国内・海外の暗号資産交換業者のEV証明書の取得率
株式会社BUIDLの藤谷といいます.
国内と海外の暗号資産交換業者(以下:取引所)の実態調査を行なっていたので,それについての記事を何回かに分けて書こうと思っています.
初回の今回は,TLS証明書のEVレベル(EV証明書)を導入している取引所の割合はどのようになっているかを以前調査した結果を公開します.
TLS証明書のEVレベルは組織の実在性を検証しており,ブラウザのアドレスバーにも組織情報が表示されることから,フィッシングサイト対策に有効である(※)といわれています.
(※)については後述します.
本稿では,金融庁から認可を受けた認可業者と認可申請中のみなし業者を「国内取引所」と定義し,それ以外を「国外その他取引所」と定義しています.
また,対象とした暗号資産交換業者は 2018 年 12 月 24 日時点で,Cryptocurrency Market Capitalizations [1],CryptoCoinCharts [2],WorldCoinIndex [3] に掲載されている取引所,および,金融庁 [4] より「みなし」もしくは「認可」を受けた取引所です.さらに,重複,未開設,閉鎖,Web ブラウザで取引サービスを行っていない取引所,を除外した合計246 件の取引所を対象にしました.
TLS証明書とは
TLS 証明書は,「通信を暗号化」し,「誰がWeb サイトを運営しているかという証明」をする役割があります.
「通信の暗号化」は,インターネットが使用できるクライアントとサーバーの間、またはサーバーとサーバーの間の通信を暗号化することです.取引所ではユーザがユーザ情報をログインして取引をする必要があるため,このユーザ情報をサーバと通信する際に漏洩すれば,アカウントの乗っ取りが発生する恐れがあるため暗号化する必要があります.
そのため,TLS証明書を導入して,通信を暗号化します.
「誰がWebサイトを運営しているかという証明」についての説明をします.TLS サーバー証明書を発行する会社は,「認証局」や「認証事業者」と呼ばれます.認証局というのは,その証明書を使う組織がどういうところか調査したうえで、その組織のリクエストに応じて証明書を発行し,提供します.そして,発行される証明書の中にその組織の情報を含めます.申請者の存在を確認したうえで証明書を発行する認証局の場合,事前に本物の組織からの申請であるかを確認し,本物または代理人へのみ納品する仕組みを設けています.
これにより,「誰が運営していて,実在性を検証しているか」という証明を果たします.これはTLS証明書のOV,EVレベルで確認できます.
TLS 証明書のレベルは表 1 に示すように EV(Extended Validation),OV(Organization Validated), DV(Domain Validated) の 3 段階とそれぞれ特徴があります.[5].
EV は厳格な認証プロセスを経て発行する TLS サーバ証明書であり,以下の図 1 のようにブラウザのアドレスバーが緑色になり,組織名が表示されます.そのため,ユーザに偽サイトへ誘導させ,ユーザのアカウント情報を入れさせようとするフィッシング詐欺サイト対策に有効である(※)と言われています.
(※)については後述します.
OV はドメイン名の検証に加えて,企業の実在性を確認するスタンダートな TLS サーバ証明書です.DV はドメイン名に対してのみ検証されるシンプルな TLS サーバ証明書です.
このレベルの違いによって,そのサイトが保証できるものであるかの度合いが異なってきます.EV は,証明書を発行している会社が実際に会社の所有者であることを,ユーザーに対してさらに保証しています.
つまりフィッシングサイトと本物のサイトへの見分けがつきやすくなったり,また組織の実在性を確認していることからその Web サイトが実在した組織で運営されてることがわかります.
検証結果( 2018年12 月24日時点)
まずは国内取引所の結果が図2です.図2の通り,国内取引所の80%はEV証明書を導入していることがわかりました.
次に国外その他取引所の結果が図3です.図3の通り,国外その他取引所のわずが15%しかEV証明書を導入していないことがわかりました.国内取引所は80%だったので,大きな差があることがわかります.
国内の取引所における2018年4月,2018年12月,2019年9月の比較
前述したものでは2018年12月のデータのみを紹介していましたが,2018年4月にも調査を一部行なっていたので,今回は国内取引所に絞って紹介します.(なお,Web ブラウザで取引サービスを行なっていない取引所は対象外にしています)
まずは図4が2018年の4月と12月の国内取引所におけるEV証明書の割合です.この図4から8か月の間でEV証明書の割合が37%(7件/19件)から80%(11件/14件)と大きく変動していることがわかります.この変動の要因としては,CoinCheck社のNEM流出事件以降金融庁の審査が厳しくなり,それに伴いEV証明書を導入していなかった割合が高い「みなし業者」が撤退したことや取引所のEV証明書の取得割合の低さを指摘した日経新聞の記事[6]が掲載されたことによって,EV証明書を取得する取引所が増加したことが考えられます。
次に最新の2019年9月末までの国内取引所におけるEV証明書の割合が図5です.図4の右図である2018年12月の80%(11件/14件)と比較すると,図5の2019年9月のデータではEV証明書の割合が71%(12件/17件)と,やや下がっていることがわかります.これは2019年1月以降,金融庁から認可もしくはみなしを受けた取引所の数が増加したことと一部の取引所でEV証明書でなくなったケースも確認できました.
国内のオンラインバンキングのTLS証明書と比較
ここで資産価値を扱うという点で同じである国内の銀行のオンラインバンキングサイトと取引所のWebサイトを比較してみます.
国内のオンラインバンキングのEV証明書の割合結果が図4です.図4の通り,国内のオンラインバンキング全体の98%がEV証明書であることがわかります.国内取引所のEV証明書の割合は80%,国外その他取引所のEV証明書の割合は15%であったことから,大きな差(特に国外その他取引所)が見られることがわかります.これは,国内の銀行が資金力もあり,長年銀行のフィッシング詐欺による被害が報告されてきていたことから,フィッシングサイト対策を徹底してきたからではないかと考えています.
よって,証明書レベルにおいて,仮想通貨取引所は国内のオンラインバンキングと比較して改善の余地があるのではないかと考えています.
(※)について
前まではEV証明書のアドレスバーによる表示がフィッシングサイト対策に有効であると言われてきました.そのため銀行のオンラインバンキングのEV証明書の取得率が非常に高い値になっていることがあります.
しかし最近では,EV証明書のアドレスバーによる表示があっても,ユーザに心理的影響を与えないことが研究で報告[7]されています.
以下の英文が[7]の論文を引用したもので,「EVインジケーターを削除してもほとんどのユーザーの動作に影響することはなくて,EV証明書はフィッシングやソーシャルエンジニアリングに対する優れた対策ではないことを示唆しています.」とあります.
Removing the EV indicator did not affect most user behaviors, suggesting that an EV certificate does not provide a good defense against phishing or social engineering.
また,chromeがEV証明書のアドレスバーによるを段階的に外していくこともアナウンスされています.
これらに関しては[8]にまとめられているのでご覧いただければと思います.
しかし,三井住友銀行などはユーザに「現在閲覧しているWebページが三井住友銀行の正当なサイトかどうかをより直感的かつ容易に確認してもらう」ため,つまりフィッシング詐欺を防ぐためにブラウザのアドレスバーを確認することを呼びかけて[9]います.
今後の各ブラウザの動向にはよりますが,フィッシング詐欺が狙われやすく,詐欺にあうと被害が大きいと考えられる銀行や取引所に関しては,EV証明書を導入し続けて,ユーザにアドレスバーの組織情報に注視するよう呼びかける,という余地もあるのではないかと考えています.
BUIDLでは一緒に働くメンバーを募集しています!
現在の募集職種はwantedlyをご確認ください。
会社のフォローと、募集への応援もお願いします!
https://www.wantedly.com/companies/company_8998049
