鍵を盗める日を待ち伏せしていたら成功になります。
なので秘密鍵自体が暗号化されていてもされていなくても、常時接続されている機械に乗っていることがほっとウォレットだと私は思っています。
もちろんこういう定義が辞書で定義されているものではなくて、結構その、暗号化されていたらそれはコールドでええやらろということを思われている方がいるかも知れません。あくまで私の解釈です。
そしてコールド、
コールドの前にちょっといいですか?
今回の事件もそうだがみんなホットウォレットをやられるじゃないですか、取引所って。なんであの金額をホットウォレットに入れているんですか?なぜそこまでリスクが有ることをしてしまうのかということなのですが
はい、取引所を運用していく上では、いちばんありふれたよく日常的に行われる操作というのが、出金というものですね。
お客様が、私は10BTCを持っているので、5BTCを例えば別の取引所に送りたいので、送ってくださいという指示を私達がいただきます。
で、その際に、いろんな...これもまた価値観が分かれるところではあるんですけれども、すぐに対応しなきゃいけないという取引所もあれば、いや、出金の命令はすぐに対応しなくても、例えば1日以内に対応できていれば大丈夫とか、それはそれぞれの取引所の規約の中で、定義されたりとかするんですけれども、なぜそんな多額のものをほっとウォレットに入れているのかと言いますと、やはり、寝ている間とか、週末の間とか、お客様が沢山出金してしまったというときに、枯渇してしまう可能性があるんですね。
なのでたとえば、蓄えておくことで、人間が会社に出社していなくても、放っておけば無くなることはないだろうというものが一つあります。
そしてもう一つあるのが、取引所によっては、ホットウォレットを入金のアドレスを発行するために使っている取引所もあります。
なので、今回のたしかビットポイントさんも同じように、お客さんがビットポイントにログインして、ビットコインを入金したいですと言ったときにアドレスが出ているじゃないですか。そのアドレスの裏にある秘密鍵というのは、ホットウォレットになっています。
自動化されているアプリのプロセスが、あ、誰々さんが何BTC入金しましたね、というデータベースの記録をすると同時に、もらったビットコインとかをそのまま横渡ししてコールドに入れるなり、出金用のホットに転送するなりするんですね。
そうするとお客さんからの入金というのは、我々の方で制御をすることが通貨よりけりな部分もあるんですけれども、とくにBitcoinとかLitecoinとかMonacoinについては、たとえばこのアドレスへの入金は10BTC以上を拒否しますということはできないですね。プロトコルの仕様上それができません。
なので例えば週末の間放置してたら、だれかお客さんがたとえば1000BTCを入れてきました、という状況もあり得るわけです。
もちろんそれはホットウォレットがある程度オンラインに秘密鍵を置いているので、自動化もできますので、ある閾値を超えた残高になってしまった場合は、一定をコールドウォレットに自動的に入れるみたいな仕組みもできます。ただしその逆はできないじゃないですか。
なので、あまりコールドに自動的に転送するのをちょっとすぐに転送してしまうみたいなのをやってしまうと週末の間とか休み、連休の間に全く出金が止まってしまってお客さんからクレームが来てしまう危険性はある
ようはちょっと噛み砕いて言うとすると、ホットは使わなくちゃいけないのは、インターネットに接続されているのでリスクにはなるが、基本的にユーザー体験を向上させたりとか入出金を早くするとか、基本的にはそういう所ですよね。
それは仕方ないと言うか、セキュリティの面は、それは本当は良くないのかも知れないんですけど、そうじゃないと入金したのに全然反映されないぞとかってなると困るので、そこにちょっとお金をためておく必要があるってことですよね、基本的には。
はい。そうです。基本的にセキュリティとユーザーエクスペリエンスの、ユーザービリティの、天秤にかける感じですね
トレードオフでってことですよね、なるほど。
ちょっとそこについては、そのバランスについてはどれくらいが適切なのかとかって話もちょっと聞いてみたいんですけれども、ちょっと順番が前後しちゃったんですけどコールドの方、いまホットウォレットからコールドウォレットに入れるっていう話があったんですけれども、コールドウォレットっていうのは何で、どういう感じでコールドウォレットの環境を作っているのか、一般的に、みたいなところをちょっと教えてほしいんですけど
はい、コールドウォレットというのは、ホットは常時インターネットに接続しているマシンに置いているのと真逆で、コールドというのは、一度もインターネットに接続したことのある機械に置かれたことのない秘密鍵の事を言います。
なので、例えば私が新品のパソコンを買いました。それで起動して、インターネットに接続して色んなドライバをインストールして入れたりして、その後、Wi-Fiを壊して、インターネットに接続できなくする、その上に、私がUSBメモリとかで秘密鍵を入れました、それはコールドになるでしょうか、コールドになりません。
インターネットに接続している間に、USBメモリの中に、秘密鍵を探して次回USBメモリがオンラインのパソコンに挿したときに自動的に隠れている秘密鍵を送信するウィルスを仕込むみたいなことはできたわけです。
そういう事例も過去にあったってことですかね
そういう事例もあったと噂は聞いています、確証は得ていないですけど。
なので一度もインターネットに接続したことのない機械に、一度もそういった接続したことのある機材に触れたことのない秘密鍵を管理するのがコールドウォレットです。
コールドウォレットについて質問で、たぶんこれは一般の人で勘違いしている人もいるかも知れないんですけど、いまのジョナサンの説明でもあったのですが、コールドウォレットを作るのってかなり面倒、大変ですよね、相当慎重にやらなくちゃいけないですし
超大変です。ちょっと弊社の方で「儀式」と呼んでいるんですけども、そういう特別な部屋の中に特別な機材があって、特別なセキュリティが施されている中で、いわゆる署名の権限を持たれている人が数名いらして、その人が一人ひとり中に入って、鍵を生成して、その鍵の公開鍵の部分、xpubと言われるんですけれども、その部分だけをその部屋の中から取り出して来ます。
そうすると秘密鍵はどう管理するのかというのが、物理の世界になります。
なぜならそこで秘密鍵を生成したときには、秘密鍵のフレーズとかがあったりするので、それを実際にボールペンと紙で書きとめて、我々の署名者のマニュアルみたいなのがあるんで、どういうふうにそれを書いて、どういうふうにそれを保管して、誰々がもし万が一のことがあったらと、本当にすべての危険性を考えています。
署名者がなくなったときに、その署名者が個人契約で貸し金庫を借りてちゃんと遺言書とかでもしその人が死んだらこの貸し金庫の中身がBitbank株式会社に帰属することになるみたいな。そういうところを全部、あと、署名者二人以上が同じ飛行機に乗ってはならないとか、そういう色んなルールを作っています。
デジタルセキュリティだけじゃなくて、法律の所、死んだらどうするとか、運用というか飛行機に一緒に乗らないとか、そこまで細かく考えてやらないといけないし、やっている。自分が言いたかったのはよく「コールドウォレットだから安全」とか言っているんですけど、いやそんな簡単な話じゃなくて、コールドウォレットの作り方とかにもよるじゃないですか。ホットウォレットにも安全性が高いものと低いものがありますし。
はい
結構よく勘違いされることの一つだと思うんですよね。コールドは安全とかマルチシグだったら安全とか言うじゃないですか
基本的に、コールドウォレットというのがインターネットに触れたことがないという定義があるんですけれども、さらに一歩踏み込むと、そういうオフラインの環境で使う秘密鍵というのは、基本的に物理的になにかの書き込んだフレーズとか焼き付けたプレートとか、なにかが無いとその秘密鍵の情報を署名時の機材に入力することができないんですよね。
で、そうすると今度は、デジタルセキュリティの話から、物理セキュリティの話に変わるんです。
そのフレーズをどう守るのか。たとえば、誰かが会社に勝手に入ってきて機関銃をダダダダダってやってきたらどうするのかとか、そういうあらゆる危険性を想定して絶対に、たとえば誰かが署名の権限を持っているひとの愛している人が人質にされてとかであっても、それはいわゆる、それが発生した時点で例えば一週間絶対にコールドからの出金ができないようにしたりとか、そういういろんな施しがあったりします。
いろんな脅威もあるし、それぞれの脅威から自分を守ることが本当のコールドと言うか、秘密鍵事態がコールドかも知れないけど、コールドになった秘密鍵を物理セキュリティでどう守っているか次第で、コールドなんだけどもただUSBメモリに入れているだけみたいな、それはなんちゃってコールド
なんちゃってコールドって初めて聞きました
なんちゃってコールド
なんちゃってコールドもだから、他の取引所がどういう扱い方をしているかわからないですけれどもなんちゃってコールドみたいなこともあり得るってことですね
ありえます。
ちょっと細かい話と言うか、どんどん具体的な質問をしていきたいんですけど、今みたいな話って、あんまりすごい細かいところまで言えないわけじゃないですか。完全に企業秘密というか、それがバレちゃったら攻撃される可能性があるので。
ジョナサンって、ジョナサン一人ではないと思うけど、そういう知識や技術はどうやって勉強してきたんですか。単純に興味があるんですけど
それは自分で考えるしか無いのか
事例の研究とか、今まで起きたハッキング事件が何が原因だったのかを考えるとか、あとは常識って言ったらちょっと変ですけど、たとえばコインチェックの事件がソーシャルハッキングだったっていう話だったじゃないですか。なのでソーシャルハッキングとかフィッシングとか、そういう仮想通貨取引所に限定した専門的な知識が必要というよりかは、一般的なITセキュリティの知識と、一般的な物理セキュリティの知識と、あと仮想通貨ならではの知識がピラミッドみたいに、基礎があって積み上がっていく感じですね。
私自身もどこで勉強したのかと言われると、これだっていう一箇所ではないので、積み上げてきたものですね。
やっぱり過去の事例でいろいろ情報が出てきた、こういうふうにやられちゃったんだ、じゃあうちはそうならないようにしようってやったりとか、もしくはそれに対応できるかを再点検したりとか、日々の話ですね。毎日のようにこれ大丈夫かっていうのを考えないといけない。結構辛い
そうですね
なので、まずは今回のBitpointの件もそうですけど、やっぱり警察との捜査の関係で、実際に何が起きてハッキングを受けたのか、っていうところを開示できない可能性もあるじゃないですか。
いわゆる我々が例えばソーシャルハッキングされて盗まれたということを把握しているということを、犯人に教えてしまうことになる。
そうすると、あ、もう手口がわかっちゃったからもうちょっと隠れる努力をあげようとか。そういうのがあったりするかも知れないので、結構盗まれた直後ってなかなか開示されないというのはあると思うんですけれども、結構こういう事件があったときに、変な話例えばですけど、Bitpointだけが狙われたとは限らないじゃないですか。
全部狙われてますよね
もちろんみんな、全員ずっと狙われていると思うんですけども、変な話、新しい誰も考えたことのない手口で巧妙に全取引所を同時に狙う、それでBitpointだけ先駆けて成功しちゃったという場合に、いち早く我々がどうハッキングされたかという情報を知っておいたほうが、もしかしたら同じ人が同じ手口を使って我々を狙っているかも知れない、それがいち早く防御できてしまう、できるので、可能であればそういうなにか警察の協力とかもいろいろあるとは思うんですけれども、例えば協会で一団となって各社からセキュリティ専門の人だけ集めて定期的にそういう情報共有会みたいなのを、もちろん極秘で、外部には絶対に言わないでくださいねみたいな前提ではあるんですけれども、やっておいたほうが私はいいなと思っています。
ちょっとこれ実は聞きたいことの一つだったんですけど、過去にどんな攻撃があってそこから学んできたのかというのもそうなんですけど、それはこのあと聞きたいんですけど、今回のBitpointの事件があって、確か業界団体から情報共有をもっとちゃんとやっていきますみたいな宣言があった気がするんですけど、自分は結構それ懐疑的に見ていて、さっきの話もそうなんですけど、あんまり自社がどういうふうにやっているかって言いたくなくないですか、どこまで共有できるのかなってずっと前から疑問に思っていて、それはでもセキュリティの人達からすると、自社の事を考えているんじゃなくて、業界全体でノウハウを共有して安全にやろうよっていうふうになるのか、管理体制が他のところにバレたりするのはリスクじゃないですか、いろいろ。
それもありますし、あとはそうですね、やはりハッキングされた手口が意外と例えば単純なものだったりした場合、一般的なIT知識でむしろ一般人が管理していたほうが引っかからなかったんじゃないかみたいな可能性もあるじゃないですか。
なのでそういうときにみんなに共有して今回のハッキング事件の原因はなんですかとみんなに共有して、「ちょっと私がキャバクラ言ってたときに、、、」みたいな話をすると恥ずかしいじゃないですか。
個人として恥ずかしいし、会社として恥ずかしいというのもあるし、競合他社に対してメンツ潰れになったりするじゃないですか。
なので必ず共有し合う、ということは、理想ではあるんですけども、そこらへんでいやこれは共有したくないという場合に、変な話、もしかしたらいま業界に入っている会社でこんなことをするような会社は入ってないと思うんですけれども、ごまかしたり、嘘を言ったりとか、そういうことはもしかしたらこれからあるかも知れないので、そこらへんのセキュリティインシデントが発生したときにどういうふうに協会の中で共有していくのかというところが非常に大事な課題になっていくんじゃないかなと思います。
大事なのはもちろん自分も認識してそうなんですけど、なかなか難しそうだなと現実的には思うところがあります。ただまぁそこは、正直そんな事を言っていてもそれでみんな一気にハックされちゃったら話にならないので、例えば今回の事件もそうですけど、CoinCheckとかZaifも、一社がハックされるとそれが他の取引所にも影響したりするわけじゃないですか。だからそこは一緒に何とかするしか無いんでしょうね、正解としては、たしかに。
そうです
今回の事件があったときに焦ったんですか?他の取引所が一斉にうちは大丈夫ですってアナウンス出したじゃないですか。よくわからない新しい手法でやられたんじゃないかって、そういう事件が出てくるとすごく緊張感走りますよね、他の取引所も。
そうですね、結構緊張感が走ってましたし、急いで、一応自動プロセスで色んな監視の仕組みとかは入れているんですけれども、万が一ハッカーが我々の監視システムを壊して大丈夫だと言わせるような改ざんをして実は盗んでいるみたいな、そういうことがないかという確認を私が丸一日かけて、結構たくさんあるUTXOの所在を実際にローカルで持ってるビットコインノードとかLitecoinノードとかで確認しました。
ちゃんとまだ持ってるよねとか、ホットにまつわっている色んな所のクレデンシャルが設定されているのか、古いものになっていないかとか、念のためになになにの秘密鍵を入れ替えてみようかとか、急いで行っていました。念の為。
忙しい中でわざわざ今回来ていただいて非常にありがたいんですけど、そしたら過去の事例から学ぶことが重要という話があったんですけど、具体的にこういう攻撃事象(?)が過去にされて、こういう攻撃事象に対して、たとえばソーシャルハッキングとか、あとは昔ビットペイだとCEOにメールがいって、メールが結構よくあるみたいですけどね、メールででここに出金してって言われて、やっちゃったとか。そういういろんな過去の事例があると思うが、その中で、よくある攻撃というか、こういう代表的な攻撃があって、こういう形で気をつけなくちゃいけないとか、こういう対策を行っているとかって、言える範囲で教えてほしいんですけど
たぶん一番よく聞かれるものは、ホットウォレットの秘密鍵を盗んで、すぐに全残高を移すのではなく、通常のホットウォレットからお客さんへの出金に紛れ込んで、ちょっとずつ盗む、そうするとちょっとずつだとちゃんと出金の管理とか自分のホットウォレットから出ていっている取引が自分が命令した出金だけですよねっていう監視をしていなければ、MtGoxみたいな状態になるんですよ。
知らないうちにどんどん少しずつ出されていっている、穴の空いた穴の空いたバケツみたいな感じですね
例えばですけど、MtGoxは実際そうゆう手法で盗まれたんですけど、たとえばほっとウォレットにポリシーとして5億円分のBTCしか入れないというポリシーを持っていたとします。それでバケツの穴方式で、秘密鍵を盗んで今すぐ全残高移したら5億円手にはいりますよね。そのかわり盗まれたことがバレてしまう。
なのでちょっとずつそれを出すと、どんどん減ったら補充するじゃないですか、コールドから。なので補充してどんどん何回か補充していくうちに、5億円以上の金額を盗めるようになります。
なのでコールドウォレットからお金を盗む手法として、一番よく聞かれるものです。
それを防ぐ唯一の方法は自分のホットウォレットから出ていっている取引が我々が実際にお客さんの指示によって作った出金の取引だけですよね、それ以外の取引がないですよねっていう監視を常にやっておかないといけない。
その監視のところがめちゃくちゃやっぱ、今回の事件も、事件が発生した、取られているんじゃないかというのが言われてから、止めるまでに結構時間がかかったという批判があったので、今回の場合とかでもおかしいぞというのが感知された瞬間に出金とかを止めるというのが基本ということですかねそれは。
監視をするというのがやっぱりすごく難しくて重要ってことですかね
弊社の場合で言いますと、例えば以前に施した仕組みとして、ホットウォレットが以上を検知した場合は自動的に出金を停止します。そうすると秘密鍵がいちおう閉じられた状態になって、すでに盗まれてしまっている場合に仕方がないんですが、もし変なことが起きていた、我々のデータベースだけハッキングされた、それによって変な出金の異常が検知されたという場合に、ホットウォレットの出勤を停止して人間にアラートを飛ばしてアラートに気づいたエンジニアが中の状況を確認して、みんなでSlackとかで連絡取り合って、大丈夫なのか、大丈夫ですよね、じゃあそれなら念のために停止した状態にして明日の朝に再開しましょうかとか、お客さんのアナウンスとか金融庁への報告とか、そういう感じの流れがある。
監視をして、自動監視プロセスがあります、それが異常を検知できたら自動的にとりあえずシャットダウンする、というような感じになっています。
それはMtGoxとかでそういう事が起きたって言っていましたが、それ以降業界全体でだいぶ改善したんですかね、わからない部分もあると思いますが、そうでもない部分もあるのか
それはなんとも言えないです
結構いわゆる先ほど申し上げた攻撃というのは、湾曲なやり方ではあるんですけど、ある意味コールドからお金を盗んでいる感じですよね、ホットを通じて。
なのでホットウォレットからいくらいくら盗まれましたという言い方をするんだけれども、実は盗まれてちょっとずつ吸い出されて気づいたら帳簿と合わなくなって、帳簿と合わなくなった事に気づいんたんだけど、いつどうやって盗まれたかがわからないみたいあん、状況になってしまう可能性もある。
そういう意味では常に自動プロセスが関しをして、何解錠を検知したらそれを自動的に停止させるみたいな、が必要だと思います。
他の攻撃方法は、代表的なもので
代表的なものはソーシャルハッキングですね。最近良く見かけるのが、あなたの友人になって、たとえばどこかのmeet upとかアプリとかでどんどん近寄って、それでこないだこれ、面白いこと見つけたんだけど見てくれる?みたいな感じでPDFとかを送ってウィルスを仕込むとか。
後もう一つあるのが、仲良くしているな、この二人、と思ったら、AさんとBさんがいて、Aさんが仮想通貨取引所のお偉いさんです。AさんとBさんがよくTwitterで絡んでいますということで、Aさんに、Bさんとハンドル名の小文字iを小文字lに変えてトップ画像を盗んで同じようにして、DMでちょっとこれ見てくれる?みたいな感じでPDFとかを送って。
結局なにかこうウィルスを仕込むためのなにかファイルを送らせてみてくれるとか、リンクを送って見てくれる?って
なので私は重要な話とかは私はKeyBaseだけに絞っています。
それは個人的にですか?
個人的に、もちろんBitbank社内でも使っています。
KeyBaseというのが公開鍵暗号を使ってユーザーアカウントと公開鍵が強く紐付けられています。
例えば私のアカウントのiをlに置き換えるみたいななりすましを試みても、話している相手がその人が渡しじゃないということがすぐバレます。なぜならフォローしている人としていない人が色が分かれるし、署名している事でフォローしていることを証明するので、ちょっと一般人が使うにはUXがまだ分かりづらかったりするんですけど、セキュリティに関する連絡とかはKeyBaseをおすすめしていますね。
Key Base知らない人もいると思うので一応言っておくとTelegram使っている人も多いと思うが暗号化メッセンジャーですね。じぶんもKeyBase使ってますけどUXはまだちょっと。後今の話でKeyBaseがそれでも完璧なわけではない。たとえば自分が誰かに脅されて、自分のスマホから送っているかも知れないし。
あくまで端末と端末で、この端末はこの人だろうという前提で成り立っていますね
このソーシャルハッキングってコインチェックもこの方法でやられたんですよね、誰かになりすまして、顧客か何かになりすましてメールを送ってそこでマルウェアを仕込むみたいな感じだった
そういう感じですね
これもソーシャルハッキングの一部ですかね
そうです
これめちゃくちゃ怖いですよね。
こわいです
メール来てなんかそれっぽい人からクライアントとか、もしくは会社の人とかからこれチェックしてって言われたらやっちゃいそう。
やっぱり今までの私が聞いたことのあるソーシャルハッキングのものっていうのが、結構仕事の上で関係する、仕事に関わるメールの連絡とかって、脳が半分機械的になって自動的になにか誰かからもらったこおのファイルを開いてこういう操作をして誰かに送るみたいな、半自動化されてしまうと、より注意して見なくなります。
多分BitPayの事件、先程おっしゃっていたんですけど、あれは絶対に習慣的に誰々さんがBitPayの社長さんに、定期的に、週に2、3回ぐらい、どこどこにこのアドレスに送ってくれ、アドレスの使いまわししてないからね、わたしビットコイナーですから、みたいに、毎回違うアドレスと言う感じでもうなれているので、誰かがその人になりすまして同じような感じで、今秋はこのアドレスでよろしくみたいなことで送ったら、わかりましたねーって送ったら、実はそれがなりすましだったというところですね
だからアドレスの確認も重要な課題になりますけど、ソーシャルハッキングとちょっと、その一件だけ、BitPayの件はむしろアドレスを使いまわしていたほうが、もしかしたらいつものアドレスと違うの送ってきたなみたいな気づき方もできたかも知れないのに。
この場合はアドレスの再利用は良くない、こういう場合はむしろセキュリティにいいかも知れないということで、セキュリティって、あまりこう、これはどの場合においても必ずセキュリティにいいというものはないです。
そうですよね言われてみると。取引所も入金用のアドレスを同じものを使いまわしたりするのは自分は個人的にはプライバシー的に止めてほしいんですが、セキュリティのためにそうしているのかも知れないし、そのバランス間難しそうですね
UXのバランスセキュリティのバランス危険性のバランス。
正解はないです。不正解はありえますけど、正解はない。
取引所の方針で何を優先するかでバランスの配分を決めるという感じですか
そうです
いま出た中でホットウォレットから徐々にdrainされていくケースと、ソーシャルハッキング、他にもいろいろ攻撃あると思うんですが、ちょっとひっくるめて、自分個人的に前から言っていて、これ自体はジョナサンも同意してくれると思うんですけど、基本的にホットウォレットを100%守るって非常に、不可能に近いぐらい難しいんじゃないかと思っていて、なので仕方ないので被害があったときにどうやって被害を最小にするか、検知をしてすぐ止めるとか、もしくはホットウォレットに置く金額をそんなにたくさんにしないとか、くらいしか無いんじゃないのかなと個人的に思っているんですけど、そこらへんについてどう思いますか
まずすべての取引所が絶対にやらないとだめなことを上げますと、1つ目は入金アドレスはコールドにしないとだめ。
なぜなら、ホットウォレット盗まれたあとに、お客さんが入金アドレスを表示するページを停止しても、アドレスを他の取引所の出金ページに保存してあります。なので例えばだれかのBotトレーダーとかそういう人が、ハッキング事件があると暴落したりするじゃないですか、ハッキングにあったところが結構値段が高くなりがち、なぜならみんながBitcoinとかを買って出金したい。なぜならExitしたい。そうするとハッキングにあった取引所が買い圧力が強くなって値段が高くなるとBotがここで売れば私は儲かるということで、Botのソースコードの中に入金アドレスを多分ソースコードに貼り付けてますよね、そのアドレスはホットウォレットですよね、そうするとハッカーが持っているアドレスに送るわけですよ。
ハッカーにプレゼントし続けるってことですよね自動的に
Botトレーダーが皮肉なことにハッキングされた取引所に送る羽目になってしまうケースが多いです。
二次被害みたいな感じですよね
二次被害にあいますね。
入金アドレスは必ずコールド、が1.
2,ホットウォレットに入れる、もちろんホットウォレットがまったくないという選択肢もありますよ。
そういう所ありましたよね
あります
例えば1日の出金したいですという妖精を1日まとめて、全部ひっくるめた一つの大きなトランザクションをコールドの人たちが署名してというやり方もあります。
ただし出金が1日1回とかになります
ユーザービリティがちょっと下がると
ユーザービリティを下げてセキュリティを上げる。
BitMexがそれですよねたしか、1日に一回。
そうですね
どうしたんですか
ハエが。。。臭いかな私
2つ目ですけど、ホットウォレットがあった場合、ホットウォレットに置くお金は、自己資金でカバーできる範囲内に留めること
万が一ハッキングにあったとしても、そういうなんかこう、破産してしまうとか、ちゃんと全額をお客さんに100%返せる範囲でのものしか置かない。
それはちょっと苦労したりしますけど、とくに出金の量がたくさんあったりすると、いろいろ工夫が必要になってきます。
例えば去年で言うと、大連休があったときに我々の方でホットウォレットの全体的な残高を低めにしないといけない時期があって、それで我々がいろいろ工夫をしたんですよね。
たとえばですけど、予めコールドからホットに送るトランザクションを、部分的に署名して、分散した形で、この署名が入っているやつを誰さんが持つ、この署名が入っているやつは誰さんが持つ。でも宛先は署名で守られているので、これを統合して配信すればホットウォレットへの補充になるが、この2つのデータを統合しなければ配信にはならない。
みたいなことをやったりとかもしようと思えばできます。
なるほどなるほど。で、他に取引所が絶対にやらないといけないこと、この2つですか
あと、3つ目は、先程申し開けたことだんですけど、出金がおそらくホットから出るんですけど、出金の要請と実際のブロックチェーンが完全に1対1で対応していることを監視する。例えば1分に1回実行されるJobでそれを把握しておく。
それは必ずやることですね。
2つ目にやることについてなんですけど、今回BitPointさん、ハックされてしまったんですけど、全額ちゃんと返しますっていう発表を昨日かな、ちょうどして、で、ジョナサン的にちょっといいづらいかも知れないけど、今回被害にあってしまった金額やバランスというのは、まぁ、リーズナブルな範囲なのかどうかということについてはどう思いますか、ちょっと多い、多いのか、取引所の方針に寄ると思うんですけど、最終的には
まぁそうですね、金額を見て多いとか少ないとかはほんとに取引所の経済的な状況とか、お財布の状況とか、というものによりますので、35億でしたっけ、
結局30億程度でしたね
ちょっと多めかなとは思うんですけど、でもちゃんと全部返却ができるくらいのものであれば、まぁそれはおそらく、彼らなりにそういう万が一のことがあったとしても全部返せるからこれぐらい置いておいてもいいよねという判断でしたら
その点からしても、ちょっと戻るんですけど、やっぱホットウォレットを完ぺきにできないのであれば多少リスクをちゃんと守ったりとか、被害は最小にするというのは出来るんですけど、今後もこれは自分はずっと前から言っていてえ、他の関係者も同じようなことをずっと言ってるんですけど、取引所のGox、ハック事件って絶対、とくにホットウォレットはなくならないと思うんですよ。いろいろ改善していると思うんですけど、そこがなかなか難しいところだと思うんですけど、ただ今回みたいな事件があると毎回毎回ニュースとかメディアから叩かれたりとか、言われたりするんですけど、これからもやっぱりGox、取引所とハッカーの戦いはこれからも平行線と言うか永遠に続いていくことになりそうなんですかね
まぁあの仮想通貨取引所業界に限った話ではないんですが、常にハッカーがいます。ホワイトハッカーにしてもブラックハッカーにしても、いますし。
実際に被害に、罪のない人たちを被害にあわせて自分の利益のためにお金を盗むという人は、法でさばいてしかるべきだと思っています。ただし、いなくならないというのは現実です。なのでいかに自分を守れるかというところを常に追っていかないといけないです。
色んな施しをしておきながら権限分散をしたり権限の管理をしっかり行ったりすることで、そのリスクを最小限に抑える努力は必要ですね。
あのもう一個、今回日本で3件目、この数年で大きな被害があったが、質問も来ていたが、日本の取引所って海外の取引所と比べてセキュリティ対策甘いんじゃないのっていう指摘とか、批判みたいなのがあるんですが、これ自分はそうでもない、そうでもないと言うか、韓国の取引所もしょっちゅうGoxしますし、なんか肌感覚とかありますか、海外と比べてというところで
そんな事ないと思いますけどね。
やっぱりそういうバイアスがあるかなと思います。
日本に住んでいて日本語でしか情報収集しないでとかしていると、日本の取引所が一番目立ちます。ハッキング事件は日本の取引所のハッキング事件が目に止まります。
とはいえ、海外で日本の企業と違うところで、例えば結構、日本っていろんな規格とか認証とかそういうのってあるじゃないですか。たとえば個人情報保護法守ってますアピールのためのプライバシーのPマークとか。あったりするじゃないですか。
結局プライバシーのPマークを取得した大企業が個人情報めっちゃ漏洩させたりするじゃないですか。
なので一度取得したら、販売促進効果が得られるので、なになにマークとかなになに資格を得たからと言って、じゃあ我々はある程度のセキュリティの知識を得たという表明を得ました、これをミン安易アピールしながら、この資格を得た時点のセキュリティの箇条書きのリストさえ満たしていれば大丈夫だろうという考え方をするところが多いような印象は受けています。
海外のそういう資格とかはそもそもあまりないんですけど、あった場合にしても、定期的に、短い期間、取得できたとしても半年とか1年だけとか、再取得が必要とかですよね。
ビットポイントさんも今回外部からのセキュリティ格付け機関みたいなのが合ってそこで高いというのを推していたのになんでやられたんだというコメントを見たが、外部からの評価ってどこまで参考にしていいのかなと言うので、自分は正直あまり参考にならないと思っている、一つの参考値にはなるが、例えば外部のセキュリティ機関が取引所のセキュリティランクみたいなのつけてますけど、せいぜい参考値ぐらいかなと自分は思っていて、
うん、参考値にしては良いと思いますけど、例えるとしたら、何を教えてくれているかと言うと、企業のセキュリティとしての強さを教えてくれているんですよね、そういう資格って。たとえば目に見えて分かりやすいことで言うと、ムキムキに筋肉がついているボディビルの人を見れば、この人強いよねって見たらわかる。
それと同じようにこの紋章がついている企業は、セキュリティ強いよねその人ってなっちゃうんですけど、ボディビルの人でさえ後ろから頭をバンッ(殴る素振り)ってされたら、簡単に倒せますよね。
あと心がすごい弱いとかね
もし誰かが喧嘩を持ちかけてきたら、もちろん強い人はおそらく素人が持ちかけた拳の喧嘩とかで勝ちそうですよね。
従来のありふれたITセキュリティの脅威から、もしかしたらすごくBitPointさんがカチカチ(力強い力こぶの素振り)だったんですよ。
でもそういうだれもあったことのない新しい手口のなにか、セキュリティのものにやられてしまえば、多分みんなが同等のレベルなので、いかにそういう想像もできない新しい手法のセキュリティリスクをどうやって防げるのか、というところで常に日に日に、変な話自分のシステムをハッキングしてやろうかみたいなつもりで、攻撃したい側にたってみて、私だったらどういうふうに攻撃するんだろう、っていうのを常に考えて、それに対策を打ってというのを毎日毎日のPDCAサイクルをやらないとだめですね
PDCAサイクルって、ジョナサンから聞くとなんか面白いですね、自分より日本のサラリーマンの経験が長いので。PDCAサイクルを回せということですね。でも冗談ではなく外部から分かる部分とわからない部分があって、わからない部分も日々アップデートしていかないとすぐ新しい攻撃でやられてしまったり。参考程度にはなるけど鵜呑みにしないほうが良いという印象かなと自分は受けました。
どんどん質問していきますね。これめちゃくちゃ面白くて聞きたいんですけど、セキュリティの高いコインと扱いづらいコインってあると思うんですよ。
ありますね
なんかそのコイン自体の必ずしも問題ではないのかも知れないですけど、例えばEthereumだったらマルチシグのウォレットが昔やられたじゃないですか、Parityっていう、めちゃくちゃ大きい金額が動かせなくなった事件があって、Ethereumでマルチシグのウォレットで管理するのは必ずしも安全ではないよというのが有名になりましたけど、そういう感じで気をつけなくちゃいけないコインとかありますか、逆に守りやすいコインとか
やはりいちばん管理とセキュリティが楽なのがBitcoinですね。安定しすぎて逆に怖い。
Bitcoinでエンジニアが慌てて、「あれ??ノードが応答していない、攻撃なのか、あ、ただクラッシュしただけだ」みたいに慌てていることって、Bitcoinはほぼゼロ。Bitcoin系のBitcoin CashとかLitecoinとかMonacoinも非常に低いです。あまり慌てることがないですけど。例えばCryptoKittiesが出た時期のEthereumはしょっちゅうノードが落ちてます、出金ができてませんとか、秘密鍵は大丈夫でしたけど、インフラ、実際に運用する上での必要なパーツがすぐ壊れちゃう、それで頻繁にGethとかのアップデートが来て、アップデートするとこの部分は改善するけどこの部分は壊れちゃった、そういうのは結構ありましたね。
セキュリティでいうと先程のEthereumの話にもまりますけどEthereumはプロトコルレイヤーでのマルチシグが存在しないというところがちょっと痛いところですね。
おっしゃる通り、スマートコントラクトレベルでマルチシグは実装が出来るんですけども、The DAO事件が起きてハードフォークした以外、絶対にスマートコントラクトの不具合によって大量のETHが盗まれたとしてもハードフォークは二度と起きないんだろうなと、そういう窃盗事件によっては。リスクとして、オープンソースのやつだから安全っていうのは無いですし、クローズドソースだから安全ということも簡単に逆コンパイルとか、Solidityってバイトコード理解するのそんなに難しくありませんので、やっぱり総合的な判断で、スマートコントラクトレイヤーで、その秘密鍵の操作をするのがコールドウォレットの制御としては止めておこうという判断にたどり着きました。
いまもだからマルチシグは使っていないんですよね意図的に
使っていないです。Ethereumの場合は独自の、ちょっとかわった変なマルチシグじゃないけど、チックなやつをやっています
ほかはありますか
逆にセキュリティ的に面白い、嬉しいなと思うところとしては、リップルさん、XRPのマルチシグが、同じアドレスのまま、裏でそのマルチシグの権限を持っている鍵を入れ替えることが出来るので、例えばこのアドレス、我々の入金アドレスがこれですよねというときに、新しい鍵に入れ替えないといけないですよねというときに、そのアドレスを制御するためのマルチシグの鍵を、ABCDの鍵から、EFGHに入れ替えますというときに、以前のマルチシグで、新しいマルチシグはこれですという取引さえマルチシグで署名すれば、マルチシグの鍵を入れ替えてもアドレスが変わらないというところが、セキュリティとして、同じアドレスが継続されるんだけれども裏の鍵を自由に入れ替えられるというところが非常に嬉しいですね。
他の通貨もそういう機能がもし実装できたら嬉しいですね。
残念ながらBitcoin系のマルチシグは、公開鍵のマルチシグのスクリプトをハッシュしてそのハッシュがアドレスになるので、ある意味セキュリティとして、アドレス=ハッシュ=公開鍵なので、人間の目に見えるアドレスが公開鍵のハッシュなので、ある程度安全ではあるんですけれども、ちょっと利便性があまりよろしくないですよね。
そういったビットコインの場合は、これからMASTとかが導入されれば、それがある程度緩和出来るかも知れないですけれどもね。
なるほど。ちなみに若干脱線するんですけどせっかくだから聞いてみたいんですが、セキュリティ的な観点からいまMASTという名前が出ましたけど、個人的にジョナサンが期待しているBitcoinの新機能とかソフトフォークはありますか
一番自分が今期待しているソフトフォークは SIGHASH_NOINPUT
それはいわゆる、現在LightningNetworkの研究が進んでいるんですけど、LightningNetworkの欠点の一つが SIGHASH_NOINPUT の導入によって解消されます。技術的な詳細を話してもあれなので、簡潔にどういうことかというと、今のLightningのチャンネルというか契約みたいなものですけど、チャンネルというのは、どんどん我々の残高を調整している中で、古い状態の契約を、例えば一番最初に我々の契約の中で私が10BTCをもらいあなたが5BTCをもらうことになっていました。私があなたに2BTC送りたいです、オンチェーンではなくて私10あなた5を、私8あなた7に更新すればいいですよね、というものですよね。
いまのLightningネットワークでは、10のほうが私が有利じゃないですか古い契約で。なので私がブロックチェーンに対して、私はこういう契約を持っているので10BTCくださいねというのをやろうとしたら、あなたが、私の10BTCすべてを没収することが出来る、そういう事ができてしまうのが、古い私が有利になる古い契約を配信しないインセンティブになっている。
SIGHASH_NOINPUT
が実装されれば、それがなくても、私が古い契約を配信してしまえば、あなたが最新の状態の契約を配信すればいいだけです。そうすると、あなたが配信した最新の契約の状態にオンチェーンでなります。なので、いわゆる私には盗むことはできないんですけれども、強制的にチャンネルを閉じることはできます。
でもそれってもともとできますよね、片方から私はもう勝手にチャンネルを閉じますというのは、元々できましたよね。
なので、それがいわゆる、なんていうんですかね、誰かが不正をしようとしたら、罰として相手のお金を全部盗むのではなく、相手が古い状態を送ろうとしたら、最新の状態を私が送ればいいだけの話になります。結果的にその人が一方的にチャンネルを閉じただけ、不正は起きない。ということになります。
そうするとLightningネットワークのユーザービリティが結構向上されます。
今のままだと監視したりする負担だったり意図しないチャネルクローズ、というか、不正使用としていないのにバグで間違えてやってしまった人のお金が没収されたりすることがあるのが、ちょっと改善するという。
Lightningはこういう細かい改善がいろいろ出てて少しずつだいぶ良くなってきているなと言う。
ちょっと今日の話のメインとは違うので、ジョナサンにこの話をさせたら永遠にこの話をしちゃうので、ライトニングとセキュリティみたいな。ちょっと話を戻しましょうか、仮想通貨とセキュリティの話に。
一通り、取引所がなんでこんなに、どんな攻撃に常にさらされていたどういう対策をしているのか、BitPointの事件がありましたけどこの対応がどうだったかとか、そういう話をいろいろしたんですけど、ちょっと話題を変えて、集権的な取引所とは別のベクトルで、DEXとか、あとはArwenとかって言われる、中央集権的な取引所をただトラストレスにしようという動きがあるじゃないですか。自分個人としてはそういう方向に向かってってほしいなと思いつつも、まぁユーザーエクスペリエンスが悪くなっちゃったりとか、Arwenとかって、細かい説明はしないですけど、取引所とかユーザーの負担が大きくなっちゃったりして、なかなか普及しないんじゃないかな、結局みんな集権的な取引所使っちゃうんじゃないかなと言うところがあって、ジョナサンはそのへんをどう、DEXとかって今後どうなっていくかを聞いてみたいのと、ユーザーとしてどういうふうにハックやGoxから身を守るのかというところについて伺っていきたい。
じゃあまずDEXについて、最近色々DEX出てきていますよね。
そうですね。
まずDEXと通常の取引所の違いなんですけれども、いわゆる中央集権ではない、そういう我々のような仲介業者が必要のない取引所という認識ですよね。
そちらのDEXがなぜ普及しないのかという話をすると、結構今までのDEXというイメージは非常に遅くて、それはブロックチェーンのいち秒間難取引ができるというのが仮にあったとしても、結局は取引をしているユーザーはすごく高速度のすごく早い取引を追求しているんですよね。いままでのDEXの殆どは非常にそこらへんがなかなか応えられないというところです。
それに合わせて今ほとんどのBOTトレーダーとかって、秘密鍵を直接扱っているBotトレーダーはあんまりないと思います。どちらかと言うとAPIキーでAPIを叩いて出金命令をさせたり、売買のAPIを叩いてやっているわけじゃないですか。
たとえば彼らがAPI鍵をなにかの、彼らのBOTサーバーの設定ミスとかでなくしてしまいましたとすると、ログインして新しいAPIキーを発行すればいいだけじゃないですか。
でももしBOTトレーダーが〜DEXで、仮に高速で、1秒間に100トレードがスラスラできる、DEXができたと仮定します。それなりの流動性があると仮定します。あなたはもう自分の秘密鍵を持ちます。その秘密鍵があなたのブロックチェーンにおけるアイデンティティなのでAPIキーと同じです。ただしその秘密鍵をなくせばあなたの持っている資産全部水の泡になります、ってなると、絶対にBOTトレーダーはそういうリスクを取りたくないと思います。
要は取引所からしたらみんなDEXで良いって言ってくれるなららくですよね、マッチングだけやるんだったら。ユーザーの資産管理考えなくて良くなるので
逆に今の仮想通貨取引所をやっている人が、そういったDEXを活用する知見が溜まっているので、使いやすいDEXが出回って法律的に評価さえ貰えれば、変な話Bitbankとかそういう仮想通貨取引所が、政府からOKを貰えれば、我々がそこのマーケットメーカーになるんじゃないか。逆にDEXを使うのが怖いとか、秘密鍵失うだけで資産が全部なくなっちゃうリスクを取りたくない人のための、DEXへの架け橋という事業もありえます。
いわゆる我々がDEXでマーケットメーカーをやる半面に、逆でたとえば通常の取引所をやって、ということもありますよね。
DEXのリスク取りたくない、むしろBitbankを信用しているとか、bitFlyerを信用している、だからその取引所に預けて、APIキーのやり取りだけで取引をします、もし万が一私のAPIキーがパーってなったりしても、連絡すればなんとかなる、もう私の身分証を送っているので、私は私であることを証明さえすれば、まぁなんとかなる。
それは多分、APIトレーダーのどの上級者レベルからどんどん初心者レベルに下がっていくと、まさにそれだと思います。おじいちゃんおばあちゃんとかがDEXを使っている未来は、おそらく無いと思います。
なるほどなるほど、面白いですね。Binanceがそれで言うと彼らの取引所が世界最大だと思うんですけれども、今言っていたような話をやろうとしているわけじゃないですか、DEX。僕はあれなんちゃってDEXだと思っているんですけど、個人的には。
DEXと集権的な取引所を両方やるって言っているんですけど、あまりDEX使う人はいないんじゃないかなと思うところがあって、いまのジョナサンの指摘もそうですけど、だからそこは興味深いですよね、どうなるのか。
DEXはそうですね、にわとりたまご問題そのものですね。
流動性があればいいかもしれないとか
使いやすくないと、リスクが低くないと、人が集まってこない。人が集まってこないと流動性がない、流動性がないと人がそもそも食いつかない、食いつかないと人が来ないみたいなエンドレスループ。
なにかきっかけがあってユーザビリティが備わっているDEXがあれば、取引所の業界がガラッと変わる可能性は無くはないかなと思います。
もう一つ、これはDEXじゃないんですけど、Liquid、Bitbankも参加しているじゃないですか、BlockstreamのLiquid。
あれって今回みたいな事件はLiquidを採用していても防げるわけではないと思いますけど今後どういう改善が取引所で起こりそうか、ちょっとコメントがあれば教えてほしいんですけど
いま現在そういう具体的に取引所のホットウォレットセキュリティ問題をなにかこうLiquidのブロックチェーンで解決するみたいなことはいま具体的に動いていないです。
ただし、ゆくゆくはそういった、例えばサイドチェーン技術、それこそLiquidみたいなものに、1:1でステーブルコインみたいなものなんだけどFiatペグではなくて仮想通貨ペグ、というところで取引をして、盗まれてもちゃんとコンソーシアムの皆さんで話し合って、じゃあこのUTXOは盗まれたUTXOと断定して、巻き戻して我々のものにしましょう、ハードフォークで、ということは簡単にできますよね。
理論上、Liquidみたいなネットワークを、取引所間でつかって、それが柔軟に取引所の参加した同士で、そういったハッキング事件があったときにそれを巻き戻すみたいなことをやろうと思えばできますけれども、もしそういうことがあったと仮定しても、結局MtGoxみたいにずっとハッキングされていたことに気づかないで、ハッキングされ始めてから2年後にようやく残高が全然合わないじゃないかみたいなことに気づいて、そうするとどこまで巻き戻せば、なんのUTXOをなくせばいいかというのを調査するのも大変で、盗まれたものが別のところで使われたりとかして、結局被害にあっているのは盗まれた人だけではなく、もし巻き戻したら盗まれたBicoinをその後もらった、盗まれたものと知らなかった人たちも被害に遭ってしまう可能性も高くなる。
だからそんな簡単な話じゃないですよね、ハードフォークすればいいとかロールバックすればいいということではない。だからLiquidみたいなものは取引所間のコインを動かしたりするのは少し改善すると思うんですけど、まぁべつにセキュリティがすごく劇的に改善するとはあまり期待しないほうが良いんですかね
そうですね、はい。
わかりました。では、結構もう終盤なんですけど、仮想通貨取引所のセキュリティの話は結構これでみんな、自分も今色々聞いて面白かったですし、一通り基本的なところはしてもらえたかなと思います。
ジョナサンに言わせてみればこんなの初歩的な初歩の初歩みたいな話だと思うんですけど、ちょっと個人での仮想通貨セキュリティでの話に触れて、いくつか後はリスナーからの質問を聞いて終わりにしたいと思います。
まず今回の話もあった通り、取引所に預けておくのは、ホットウォレットがハックされたりとか、場合によってはコールドウォレットやられちゃうところとか、あとカナダの取引所で代表が死んだと噂されて、それで中のコインが取り出せなくなったとかいう珍事があったじゃないですか。
そういうこともありうるので自分で管理したほうが安全だと思って管理している人もいると思うんですよ、自分もそうですけど。ただ、ハードウェアウォレットってTrezorとかLedgerとかあるんですけど、あれも完璧ではないじゃないですか。
果たしてどういう管理体制が普通のユーザーからすると安全というか一番いいのかということで、ジョナサンが一番個人的にアドバイスしていることとかってありますか?
基本的に、多分金額によると思います。ただ金額によるという話をすると、ちょっと気にしないといけないのは、今日10万円ほどだったものが来月100万円になっている可能性があるじゃないですか、仮想通貨ですから
17年とかまさにそうでしたよね。気づいたら10倍ぐらいになっちゃってたとか
やはりどんなに小さな金額でも、私は最低限、ハードウェアウォレットは勧めてます。
ハードウェアウォレットでそのまま保管しておくのでは、まずそのセキュリティレベルが0からぐんと上がります。100点満点だとするといきなり90ぐらいに上がると思うんですけれども、他に何をやれば良いのかというと、まず、ハードウェアウォレットの暗証番号をちゃんと安全なものにする。例えば自分の誕生日とか、ほかのクレジットカードの暗証番号とか、日常的によく使う暗証番号にしたりとかではなく、そのハードウェアウォレットのためだけの暗証番号で、出来ることならば、暗記できるようなものにしたいんですけど、万が一のことを考えて、たとえば暗証番号をどこか安全なところに控えておいて、金庫に入れるなり隠し場所に隠しておいたりとか、なにかしておくと、良いと思います。
もう一つ、暗証番号とは別に、ハードウェアウォレットにパスフレーズというものがあります。
リカバリーシードと呼ばれている復元フレーズの12単語とか24単語を書かされたりするんですけれども、それとは別に、自分で考えたパスワードをかけることができます。暗証番号もあります、10桁。パスフレーズもあります、それは自分で考えたパスワードを付けることができます。そしてもとからある12単語・24単語の復元シード、リカバリーフレーズがあります。これら3つを組み合わせることで、より安全になります。
暗記するのが難しいという方がいらっしゃれば、この12単語とか24単語とかのフレーズと、パスフレーズと、暗証番号を、どこかにボールペンとか、書いてにじみにくい、湿度の高いところに入れて出したときに読めないことにならないようにしておいて、3つそれぞれ別の紙に書いて別のところで保管する、ということをおすすめしてます。それはなるべく金庫とか、隠し場所とか、もしくは実家の宝箱の中とか、わからないですけど、そういうところで隠しておいて、そうすると日頃からつかうものというのが基本的に暗証番号とパスフレーズになるので、12単語、24単語をある程度時間をかけてじゃないと取りにいけないところにおいても良くて、パスフレーズと暗証番号はTrezorとかLedgerとかと組み合わせて送金指示に使ったりするので、非常におすすめしています。
なので、その3つを全部活用した上で、必ず他のところで使っているパスワードをそのまま使うとか、他のところで使っている暗証番号をそのまま使うのは絶対なしにして、ちゃんと強いものにするということで、ほぼ99とか97とかそのあたりまで持っていくことができます。
そして最後の3%はなんでしょうか、それはやはり先程も申し上げたようにソーシャルハッキング。取引所だけではないです。あなたもです。
あなたがビットコインミートアップとかに言っている人で、テレビとかに顔出しOKで、「あなたはビットコイン何枚持ってますか」とか聞かれて「1万ビットコイン持ってます!」とか言うと、狙われます。なので、私はもう触り程度でちょっとだけしか持ってないですとか、むしろ損してるけどねとか、とにかく自分が持っている数字を絶対に言わないし、あんまり持っていないですよ実はハハハみたいな感じで、あってもなくても一定にすることで、たとえばたくさん買いましたとかたくさん売りましたとかいう話を言うと、じゃああなたはTrezorで管理しているんですね、あなたはたくさん買いましたね、じゃあ今度あなたの宅飲みに言ったときにこっそりひきだしから取り上げてみたいな、そういうのを狙ってくる人が現れるかも知れない。
海外では結構そういう事起きてますもん
なので仮想通貨持ってますというのは公言しない。何枚持っているというのは絶対に公言しない。
してる人いますけどね。。。
そうすると必ず同じ回答をすると、この人がもしかしたら持ってるよね、まぁなんかジョナサンだったらたくさん持ってそうだよね、だけど確実にたくさん持ってるとは言い切れない、という状態が、一番ベスト。
まあ攻撃するインセンティブがあまりないと、攻撃しても持ってない可能性が高い
そうですね。
あと、一番ベストなのがそもそも仮想通貨を持っている事自体を言わない。
そうすると狙われないという
その点では我々は今すごいリスクを背負っているということですね
そうですね。私はあまり仮想通貨は持ってませんけどね
そうなりますよね。仮に持ってようが持ってなかろうがそう言うしか無いし
逆に聞いてくる人は非常に色々な観点からうざいですよ
ちょうど2017年のバブル期とかにテレビのイベントとかに言って、初心者なんでしょうがないんですけど、芸能人の人が聞いてくるんですよ、儲かってるんですかとか。マジで止めてほしいんですよ、質問自体が低レベルですし、セキュリティとかいろんな観点からも、基本的にあなたいくら銀行口座に入ってるんですかというのと同レベルの質問ですしね。また価格が上がってくるとメディアでそういう質問とか気軽にする人とかが出てくるんですけど、マジやめろと思います。
思いますね。
わかりました。次行きましょうか。次の質問なんですけど、あ、というかでも、リスナーからの質問にどんどん入っていくんですけど、そうそう、今の話とすごく関連するんですけど、取引所はなんで、もっとハードウェアウォレットの使用を推奨しないのかという指摘が来ています。
これなかなかセンシティブな質問だと思うんですけど
確かに言われてみれば取引所からハードウェアウォレットを推しているところってなかなか見ないので、そこらへんどうなっているのか
やっぱりこう、取引所としては、なんと言うんですかね、ハードウェアウォレットを進めるということが、ちょっと、進め方次第ではあるんですけど、非常に微妙なラインがあると思うんですけど、ただ単に皆さんハードウェアウォレット使いましょうねーってなると、ビットバンク自分のホットウォレットとコールドウォレットに自信ないんですかって逆にツッコまれますよね
あとはありそうなのは、自己管理の世界なんだってことがわからなくて、例えばビットバンクがTrezorすすめたとして、なんでも良いんですけど、それでユーザーがそれ使って、パスフレーズ失くしちゃって無くなっちゃったたんですけど責任とってくださいみたいなのが取引所に来るんですよ
あります
絶対ありえますよね
絶対にありえます
注意喚起責任の義務を果たしてないですみたいなことを言われて、ちゃんとTrezorを使う=自己責任ですということをちゃんと言わないと、本当にそういう人いますね。
絶対いますね、自分が取引所やっていて、それ言われたら絶対イヤですね。しかもそういう人ほどすごい金額なくしたり。結構すごい金額なくすひといますからね。誰がいくらなにでなくしたとかちょっといいづらいですけど、聞きます。
でも最近聞かないかな。最近は人自体が少なくなったのがあるかも知れないけど、昔はよく聞きましたね。
次の質問に行きます。
これすごく長い
あ、175人超えました
今回の件感心を持っている人がおおいので。
ものすごい長い質問が来ているんですけど、でもこれ結構話しましたね。JVCEAの自主規制では、ネットワークと接続された環境の秘密鍵で管理する仮想通貨は、顧客資産20%までとされています。だから、ホットウォレットにどれくらいの比率で入れるべきかって話さきいちょっとしたじゃないですか、業界団体であれって20%までって言われてるんですかね
そうですね、はい
これについて、仮想通貨が預け入れられた状態で顧客間の取引が行われる交換所であれば、20%以内で入出金に対応しきるかも知れませんが、今後規制対象となるカストディの場合、決済サービス出し入れが多い場合は20%以上を外部と頻繁に送受金する場合も考えられるのではないかと思います。まぁいわゆる20%では足りないっていう可能性が出てくるんじゃないかってことですね、はい。そうなったときに、また顧客ごとに秘密鍵を用意するカストディでは、資産を秘密鍵に管理する必要があり、分割できないためオンラインとオフラインの二択しか選べません、これ相当詳しい人が質問してます。カストディのところで秘密鍵の管理のところとかですね。
海外の事例を見ると、カストディサービスである、ちょっと自分読み方わからないんですけど、カストディサービスの会社が、仮想通貨を預けた顧客がステーキングや投票などのオンチェーンアクティビティに参加できるように、一定の安全対策を施したハードウェアセキュリティモジュールを使用したオンラインのウォレットで顧客資産を100%管理し、流出時は保険などで補填するようです。 要はなんか取引所でステーキング始めたりとか色んな取り組みが最近増えてますよね。その管理も特別なハードウェアを使ってやったりとかか。ってなっていると。
で、結論としてなんですけど最後の質問ですね、要はいろんな今後取引所感の移動だったりもしくはステーキングに対応していくみたいなことが起きたときに、この20%という固定ルールでは、利便性と安全性を両立するためには20%という固定のルールではなくて、ビジネスモデルやリスクに応じて、技術面や保証方法を工夫していく必要があるのではないかと考えていますが、これについてどう思っていますか
めちゃくちゃマニアックな質問ですね、要は20%の制限を鵜呑みにしていいのかという指摘ですね
いわゆる20%を上げたり下げたりすることで何を調整しているのかと言うと、リスクですよね。 なので、今回は20%というしきい値というのが、いわゆる仮想通貨取引所においてのあるべきリスクのしきい値とされています。 ちなみにビットバンクでは、0にしています。なので顧客資産はホットに入れないようにしています。
20%というのが、仮想通貨取引所の最大のリスクのしきい値としているのであれば、仰る通り、たとえばそれが仮想通貨取引所ではなく、〜ウォレットとか〜ステーキングサービスとか、カストディを活用した別のサービス毎に、そういうパーセンテージを上げるんだけども、もちろんその今までと同じように、注意喚起義務はつねにあると思います。リスクの喚起。これは仮想通貨取引所といろいろやっていることは似ているかも知れないですけど、仮想通貨取引所とは違って、20%までではなく、80%までとされていますので、弊社がホットウォレットをハッキングされた時に、保険はいくらいくらまでですと、いうようななにかこう、ちゃんとその保険が今の段階ではちょっとカストディの仮想通貨を保険に書けることが非常に難しくはありますけども、ちゃんと保険がいろいろつけられるようになってかつ、ちゃんとそういう我々のビジネスモデルでは60%です80%です、なので仮想通貨取引所はたとえば20%まで、そして保険は何円分まで、とか、何BTCまで、とかで、お客さんがちゃんとそれを理解して、自分のリスクの、リスクプロフィールにあっているサービスなのかどうなのかを選ぶのがベストなのかなと思います。
実際どうなっていくのかというのがまだちょっとわからないところではあるんですけれども、やはりその、20%というのが、何を調整しているのかと言うと、リスク。すでにそういうリスクをこんなリスクありますよというのをちゃんと、わかるようにお客さんに伝える義務があるというのは、変わりはないです。どんなしきい値にしても。
いやでもその20%の話とかもそうなんですけど、やっぱり業界団体とか金融庁とかが細かい指示をするっていうのは結構現実的に難しいなと思わざるを得ないところがあって、今回事件があったことで、BitPointは業務改善命令が終わった直後にこういう事件を起こしていて、金融庁が悪いみたいな否定というか批判をする人もいたが、結構自分はかわいそうというか、かなり難しいことをやらされているなという印象もあってですね、ちょっとココらへんは話しづらいところもあると思うんですけど、なかなか人工的に何%までならいいとか、これならいいというのは、なかなか現状にすぐに合わなくなってしまったりすると思うので、柔軟にやっていくのが必要かなと個人的には思うんですけどね、なかなか難しそうですけどね。じゃあどういう形にするのがいいのかと言われると、そんなのわかっている人なんてこの世界にそんなにたくさんいないので
たぶんそういう、何%までというのが、完璧な正解では無いかも知れないんですけども、いったんそういうルールにしておくことで、万が一のリスクを抑えることが出来る。なぜならそういうルールを作らない場合は、変な話100%顧客資産を入れる人がいるかも知れない。ということになりますよね。じゃあどこが妥協かと言われたときに、まぁよくわかんないけど20%でとりあえずして、もしかしたらこういう事件でこういう結果になったので、じゃあちょっと下げてみましょうか、とか、そういう多分調整もあり得ると思うし、仰る通り、定めることが非常に難しい、新しい分野の色んなルールとかっていうのは非常に難しいので、非常に大変だなーと思ってます。
まぁでも無いよりはたしかに絶対良くて、無いとみんな顧客資産でやりかねないですからね
あとはそうね、その話でいうと、この法律が始まった時なんてフォークコインの想定なんて何もしてなかったじゃないですか。しょっちゅうそれでいろいろ変わってきたりとか、Bitcoin SVが日本の取引所では扱えないとかもそうでしたけど、なかなか状況が常に変わっていく業界なのでこれは大変ですよってところです。
大変ですね
次、この質問結構玄人というか面白いんですけど。
質問、ホットウォレットシステムの履歴に存在しないトランザクションが何者かによって発行されると、対抗して自身のコールドウォレットあてに送るトランザクションを作成して、高額な手数料を設定し、対抗して作成したトランザクションを優先的にブロックに取り込ませて資金を取り返すという仕組みを自動化して、ホットウォレットからの流出を防ぐことは可能でしょうか。
要は意図的にダブルスペンとするというやつですね。感知をして、より高い手数料ですぐに乗っける。これは可能でしょうかという質問です。
可能です。可能ですけども、結局それって、たとえばBitcoinの場合はUTXOというのがあるので、そのUTXOを消費するたびに新しいお釣りのUTXOで新しい高額手数料のRBFの取引を作ることをしないといけない。
ハッカーがもしかしたらその単純なBitcoinの送金指示を把握しているぐらいの知識しかない攻撃者かも知れないんですけども、秘密鍵を盗むくらいの人が、もしそのちゃんと知識を持っていて、こういう仕組みを施したんだね、というのをちゃんと気づけば、そのシステムをシャットダウンしてしばらく放置してから有効なUTXOが全部消費された後に、その段階で全部盗むというようなことが簡単にできますけどね。
なのであの完璧な対策というのは絶対になくて、もちろんそれは一つの対策にはなります、それを例えばちゃんと作るたびに別の所で保管して、同じ箇所で盗まれた人、秘密鍵を盗まれた人が、その仕組を壊せなかったりするような施しがもしできれば、それは一つの有効な対策として非常に面白いですね。
まぁでも現実的にはまぁ、そんなに簡単ではない、そこまでシンプルではない、別にこれをやったら全部解決とかではないということですね
これをやったからと言ってすべての場合においてハッキングから自分を100%守れるというものではないです。
場合によっては自分の盗まれたものを救出することが出来るかも知れないです。
はい。次行きましょう。
元ブロックチェーン大学校の生徒からの投稿なんですけど
お
以前ブロックチェーン大学校を受講させていただきましたありがとうございました。
生徒ですよ
はい(笑顔)
今回のビットポイントの件で見解をお聞かせください
一部報道だと、盗まれたウォレットはマルチシグになっていたとあります。で、仮にこれが正しいとすると、思いついた範囲ではマルチシグの仕組みに脆弱性がある、ハッシュに脆弱性がある、secp256k1に脆弱性がある、他の取引所もすでにハッキングされていて、預けていた秘密鍵を盗まれた、どれかが発生したのかと思いますが、先生のご見解はいかがでしょうか
ちょっと情報があまり出ていないのでわからないと思いますけど
まず情報があまり出ていないのではっきりしたことは言えないんですけども、まず秘密鍵を盗まれている以上、マルチシグを使っていても意味がないです。なので、例えばですけどマルチシグを作りました、マルチシグは3つのサーバーを立てて、それぞれに1個ずつ秘密鍵をおいて、マルチシグの連携を取り合うAPIを使わせましたと言ったところで、結局それがおなじAWSアカウントで同じVPCでオンプレでも同じサーバーラックの中にとかってあると、おなじサーバーラックに3台で分けて秘密鍵を分散していても、それは果たしてマルチシグの意味があるのかとか、ちょっとはセキュリティは上がると思いますけど、一つの秘密鍵を盗まれたら、おそらくほかの秘密鍵を盗むことは相当、、
簡単だったのかも知れない
だったのかもしれないです。ちょっと詳細はわからないんですけれども
今の話でふと思いついたんですけどあれに近いですよね、メールを送ってきて、ファイル暗号化してて、次のメールでパスワードこれですって送ってくるやつ
そう
あれはそうですよね、まぁなんか、人によれば、メールを2回送信しているから、いったん人間にちゃんとした人に送っているのかを考えさせるすきを作ってあげるから効果があるんだという考え方の人もいるんですけど、もしかしたらマルチシグでこっちの秘密鍵を盗まれて、こいつがAPIの連携がこいつとうまく行かなくてなぜならこいつがハッカーであることが検知できて、みたいな、いくらでもこうありえる仕組みっていうのがあるんですけども、今回の先程のマルチシグの仕組み自体に脆弱性があるとか、secp256k1に脆弱性があるとかいう話は、まず35億じゃ済まないです。BitPointだけでは済まないです。
多分他のやつ全部、まずBinanceがやられちゃいますよねそんなこと言ったら
なのでマルチシグの脆弱性は可能性として0だと思います。secp256k1自体の脆弱性として可能性は0だと思います。
どちらかと言うと私の予測はそういう暗号化してましたと書いてありました、その暗号化はどうやってやってたのか、暗号鍵はどう管理してたのか、そして暗号化されたそれぞれのマルチシグのそれぞれの秘密鍵が同管理していたのかの詳細を知らない限りで、何が問題だったのかというのは、外部の者としてなにもひとつ言えることはないです。
一つ断言して言えるのは、マルチシグの脆弱性とかsecp256k1の脆弱性ではないということだけ断言できます。
途中であまり想定で話しすぎないほうが良いと思うんですけど、過去の事例とか見ると、結構やっぱり、途中ジョナサンの指摘もあったんですけど、常識の範囲内のことをやっていないということって結構あるんですよね、取引所も。他の業務とかで頭が一杯になっちゃってたとか、こんなに金額が膨らむとは思ってなかったみたいなとか、2017年とか特にそうだったと思うんですけど、なのでわからないんですけど、自分が妄想するのは結構初歩的なところだったんじゃないのかなと思うんですよね。そこをちゃんとやるのは難しいと思うんですけど、逆に。
そうですね、どうでしょう。うん。ちょっとそこら編はあまり言及できない立場ではありますけどね。
自分は無責任に言っただけなのであれですけど、過去の事例とか見ていると結構、えっていうことはありますね。
ただ今回の件がそれかどうかはまだわかりませんと、これから捜査がありますと。ということです。
次行きましょう。
これちょっと聞きづらいかな、ちょっとスキップします。次に行きます。
きになる
後で教えます。
聞いても大丈夫な気もするんですけど、まぁスキップします。
あ、これ、もう一個BitPointに関する質問が来ているんですが、これはBitPointに限らずですが、内部版をどうやって止めるのかというのが非常に難しいのではないかという質問が来ています。
これはどうでしょうか
内部犯を防ぐのがセキュリティ上一番難しい所だと思ってます。
例えばBitbankでは具体的にじゃあ内部犯をどうやって防いでいるのかというところは、もう内部の人で本当に知識の分散を、たとえばこういう施しをしていますよということを一部の人間しか知らない、むしろ内部の人がその施しをしていることを知らない状態を作らないと行けないですよね。
公で言えないんですけども、たとえばですが、我々がコールドの仕組みを考えたときに、例えば社長がコールドから不正で出そうとしたときに、それを防がなければいけない。
この4人のうち、何人がとか、この5人のうち何人が協力して承認し合えばこのコールドウォレットが動きます、もしそのなかのひとりがなにか不正をしようと企んだ場合に、ちゃんとそれが気づける手法をいろいろ施したりとかしています。
たしかに内部犯をどうやって防ぐのかというところが、一番難しくて、一番話せない所です。
そうですよね、絶対話せないだろうなと。なので、まだわからないですけどないう判の可能性があるんじゃないのかみたいな指摘があるんですけど可能性はあるかも知れないしそれはまだわからないのと、それをどうやって対策を取るのかというのはそれこそめちゃくちゃ企業秘密みたいな話になると思うので、なかなかでも難しいよねっていう。
まずは内部犯もなにもかもそうですけど、一番優先しないといけないのは防ぐことですよね。まず。
で、防げなかったとなった場合に、記録を残すことが次。なので誰かが盗みました、誰かが不正に取り出しました、ってなったときに、誰がいつどうやってやったのかというのが確実にわかるように、どんな方法でやったとしてもなにか記録が残るように、例えば全てのサーバーの監視をするログサーバーとか、常に監視をしているっていう状態を作ることが、その次に、一応、防衛線にはならないんですけどもうすでにハッキングされている状態なんですけれども、ハッキングされたときに役に立つのがログをとってちゃんと記録を残すっこと。
記録の中でもう何が起きたかわかんないというときに、あとはすべてがほとんど手がかりというのが無くなって、本当になんかこう別次元の捜査方法とかをやらないといけなくなります。
それがもう私も想像つかないぐらいの高度な、よくわかんないけど、BGPと関係してそうな、そういうめちゃくちゃ高度なフォレンジックインベスティゲーションみたいなやつをやらないと、本当にその防ぐことと防げなかったときに備えるために何もかも記録を残すことが大事。
そういうことやっているとやっぱハッカーすごいですよね、どっから出てくるんですかねああいう人達は。ブロックハッカーみたいなのって。Bitfinexのハック事件、2016年かな、だったと思うんですけど、イスラエル人の元軍部出身の兄弟がつかまったみたいなのがこの前ありましたけど一体そういう人たちがいったいどこから出てくるんだろうというのが、好奇心というか、どういう人達なのかなというのは結構思いますよね
確かに
怖い世界ですよ
怖いですね
いまだにTheDAOの犯人とか捕まってないですからね、伝説を残した。
まだまだそういう協力なハッカーは居るはずなんで怖い世界ですけど
一応自分の方から質問は以上です。いやもう非常に大満足。多分聞いている人たちももうすごく勉強になったと思うんですけど、ジョナサン最後になにかアピールしたいこととか宣伝というか告知みたいなのありますか?
告知は、そうですね、弊社Bitbankで仮想通貨取引所をやってます。ぜひビットバンクに登録して、これ非売品です(「できるビットバンク」)。ビットバンクでそういう取引所をちゃんとセキュリティ高くしたりとかしてますので、なので、もし気が向いたら、ちゃんと安全な感じでやってます。
じゃああれですか、入社をしたらセキュリティのいろはをガチガチに教えてもらえると、ジョナサンから。
それもそうですね。採用是非。
なんだっけ、Wantedlyですね。
ちなみにさきほどこうやって社名を出したりとかなんかうちちゃんとやってますんでっていうことは、あれは別に登録してくださいねっていうことではないです。
私は営業部門の人ではないので私は営業活動はしてはいけませんので。
そうなんですか
あくまで弊社のセキュリティは高いですよという自信に満ちた発言をしただけです。
後はまあ今回の話は基本的なところだったと思うんですけど、非常に
あとFLOCもやってます。floc.jpでベーシックコース、ビジネスコース、エンジニアコース、というビットコイン、オルトコイン、ブロックチェーンについての知識を得る教育スクールをやっています。
そこに参加していただければ、私は講師をやったりとかしているので、ぜひ来ていただきたいなと思っています。
はい。ありがとうございます。
一応自分の方からも、大満足だったので。ジョナサンとは自分はもう4,5年ぐらい前から知り合いで、ずっとガチビットコイナーとして自分が超リスペクトしているひとの一人なんですけど、ジョナサンあれですからね、反省会第一回目のゲストですか実は
そうですね、いつだっけ
15年かな、16年かな、そのくらいですね
あぁ、どこだっけ、杉井さんのところでやったっけ?
いや、フィノラボでやった記憶あります、あれ、違う、最初に反省会はビットバンクの山崎さんと初めてやっていたので、一番はじめはビットバンクのオフィスでやってましたから。いまはセキュリティ管理が厳しくなってそういうのできないですけど
ですね
そういう経緯もあり、久しぶりにジョナサンとガチで話していろいろ教えてもらって楽しく面白かったので、もう質問無いです、僕は。一通り話して。
逆に、質問ありますけど、いま台湾ですよね
いやそれはちょっとセキュリティの理由上言わないほうが良いかなって
なるほどなるほど
台湾です。それぐらい
台湾はどうですか、最近
いいですよ、台湾の話で言うとすると、最近その台湾でブロックストリームの人工衛星を使ったブロックストリームサテライトの受信をしようというプロジェクトをしようとしている子達がローカルでいて、今日か昨日にできたって言ってたんで、ちょっとずつこっちでもビットコインコミュニティ作るのに自分も少し協力したりしていますね。
香港のデモとかになにか影響されたりとかします?
あー、それは現地レベルの人ではあるのと、例えばなんかよくわからない政治色が強いカフェとかに行くと加油香港みたいなの書いてあるんですけど、結構限定的かなと言う感じですね。
なるほどね、おもしろいですね
あともう一つあるのが、携帯のアプリでBetaになってるんですけど、Lightning Labが出しているLightningアプリという、あれ最近使っててすごく面白いなと思って、ぜひリスナーの皆さんに使ってみて頂きたいなと思います。
ビットコインを入れれば自動的になんかLightningのチャンネルを貼ってくれて、まだまだLightning使える所すっごい少ないんですけど、まぁでもこないだあれですよ、10ドルのプレイステーションのギフトカードを買いました。Lightningで。
最近ちょうど、FoldAppでしたっけ、昔あったサービスでLightningでカムバックしたやつがあって、Lightningで出来ること、例えばAmazonのギフトカード買ったりとか、スタバのギフトコード買ったりとかそういうことも出来るようになってきているので、多分またあれですね、この反省会の方の動画かなんかでもLightningの最新のウォレットだったりとか、そういう話はまたしようと思うんですけど、なかなかいい感じですねLightningも最近も。
というわけで以上です、今日はなんだかんだもう2時間ぐらい話しちゃって、ジョナサンは昔、覚えているんですけど、楕円曲線が恋人とかわけのわからないことを言っていたくらいのやばい人なので
楕円曲線があれですね、愛人ですね。
奥さんに確認したほうが良いかなとか馬鹿なことを言ってた記憶があるんで
一応結婚して子供も居るんで
奥さんに許可をもらったほうが良いか、楕円曲線と浮気をしているって
そうですね
また日本に戻ったりまた機会があればジョナサンとまたご飯でも活きましょう、高級焼肉をおごります、いや、うそです
はい、わかりました
また何かあればよろしくおねがいします。機会があればぜひ来てください。というわけで今日はここまでにします。ではではみなさん、聞いてくれた人たちもありがとございました。
はい。
ありがとうございました。