サイトアイコン TechWave(テックウェーブ)

緊急解説「コインチェック社NEM流出」(会見サマリー)、BCCC リスク管理部会が実施

maskin

仮想通貨取引所を運営するコインチェック社が管理する仮想通貨NEM(5億2300万XEM・日本円で時価580億円)が、外部から不正に流出した問題を受け、ブロックチェーン技術の浸透などを目指す一般社団法人ブロックチェーン推進協会(BCCC・現在200社が参加) は2018年1月29日、協会の部門会である「リスク管理部会」を招集し今回の問題について主に技術的な観点での解説を行いました。

国内最大の取引所の事件

この日行われたBCCCリスク管理部会はそもそも「(仮想通貨取引における)反社会勢力などの対策について議論する予定」でしたが、「見逃せない事件(コインチェック社におけるNEM流出)が起こったとして事件の緊急解説に切り替わったとのことです。なお、コインチェック社はBCCCの会員ではなく、協会そのものはあくまで当事者ではありませんが、会員企業には取引所を運営している企業がいることから推測を含めて技術的観点で解説を行いました。

NEM全体の6%に及ぶ巨額流出事件。仮想通貨およびブロックチェーン技術などの幅広い知見を持つBCCC 副代表理事 杉井靖典氏(カレンシーポート株式会社、代表取締役 CEO)は「過去に仮想通貨紛失事件を起こしたマウントゴックスは当時取引の80%を締めていました。現在、世界の仮想通貨取引の40%が日本にあるといわれていますが、そのトップの取引所は狙われやすい状況にあったと言えると思います。つまりコインチェックの事件は、他の取引所でも起こりうる事件」と話します。

BCCC 副代表理事 杉井靖典氏(カレンシーポート株式会社、代表取締役 CEO)

すべては「秘密鍵の管理」にある

「コインチェック社は、日本の仮想通貨の取引で歴史を作ってきた会社でもあります。2017年9月末時点で推定で200万超ユーザーがいて、月間取引高は2017年12月現物取引高として約4兆円(公称)という国内最大規模です。

扱う仮想通貨も13コインと多く、かつユーザーフレンドリーでライトユーザーが多く、スマートフォンから取引できたり即時入出金など利便性が高いサービスといえます。ただ、利便性を高めると、セキュリティ面がおろそかになりがちです。

NEMに限らず、すべての仮想通貨はその特性上、「秘密鍵」が流出してしまうと送金ができてしまいます。ですから秘密鍵をいかに厳重に管理することに問題は集約されます。今回の問題もすべてそこです。

秘密鍵は、取引に使われるものですが、重要な処理はオフラインで行うことが可能です。これをコールドウォレット運用と言います。逆にこれらをオンラインで行うことを「ホットウォレット運用」といいまして、今回の問題はホットウォレット運用によって発生したとみられています。

安全と利便性のトレードオフ

秘密鍵を厳重に管理するにあたり技術的にはソフトウェアからハードウェアまで、さまざまな方法がありますが、コールドウォレットで、かつマルチシグのような運用を実現しようとすると極端に手間やコストがかかってきます。国内でマルチシグ運用を行っている取引所はビットフライヤー社だけかもしれません。なぜ少ないかというと、取引のトランザクションのコストが2~3倍に増加するからです。

具体的には、物理的に分離された別々の個室(コールドウォレット取り扱い室)を複数準備する必要があり、しかも、常時監視、入退出管理が必要になる。オペレーション人件費も高騰し。署名者を複数人雇う必要がある、署名者不在の際、業務を滞らせないようにするためには少なくともオペレーター3名、マネージャ3名程度が必要となる。24時間対応を考えるとその2.5倍もの人材が必要になるでしょう。

しかも、仮想通貨によって技術的な対応状況がばらばらで、例えば、ハードウェアで安全にNEMの秘密鍵を管理できるデバイスが登場したのは2017年12月という状況です。

また、コールドウォレット運用を行うとセキュリティレベルは絶対高いのだけどオペレーションが煩雑になり、コインチェックがこれまでやっていたような「即時着金」「即時送金」などにこだわり利便性を追求していたようなことができなくなり、ユーザーからの評価が得られなくなる可能性もあります。つまり、安全と利便性、どっちを取るかというトレードオフになっていたと思います。

今回タイミング良く補償を円で行うと発表しましたが、では資本金があれば安全かということではありません。やはり技術的な安全性が重要です。

調査の焦点と今後

秘密鍵の保管についての技術や評価指標は前述したとおり仮想通貨によって対応状況が異なります。ですから、今回のコインチェック社のNEM流出の最大の焦点は「ユーザーが利用するネットワークと管理者が利用するネットワークは分離されていたか?」ということを筆頭に行われると思います。

今回の事件で注目すべきは「ブロックチェーンの問題ではなく、取引所個別の管理問題」として技術で解決に動きつつあることです。NEM財団は流出した当該NEMをマーキングできる技術を実装し、これにより取引所が流出したNEMを警戒することができるようになりました。

仮想通貨取引所が国による登録制なのは日本だけで、反社会性力などが運営する取引所や一部の個人が現金などに交換する可能性はゼロとは言い切れません。しかし、マーキング技術など、仮想通貨の技術者や運営社によって検挙される可能性は高いと思っています」(BCCC 副代表理事 杉井靖典氏)。

(以上サマリー)

【関連URL】
[公式] ブロックチェーン推進協会: BCCC
[まとめと詳説] 史上最大被害額、取引所コインチェックの仮想通貨NEM/XEN 580億円流出事件の深刻さ|TechWave

蛇足:僕はこう思ったッス
杉井氏は「マウントゴックスを乗り越えてここまできた」と言う。技術と業界によるロビー活動が世界をリードする仮想通貨大国へと引き上げた彼らだからこその発言だ。マーキングについても楽観視しておらず「誰がつけたかということが見えるようししないと公的なシステムとしては成立しないように思う」と冷静だ。一般社団法人ブロックチェーン推進協会の代表理事である平野洋一郎氏(インフォテリア社 代表取締役社長/CEO)は「流出後の追跡などの技術は、本件にかかわらず犯罪性のある仮想通貨の移転防止にも有効となるでしょう」と話す。まだまだ議論がつきないが、これを業界全てが一丸となって乗り越えることを心から望む。

モバイルバージョンを終了