2023年5500件消失の原因｜ネット接続と秘密鍵保管の構造

2023年6月、Atomic Walletのユーザー5,500件以上から暗号資産が突然消えました。被害総額は3,500万ドルを超え、一部の被害者は生活資金を失ったと報告しています。攻撃者は何か特別な技術を使ったわけではありません。秘密鍵がインターネット上に存在していた——それだけが理由です。

この事件は「信頼できないウォレットを使ったから」という話で終わりません。あなたが今使っているサービスや保管場所が、同じ構造的な弱点を持っていないかを問う事件です。

消えた理由は「鍵の置き場所」にある

攻撃者はAtomic Walletのシステム暗号を解読したわけではありません。秘密鍵が保存・処理される経路を特定し、そこから鍵を引き出しました。

鍵の強度がどれほど高くても、鍵がネット上に存在する環境であれば、攻撃者にとってアクセス可能な標的です。ホットウォレット——インターネットに常時接続された状態で秘密鍵を扱う設計——は、構造的にこの問題を抱えています。これはAtomic Walletに固有の欠陥ではなく、「ネット接続上に鍵がある」という設計の本質的なリスクです。

取引所も同じ地図の上に立っている

「自分はAtomic Walletではなく、大手取引所を使っている。それなら安全だ」と考える人は多いでしょう。

日本の資金決済法では取引所に分別管理義務があり、法律上あなたの資産は保護されています。しかしそれは「秘密鍵の在処」という問題とは別のことです。取引所のサーバー上で管理される秘密鍵は、ネット上に存在します。ハッカーが取引所を標的にし続けるのは、そこに大量の鍵が集中しているからです。

法的な保護があっても、取引所が攻撃を受けて出金が停止すれば、あなたがすぐに引き出せる保証はありません。「法律上の保護」と「物理的なアクセス権」は別の概念です。過去の事例では、被害確定から顧客資産が戻るまでに長期間を要したケースが複数あります。

問いを変える——鍵がネットに触れる瞬間はあるか

ここで視点を変えてみましょう。「信頼できるサービスを選ぶかどうか」ではなく、「秘密鍵がネットに触れる瞬間が存在するかどうか」という問いです。

この問いから生まれた設計がColdcardのmicroSD署名です。仕組みはシンプルです。

Sparrow Walletなどで未署名トランザクションを作成し、microSDカードに書き込みます。そのSDカードをColdcardに挿入し、完全オフラインの状態で署名を完了します。署名済みファイルを再びSDカードに書き出し、ソフトウェアからブロードキャストします。

この全過程で、Coldcardはインターネットに一度も接続しません。秘密鍵が生成されてから署名に使われるまで、ネットワークとの接点はゼロです。攻撃者がネット越しに秘密鍵へアクセスしようとしても、そのための経路が物理的に存在しません。

microSDが作る「物理の壁」

USB接続でPCと繋ぐ方式でも、ハードウォレットはオフラインで署名を行います。しかしUSBケーブルはPCとデバイス間に通信経路を作ります。この接続自体が、特定の攻撃手法における侵入面になり得ることが知られています。

microSD方式はその経路すら断ちます。データはSDカードという物理メディアを介するのみで、デバイス間に電気的な接続はありません。これがエアギャップ署名と呼ばれる設計の本質です。

Atomic Walletの事件は、ネット接続が存在する環境に秘密鍵を置くことの代価を、3,500万ドルという数字で示しました。その逆の設計——ネット接続をゼロにした署名環境——が防衛の基点になります。

今日確認すべきこと

あなたのビットコインの秘密鍵は、今どこにありますか。

取引所のアカウント内、あるいはスマートフォンやPCにインストールしたウォレットアプリの中にあるなら、それはネット上に存在する状態です。Atomic Walletと同じ地図の上に立っています。

まず秘密鍵の在処を確認することから始めてください。ネット接続された環境に鍵があるなら、エアギャップ署名に対応したハードウォレットへの移行を検討する段階にあります。保管設計の見直しは、値上がりを期待してからでは遅いことがあります。

※本記事は一般的な情報提供を目的としており、投資助言ではありません。