CMなどで認知が拡大する仮想通貨取引所「コインチェック」社は2018年1月26日、保有している仮想通貨NEM(XEM)が外部に不正流出したことを明らかにしました。その数は5億2600万NEM、日本円にすると総額約580億円と史上最悪の被害額になるとみられています。
コインチェック社によると「流出先は分かっている」とするも「(分かっていたとしても)取り戻すのは不可能」と説明。今後の資金の流出先を追いつつ、補償について検討すると発表しています。
なお、この事件については、管理不足が原因とみられています。コインチェック社はサービスについて「安全に保管する」と宣言していましたが、その管理における重要な施策が実施されていない中での事件発覚となりました。これにより、1月26日から仮想通貨市場全体が暴落している状態です。
事件の経緯
コインチェック社は、事件の経緯を以下のように説明しています。仮想通貨NEMの不正流出が発生したのは2018年1月26日の午前2時57分頃とのことですが、検知するまでに8時間30分前後かかっています。また、NEM財団のファウンダーLon Wong氏は20時27分頃、Tweetで「ハックされた」と明言。「できる救済はする」とするもCrypt Newsの取材では「NEMの技術に問題はない、責任はすべてコインチェック社にある」と語っています。
1月26日 02:57頃 :事象の発生
1月26日 11:25頃 :当社にて異常を検知
1月26日 12:07頃 :NEMの入金一時停止について告知
1月26日 12:38頃 :NEMの売買一時停止について告知
1月26日 12:52頃 :NEMの出金一時停止について告知
1月26日 16:33頃 :JPYを含め、全ての取扱通貨の出金一時停止について告知
1月26日 17:23頃 :BTC以外(オルトコイン)の売買の一時停止について告知
1月26日 18:50頃 :クレジットカード、ペイジー、コンビニ入金一時停止について告知
署名技術も管理体制も不備
NEM財団のファウンダーLon Wong氏が言うところによるとコインチェック社は「マルチシグ(=マルチ・シグネチャー(署名))を使ったスマートコントラクト技術を使うことをアドバイスしていたにもかかわらず、それを使用しなかったためにハッキングされた可能性がある」ということです。
マルチシグは、異なる署名データを持つアカウントを複数用意し認証を高度化することによって、仮に一つのアカウントがハッキングされても防げるというもの。
また、重要な秘密鍵とよばれるデータ等はインターネットネットにつながっていない機器等で保管する「コールドウォレット」という方法を使うのはもはや常識でしたが、1月26日深夜に行われた記者会見ではコインチェック社は「準備段階で未実装だった」ことを明らかにしています。
重大な過失−市場に与える影響
今回の問題のもう一つの側面は、コインチェック社の「サービスの安全性」というページで、コールドウォレットについてはっきりと明言していたということです。規約に明言したことを遵守していなかったということは極めて重大な問題です。
“非中央集権的で匿名ある”といった仮想通貨のイノベーションを社会に浸透させるべく業界全体が動いている中、皮肉にもマイナスの面にフォーカスさせ、業界全体の足を引っ張る事態を巻き起こす形となりました。以下はコインチェックの「サービスの安全性」についてのページをそのまま引用したものです。
コールドウォレットによるビットコインの管理
当時、Mt.GOX(マウントゴックス)のコールドウォレットの管理は完全なオフライン状態で行われていなかったため、安全性が確保されていませんでした。
coincheckでは、お客様からの預り金の内、流動しない分に関しては安全に保管するために、秘密鍵をインターネットから完全に物理的に隔離された状態で保管しています。コールドウォレットの冗長化と暗号化
コールドウォレットは冗長化され複数の場所に分散されて保管されているため、万が一、災害等で一部失われたとしても問題ありません。
また、AES-256 の規格を持ってコールドウォレットは暗号化されており、第三者が盗むことはできません。
AESとは、Advanced Encryption Standard の略称で米国商務省標準技術局(NIST)によって制定された、米国政府の新世代標準暗号化方式です。AESの後に付与されている数字は暗号アルゴリズム強度指数を表しており、256が最大のものとなっています。
コインチェックは登録業者じゃなかったのか?
国は2017年4月1日から仮想通貨取引所といった仮想通貨交換業を営む業者を登録制にする制度を開始しています。金融庁がヒアリングに基づき登録を認める「仮想通貨交換業者登録一覧」の最新版(2018年1月17日)では登録業者は16社。コインチェック社は含まれていません。
コインチェック社が仮想通貨事業に参入したのは2014年8月で、取引所事業のみならず、実店舗における仮想通貨決済事業などに着手しており、2017年末時点で口座数などは公表していないものの「業界No1」として認知(業界有力筋談)されていました。ですから、「コインチェック登録まだ?」という声も少なからずあったのですが、猶予期限を過ぎても「みなし業者」のままの状態でした。
この登録は、あくまで業者の説明より資金決済法上の定義に該当するかどうかを評価するもので、その裏付けまで行っているものではありません。業界関係筋によると「(コインチェック社はゴタゴタしているが)いずれ登録が認められるようになるのだろう」と比較的楽観視している状態でしたが、金融庁は「イノベーションの後押し」と「利用者保護」という観点を崩していない状況でした。
国の姿勢が傾く可能性
日本の仮想通貨に関する規制は、他の国よりもゆるいといわれていました。それは前段で述べたとおり仮想通貨およびブロックチェーンが持つ「イノベーション」の可能性を支持したいという姿勢があったからだといえるでしょう。
昨今話題となっているICOについても、金融庁は「改正資金決済法」と「金融商品取引法」の既存2法令と照らし合わせ判断を進めることを基本に、業界全体に厳しい規制を敷くよりも前に、「まずは個別に一つ一つどう適用できるかを判断」するというスタンスでした。ただ法律の専門家でもICOについては意見が分かれており慎重に進めているといるという表現の方が適切かもしれません。
今回のコインチェックの件については、同社は非登録事業者じゃないにしても、現在のようなヒアリングベースで登録を認めるようなプロセスについて再検討する必要がでてくる可能性があります。今後の日本は「非中央集権のイノベーションか、利用者保護か」そのバランス維持に苦しむことになるのは間違いなさそうです。
流出したNEMのゆくえ
今回流出したNEMアカウントは1つ。そこから、どう流出していったのかはほぼリアルタイムで把握できる状態です。ただ、その移動先の持ち主が誰なのかはわかりません。どこかで現金化をした時が奪還のタイミングとなる可能性が高いと思われますが、仮想通貨交換所は国と地域によっては扱いが異なり、まったく野放しの地域で行われたとしたら手も足もでないということになります。まさに、まったく先が見えない状況です。
失われたNEM、補償は?
2014年に発生した当時世界最大の取引所だったマウントゴックスの破綻では、顧客の資産計85万ビットコインと28億円を消失させたとしして大きな話題となりました。当時マウントゴックス社は消費した資産価値を「約114億円の価値」と説明していましたが、過去の報道によると取引所などの価格で「470億円」ほどの規模といわれています。仮にこの消失ビットコインが戻るのだとしたら、現在の価値に置き換えると大変な額になります。
今回のコインチェックの事件は、これと同じように、価格変動のリスクにも直面することになります。仮に事件直前に円でNEMを取得していたとして、現在までの暴落している額、さらに今後、長時間差し押さえられたまま下落するリスクは否めません。これを理解しながら広告で顧客を集めまくった責任を問う声が高まるのは必至でしょう。
コインチェック社は2017年6月1日、東京海上日動火災保険と不正引き出しの補償を打ち出していますが、これが適用されたとしても補償額は最大100万円(「国内初、ユーザーアカウントへの「不正ログインにかかる損失」を最大100万円まで補償。取引所Coincheckにおける「なりすまし」補償を開始」)となっています。
日本国内でNEM/XEMを扱っているのは現在認知しているのはコインチェック社に加えて、テックビューロ社の「Zaif」がありますが、現時点では取引は正常に行われているようです。
世界類を見ない規模の仮想通貨不正流出事件。今後も継続して追いかけたいと思います。
【関連URL】
・Coincheckサービスにおける一部機能の停止について
http://corporate.coincheck.com/2018/01/26/29.html
蛇足:僕はこう思ったッス
