Gincoのセキュリティについて
仮想通貨を安全に管理していただくために
いつもGincoをご利用いただきありがとうございます。
Gincoアプリの正式なリリースから3ヶ月が経ちました。お陰様で多くの方にGincoをご利用いただいております。
特にAirdropを始めとするキャンペーンや、様々なアライアンスの発表では、その都度大きな反響があり、皆様にお寄せいただいているご期待に気が引き締まる思いです。
そんな中、Gincoアプリのセキュリティについて、お問い合わせをいただくことが増えております。
そもそも、Gincoは仮想通貨のウォレットアプリですので、「資産を安全に管理すること」に関して信頼をお寄せいただかないことには、安心してご利用いただくことはできません。
そこで本記事では、あらためてGincoの仕様とセキュリティに関する詳細を皆様にお伝えしたいと思います。
Gincoの基本仕様について
- 12-word mnemonicを採用する「HDウォレット(BIP32,BIP39,BIP44準拠)」
- 秘密鍵はお客様のデバイスにのみ存在する「クライアント型方式」を採用
Gincoの設計仕様に関するリファレンス
- BIP32:ウォレットを階層構造化に関して
- BIP44:各階層の整理方法に関して
- BIP39:ニモニック生成における機械語変換方式に関して
仮想通貨を管理する「秘密鍵」の漏洩・窃盗への対策
Gincoは、仮想通貨をコントロールするために必要な「秘密鍵」を、お客様の端末内でのみ保持する、クライアント型方式のウォレットです。
秘密鍵とは簡単に言えば「お客様の資産のコントロール権」です。
従来の取引所やサーバー型のWebウォレットでは、秘密鍵をサービス提供者が一元管理しています。また、お客様それぞれに対して秘密鍵が割り当てられていないこともあります。このことは、2014年のMTGOX社や2018年のCoincheck社のように、お客様の資産が流出してしまう事件の原因ともなっています。
Gincoではこの秘密鍵をお客様の端末内で生成しており、Ginco社への送信を一切しておりません。
秘密鍵はお客様の端末内で生成され、iOSのkeychainという機密情報保持領域で暗号化され保存されており、Gincoの利用を通じて、秘密鍵が弊社サーバーを含む外部に送信されることはありません。
iOSのkeychainは全世界で標準規格として採用されているAES暗号によって保護されており、端末のPINコードや、TouchID及びFaceIDによる生体認証が無いかぎりアクセスすることはできません。
iOSのセキュリティについての詳細はこちら
仮想通貨ウォレットの違いや特徴についてはこちら
秘密鍵の機能・役割についてはこちら
秘密鍵を管理する端末の破損・盗難への対策
Gincoは複数の秘密鍵・公開鍵を階層的に管理するHDウォレット(Hierarchical Deterministic Wallet)であり、BIP32・BIP44に準拠して開発されています。
Ginco内で管理できる全通貨の秘密鍵は、バックアップキー(一般的にはニモニック)という12個の単語(日本語または英語)を元にした文字列から復元することが可能です。尚、このバックアップキー(ニモニック)の生成については、BIP39に準拠しています。
お客様はバックアップキーを安全に保管していただくだけで、複数の仮想通貨の秘密鍵を一括で管理することができ、不測の事態が発生した場合も、資産を復元することができます。
バックアップキーが必要になるケース
- スマートフォンの紛失・盗難が起きた場合
- スマートフォンの故障が起きた場合
- スマートフォンの乗り換えを行う場合
通信の傍受・改ざんへの対策
GincoのクライアントアプリとGincoのノード間で行われるトランザクションブロードキャストなどの通信は、SSL/TLS暗号化通信によって秘匿されています。
SSL/TLSとはお客様のアプリケーションから発するネットワーク通信に高度な暗号化を施すことで、クレジットカード情報や暗証番号などを安全に送受信する、最も安全な暗号通信技術の1つです。
また、Gincoでは、SSL/TLSで秘匿される通信が、Gincoウォレットから発信されたものであることを確かめるため、クライアントの認証情報をAES暗号化して同時に送信しています。
これにより、万が一SSLが突破されたとしても、クライアントに関する情報(ユーザー名など)が漏洩することを防いでいます。また、この場合においても、お客様の秘密鍵が流出することはありません。
サーバーおよびアプリの脆弱性について
Gincoのクライアントアプリと自社システムは、専門機関によるテストにより、セキュリティホールや脆弱性がないことを定期的に検査しており、堅牢であるという評価を得ております。
アプリソースコードのガバナンスについて
Gincoアプリのリリース権限は、弊社の事業に責任を有する役員のみが保有しています。
いかなる場合においても、それ以外のメンバーがアプリプラットフォーム(AppStoreやPlayStore)に直接コードを反映させ、皆様に不正なソースコードを含むアプリを配信させる事はありません。
マネーロンダリング防止に関する取り組みについて
Gincoは、不正なアドレスを検知し、仮想通貨取引の安全性を高める分散型のシステムを開発する「Sentinel Protocol」とパートナーシップを締結しており、ウォレット内に同社が提供する分散型の危険性評価データベース(TRDB、Threat Reputation Database)の導入を進めております。
Ginco内で資産を管理いただく皆様が、仮想通貨に関連する詐欺や不正に巻き込まれることのないよう、今後もセキュリティ向上に努めてまいります。
法令遵守について
弊社のアプリ「Ginco」は顧問弁護士や金融庁と直接確認を取り、法令を遵守した上で運営を行っております。お客様が安心してご利用できるサービス作りに日々取り組んで参ります。
Gincoをご利用いただく皆様へ
2018年冒頭に世間を賑わせたハッキング事件から、早6ヶ月が経とうとしています。
事件のほとぼりが冷めたように見えていても、仮想通貨の取引にまつわるリスクが根本的に解決された訳ではありません。
仮想通貨を安全に保管するためには、正しい知識のもと、適切な管理方法をお選びいただく必要があります。
私たちGincoも、弊社のウォレットアプリをご利用いただく皆様が、より安全に、より安心していただけますよう、開発や情報発信を続けてまいります。
今後も、Gincoを何卒よろしくお願いします。
