26日、仮想通貨取引所大手のコインチェックから、580億円分もの仮想通貨「NEM(ネム)」が流出する事件が起きた。翌27日にはNEMを日本円で返還するとの発表がされたが、なぜ流出したのか原因はまだハッキリしていない。
●大激動の48時間、「580億円流出」から「463億円現金返済」へ
急転直下の48時間だった。コインチェックは外部からと思われる攻撃を受け、26日金曜日午前3時頃にNEMの580億円相当(当時の時価、NEM発行量の約5%に当たる)が流出した。金額ベースでは史上最悪の仮想通貨流出被害だ。
同日15時過ぎに、投資家・作家である山本一郎氏がブログで伝えたことから大騒ぎになり、仮想通貨の市場全体が大幅に下落。コインチェック社は取引を停止した上で、同日夜23時に記者会見を開き、顧客から預かっていたNEMのほぼすべてが流出したことを発表した。
「補償はどうなるのか」「取り戻せるのか」「原因は何か」と大騒ぎになるなか、コインチェック社の対応は早かった。翌日の27日土曜日深夜23時に「日本円で返金する」と発表して世間を驚かせる。取引停止後の価格の平均をとるため、返金額は約463億円になるものの、盗まれたNEMを持っていた26万人のユーザーすべてに補償することとなった。補償の原資は「自己資金から」とのことで、「そんなに現金を持っているのか」と驚きの声が上がっている。
いつ返金するのか、他社の出資をあおいでいるのか、など不明点はいくつかあるが、補償すると明言したことで事態は一旦落ち着きそうだ。驚くべきスピードで急展開した48時間の「仮想通貨劇場」だった。
しかし流出した原因が不明なこと、コインチェック社が未登録の取引所であることなどの問題点は残っている。なぜ580億円ぶんもの仮想通貨が流出してしまったのだろうか。
●外部からの不正アクセス?「空白の8時間半」内部管理の問題も
原因は調査中とのことだが、記者会見では「内部犯行は確認していない」とコインチェック社の和田晃一良社長は発言している。内部犯行ではないとすると、外部からの不正アクセス、もしくはメールなどによるウイルス(マルウェア)感染が疑われる。
特定の企業を狙ってメールを送り、ウイルスに感染させるものを標的型攻撃メールと呼ぶが、今のところその可能性は低いようだ。和田社長によれば「不審なメールを検知するシステムは導入しており、今のところ不審なメールは発見されていない」とのことだ。
そうなると疑われるのは外部からの攻撃・ハッキングだ。コインチェック社のシステムに脆弱性(弱点)があり、そこを突かれてネット経由で内部に侵入され、仮想通貨を盗まれた可能性がある。システムは自社開発しているとのことなので、脆弱性があって侵入されたことが考えられる。現在、コインチェック社での売買は停止されているが、原因を早く究明する必要がある。
最大の原因は犯人による侵入だが、コインチェック社側の管理体制にも不備があったようだ。ひとつは監視体制で、盗まれてから気がつくまでの「空白の8時間半」がある。
●警告メッセージがあるのに気づくまで「空白の8時間半」
コインチェック社の発表によれば「26日金曜日2時57分に事象発生(NEMの取引履歴を追うと0時)」しているのに、昼前の「11時25分に異常を検知」している。つまり580億円分の仮想通貨を盗まれているのに、気づくまでに8時間半もかかっている。
大量の取引があると警報が鳴るしくみがあり、実際にコインチェック社でも導入していた。しかし気づくまでに8時間半もかかっているのは謎だ。これについてコインチェック社最高執行責任者の大塚雄介氏は「アラートは鳴ったが検知まで8時間半かかったことについては調査中」として、原因はまだわかっていない。
●ネット接続のサーバーに置く「ホットウォレット」と「マルチシグ未対応」
ほかにも仮想通貨の管理で問題点があったようだ。根本的な原因ではないが、不正アクセスされてしまった後の対策として、以下の2つが欠けていた。
(1)ネットに接続したサーバーに仮想通貨を置く「ホットウォレット」だった
コインチェック社のNEMでは、仮想通貨自体をインターネットに接続したサーバーに置いていた。ネットに接続しているという意味で「ホットウォレット」であり、不正アクセスなどで侵入された場合、仮想通貨を盗み取られる危険性がある。そこで仮想通貨取引所では、ネットに接続しない別のサーバーに仮想通貨を置く「コールドウォレット」が推奨されている。
しかしコインチェック社ではNEMをコールドウォレットで保管していなかったため、犯人に侵入されて盗まれてしまった可能性が高い。
コインチェック社ではビットコインは安全性の高いコールドウォレットで保管しており、それをウェブサイトでも宣伝していた。しかしNEMへの対応は「難易度が非常に高く、対応に時間がかかっていた」(大塚氏)とのことで遅れていたようだ。NEMでのコールドウォレット対応はシステム構築が難しいといわれており、やむを得ない面もあるが、結果として流出事件が起きているのだから早急に対応すべきだった。
(2)複数の鍵に分割しておく「マルチシグ」に未対応
今回流出したNEMという仮想通貨は、暗号強度が高くセキュリティが高いとの評価がある。そのひとつが「マルチシグ」に対応していること。マルチシグとはマルチシグネチャーの略で、複数の鍵に分割することで流出での被害を防ぐ仕組みだ。一般的に仮想通貨では、秘密鍵と呼ばれる文字列をとられると、他人が勝手に送金することができてしまう。秘密鍵がもっとも重要なものなのだ。
マルチシグはこの秘密鍵を、たとえば3つの署名に分け、3つとも揃ったときだけ有効にする仕組みだ。乱暴なたとえをすると、家のドアに3つの鍵を付けるイメージを考えるといいだろう。鍵をひとつ盗まれてもドアは開かないので、流出を防ぐことができる。
残念ながらコインチェック社のNEMはマルチシグに対応していなかった。マルチシグに対応していれば、流出を防ぐことができたかもしれない(ただしマルチシグでも仮想通貨が盗まれた例がある。マルチシグは万能ではなく、安全性を高めるひとつの手段にすぎない)。
●資金決済法の取引所登録ができないまま
もう一点、コインチェック社が仮想通貨取引所としての登録が済んでいないという問題点がある。
2017年4月に改正資金決済法が施行され、仮想通貨の扱いが法律で決められた。仮想通貨取引所は金融庁への登録が必要になり、9月29日までに11社が登録された。しかしコインチェック社はこの11社に入っておらず、現在も仮想通貨取引所として登録されていない。
コインチェック社では12月にプレスリリースを出し、「9月13日に仮想通貨交換業者の登録を申請している。『仮想通貨交換業者に関する内閣府令』第36条に記載の通り、申請より2ヶ月の経過後に関しても、通常通りサービスをご提供させていただくことが可能」だとしている。
この「仮想通貨交換業者に関する内閣府令第36条」とは、申請してから2カ月以内に処理することを定めたもの。ただし例外として、「申請の補正」「申請の変更」「資料追加」は2カ月の期間に含めないとしている(仮想通貨交換業者への登録状況のご報告)。
つまりコインチェック社は9月13日に申請したものの、2カ月以上過ぎても登録されていないのはこれらの「申請の補正」「申請の変更」「資料追加」があったからとして、今も問題はないとしているのだ。
しかし実際問題として、未登録の仮想通貨取引所として営業しているわけで、グレーな部分があることは否めない。
読売新聞は、金融庁が「改正資金決済法に基づく業務改善命令を出す方向で検討」と報道している。「金融庁はコインチェックに報告を求める命令を出し、28日には同社の幹部らが被害状況や対応について報告する予定」とのことで、行政処分される可能性がある。
●拡大を急ぎすぎた代償か? 補償金の手当に注目が集まる
このようにコインチェック社は、システムの脆弱性(と思われる点)や、仮想通貨の管理方法の甘さ、法律上未登録であることなどの問題が明らかになった。
コインチェック社は、和田社長がMt.GOX(マウントゴックス)社の事件を見て、チャンスと思い起業したものだ。先行しているビットフライヤー社に追いつくために、スマホやウェブサイトを使いやすくする、取り扱う仮想通貨の種類を増やす、テレビCMを打つなどの方法で急拡大してきた。
筆者もコインチェックを使っているが、スマホアプリは使いやすいし操作も簡単だ。そのため仮想通貨初心者が多く使っていた。
しかし拡大を急ぐあまり、仮想通貨の種類を増やしすぎて、安全性が二の次になっていた可能性がある。記者会見によれば、社員は80名、技術者は40名とのこと。ここからは筆者の個人的意見だが、40名で13種類の仮想通貨取引のシステムを開発するのは無理があったと想像できる。開発ができたとして、セキュリティは後回しになっていたのではないか。
IT企業では、拡大のために安全性やコンプライアンスが後回しになることがよくある。スピードが求められるITビジネスでは仕方のない面もあるが、金銭を直接扱う取引所は慎重になるべきだと思う。取引再開の前に、原因をしっかり究明し、セキュリティを向上させることを願いたい。
もうひとつの注目は、事故発生翌日に「現金での補償」を打ち出した原資がどこにあるか、だろう。自己資金で補償ということなので、「463億円ものキャッシュを確保できる」というのは、仮想通貨取引所が儲かるビジネスということかもしれない。もしくは大企業による増資があるならば、このチャンスに仮想通貨取引所に参入したい大企業が乗り出した可能性もある。今後の世界の仮想通貨市場を左右する動きなので注目したい。
(文=三上洋/ITジャーナリスト)
0 件のコメント:
コメントを投稿