コインチェックのNEM(XEM)不正流出問題と仮想通貨の取引所の安全性について。

f:id:itimaka:20180309032141j:plain

2018年1月26日に日本の仮想通貨取引所の大手コインチェックから仮想通貨NEM(XEM)が何者かにハッキングされ580億円流出するという事件が起こった。

この記事を書いている2018年1月30日現在で、日本の仮想通貨取引所のセキュリティ対策への不安と疑問。

そして今後取引所が取るべき姿勢と責任なども見えてきた。

仮想通貨を利用するものなら知っておいた方が良い今回の事件の顛末を以下にまとめました。

 

仮想通貨を利用するなら取引所の安全性については知っておいた方がいい。

コインチェック、仮想通貨のNEM(XEM)不正流出事件。

私も仮想通貨を専門にしだしてから日が浅いので今回のような事件ははじめてで、取引所の安全面や各社のセキュリティ対策等を勉強する機会になった。

今回の事件の概要は以下です。

2018年1月26日午前3時頃、コインチェックで仮想通貨の1つNEM(XEM)のほぼ全額である580億円が不正流出する事件が発表された。

コインチェックはNEMの取引を中止し、一時期ほぼ全ての通貨の出金を一時停止の措置をとっていた。

26日午後11時30分過ぎからの会見で、創業者の和田晃一良社長と大塚雄介COO(最高執行責任者)には厳しい質問が飛んだ。 

今回の件は28日時点では、顧客のNEM(XEM)460億円を全額補償するという流れになっている。

コインチェックは今回の被害額を全額補償した上で、経営自体も自力再建したいとしている。

今回の件で一般の方が恐れるのは、今回はコインチェック側が責任を取り全額補償するという形になったが、利用規約の中には、今回の件のような場合に支払い義務は無いことになってるので、次に同じようなことが起こったり、取引所が倒産して全額持ち逃げされる可能性もあるということである。

倒産からの支払いが無いのはまだしも(顧客からしたら許せるものでは無いが。)今回のようなハッキング被害にあった場合は取引所のセキュリティ不備ということで取引所側に支払い責任があるという利用規約を盛り込んでほしいとは思う。

しかし、仮想通貨の取引上以外にもFXの証券会社等でもハッキング等による被害は出る可能性はあるのでそのようなことが起こったときに確実に全額補償しますよというようなことを利用規約に書くのは難しいと思う。

なので今回の件を最後に今後絶対に同じようなことが起こらないように、取引所は各社セキュリティ対策を最重要として最善を尽くした上での経営をしてほしいと思う。

セキュリティが万全であれば、今回の事件は起こらなかったか?

セキュリティが万全であれば今回の事件は起こらなかったのかといえば、絶対に起こらないとは言い切れないかもしれないが、はっきり言ってセキュリティが甘くて起こった事件と考えざる負えない。

何故なら今回の被害額を全額補償した後にコインチェックはもう一度取引所として運営をしていきたいと表明しているからである。

本当に自分たちが出来る最善のセキュリティ対策を万全の状態で行っていてその上で今回の事件が起こったのならまた同じようにハッキングさ事件が起こってしまう可能性が高い。

自分たちでは食い止めることが出来ないハッキングがある状態でもう一度取引所をやりたいと表明するだろうか。

それではお金を盗まれるために経営するようなものである。

要するにコインチェック側は自分たちが万全を尽くせばもう二度とハッキングによる被害にあわないという自信があるから再度取引所を経営したいと表明さてるはずである。

そうでないとまた数百億円の被害に遭う可能性がある中で経営をしたいと思う経営者はいないはずです。

まあ今回の事件後のNEM(XEM)の平均換算レートで480億円を全額自社で返済するというのだから、ぼろ儲け過ぎて、大きなリスクを負ってでもやりたいという考えであるかもしれないがさすがに数百億の被害が出る可能性が高い状態での運営はしないはずです。

現段階では、460億円の返済期日や取引所として継続して運営出来るかなどこれからの部分が多くはっきりとしたことは言えないが、返済が完了して再び腰を据えて運営という段階になったら、もう二度と今回のような事件が起こることがないように努めてほしい。

今回の事件で甘かったと指摘されるセキュリティ部分とは?

資産の管理はホットウォレットかコールドウォレットか。

顧客から預かっている仮想通貨の管理方法には2種類の方法があって、インターネットに繋がった状態で管理する方法(ホットウォレット)とインターネットから遮断して管理する方法(コールドウォレット)がある。

インターネットと繋がったまま管理する方法の方が通貨のやりとりを迅速に出来る為売買するのはホットウォレットの方が良いですが、ハッカー等にアクセスされやすいという危険性を含みます。

コールドウォレットの方が不正アクセスを受けにくいですが、通貨の売買をするのに時間がかかる為仮想通貨の取引所の管理方法には不向きです。

そこで仮想通貨取引所の大手の一角であるビットフライヤーは仮想通貨の80%をコールドウォレットに保管し、残りをホットウォレットで運用してるそうです。

全通貨の20%程度を取引のしやすいホットウォレットで運用し、残りの80%以上は安全面の高いコールドウォレットで保管してるということですね。

今回のコインチェックのNEM(XEM)の全てはホットウォレットで保管されていました。

その結果コインチェックで保管していたほぼ全てのNEM(XEM)が不正なアクセスにより流出してしましました。

今回流出したNEM(XEM)は日本円にして580億円相当なので、もし80%をコールドウォレットにで保管して流出を防げていたなら116億円相当の被害で済んだかもしれません。

116億円でも凄い額ですが、580億円と比べると雲泥の差です。

マルチシグに対応していたか。

マルチシグはマルチ・シグネチャの略でマルチは複数のという意味でシグネチャは署名という意味です。

署名はここでは鍵を意味し1つの鍵では開かずに複数の鍵を使用しないと取り扱いが出来ない状態にして保管するのがマルチシグです。

ハッカーがインターネットから侵入してきて複数の鍵を知るのは非常に困難で1つの鍵(シングルシグ)で保管するのとはセキュリティの強度が違います。

マルチシグのセキュリティの強いポイントで1つの鍵を知られた時点でそのハッカーのアクセスを禁じることが出来る点です。

1つの鍵を知ったとしてももう一つの鍵を探る暇もなくすぐにアクセス不可にすることでハッキングによる被害を防げます。

仮想通貨のセキュリティは取引所任せにするのではなく、自分で自分の資産を守るという意識が必要です

今回の事件はコインチェックに非が無かった訳ではありませんが、もっと自分たちで自分達の資産(今回の場合は仮想通貨)を守ることが出来ることが分かったことが一番勉強になったところ。

取引所が完璧にセキュリティをしてくれると期待せずに、自分で自分の仮想通貨はコールドウォレットで管理するようにするべきです。

具体的にはハードウェアウォレットというストレージで保管するかペーパーウォレットという方法があります。

どちらの方法もハッキング被害に遭う可能性が無くなります。

ハッカーに盗まれる可能性がある状態で自分の資産である仮想通貨を保管してはいけません。

過去の仮想通貨取引所のトラブルはどんなものがあったか?

マウントゴックス社のビットコイン消失事件。

仮想通貨のトラブルでいうと2014年に当時ビッチコイン取引の大手だったマウントゴックス社が470億円相当のビットコインを消失させた事件があった。

マウントゴックスのマルク・カルプレス社長はサイバー攻撃を受けて何者かに盗まれたと会見で言っていたが警察の捜査によりマウントゴックスのマルクカルプレス社長自らが不正操作でビットコインを盗んでいたことが発覚している。

この事件で当然マルクカルプレス社長は逮捕され、マウントゴックス社は経営破綻になり倒産している。

今回の件で影響を受けた著名人達。

藤崎マーケットのトキさん

藤崎マーケットのトキはたむらけんじさんに仮想通貨儲かるらしいよと勧められはじめて、はじめは1万円くらいからはじめたが、簡単に2倍3倍となったので最終的には貯金のほとんど全てをNEMにしていたらしい。

今回の事件で貯金のほぼ全てがなくなりましたと話題になっています。

出川哲郎さん

コインチェックのCMに出演していた出川哲郎さんにもツイッターやSNSで出川も悪いといった冗談でも今回の事件に直接関係のない出川さん対して酷いことを言うネット民も出てきています。

もちろんこれらの声に対してはCMに出演していただけで直接関係のない出川さんにそんなこというなと言った擁護の声が多数出ています。

まあこれに関しては言った方も出川さんは悪くないことを分かって冗談でいってるんでしょうけど事件が大きいだけに冗談が冗談として受け取られない部分もあるのかと思います。

たむらけんじさん

藤崎マーケットのトキさんに仮想通貨を勧めたたむらけんじさんは他の芸人仲間にも「仮想通貨の世界がスタンダードになる時代がもうそんなに遠くなく来るかもしれませんよっていうことは言ってました」と勧めていたそう。

ダウンタウンの松本さんもたむらけんじさんに勧められて仮想通貨を買うようになったそう。

今回のコインチェックのNEM流出事件でたむらけんじさんに勧められて仮想通貨をはじめた芸人仲間からクレームをよく言われるそうですw

まあみんな便乗してネタでクレームを入れているだけで本気でクレームしてる人はいないと思いますが。

たむらけんじさんは仮想通貨を人に勧めるときに必ず言うのが、「僕が絶対に言うてることは、まず絶対に余裕のお金でやってくださいって」と釈明していました。

たしかに投資は余剰資金で行うのが大切です。

リスクの無い金融商品なんて無いですからね。

NEM財団法人のコメント。

今回の件に対してNEM財団法人がコメントしています。

コメントの内容を簡潔に言うと、今回コインチェックがハックされたことは残念である。

しかし我々はコインチェックに対して出来うる限りのサポートをしていく。

盗まれたNEMに関しては追跡出来る。

盗まれたNEMがある口座からNEMが振り込まれた口座にフラグも立て換金出来ないようにする。

それはもう世界中の取引所と情報を共有している。

NEMの不正利用は不可能?

要するに今回盗んだNEMを利用したり換金したりすることは不可能ということである。

盗んだNEMがある口座は特定されるのでその口座を使ってNEMの使用をしたり換金しようとしたらすぐにわかりりようさせないように仮想通貨取引所に情報を共有したということだ。

今回の流出したNEMについてはコインチェックが全額補償することが決定。

今回流出したNEMの保有者26万人に対して、総額460億円の日本円で補償すると発表した。

流出があった当時は580億円だったがその後値下がりし460億円のなったということ。

NEMの時価の基準は国内で最もNEMの取引が多い仮想通貨取引所ZaifのNEM価格を参考にしたとのこと。

でもちょっとここに疑問なんですけど、これって流出があった当初の580億円で補償するべきではないのかな。

だって流出後には顧客はNEMの売買が出来ない状況だったんだから下がる前に売ることも出来なかったんですよ。

そもそもNEMが一時的に時価が下がったのはコインチェックのNEM流出が大きな要因なんだから自社が原因で下げといて下がった金額しか保証しないってちょっと違う気がするんですけど、、

コインチェックが金融庁から処罰される。

コインチェックの発表によると、金融庁からの業務改善命令の内容は以下の通りです。

以下、引用。

Ⅰ.業務改善命令の内容

1. 本事案の事実関係及び原因の究明

2. 顧客への適切な対応

3. システムリスク管理態勢にかかる経営管理態勢の強化及び責任の所在の明確化

4. 実効性あるシステムリスク管理態勢の構築及び再発防止策の策定等

5. 上記1から4までについて、平成30年2月13日(火)までに、書面で報告すること。

引用元。

当社に対する金融庁の業務改善命令について | コインチェック株式会社

 

今回の金融庁からの業務改善命令の中に顧客への適切な対応というのがあるので、金融庁としては仮想通貨取引所がハッキング等により通貨を流出した場合は取引所の管理不備として流出で失った資産を顧客に補償するのが望ましい対応ということを暗に言っていますね。

この辺は各取引所の利用役儀にでも記載してほしいところです。

ハッキング等によって通貨をの流出等で損害があった場合は当取引所が全て責任を取り全額補償するものとする。

こんな自社にとって都合の悪い約議見たこと無いですねw

金融庁から全ての仮想通貨取引所に対して

今回のコインチェックのNEM(XEM)の流出を受けて、金融庁は26日に国内の仮想通貨の全取引所に対して顧客資産の管理状況を報告するように要請していました。

管理手法や不正アクセス検知方法等を確認し、問題があれば改善を促すとのこと。

コインチェック以外の取引所も今回のような事件を起こす可能性があるとの判断です。

今後の仮想通貨業界への期待。

今回金融庁からも指導が入り、今後さらに法律の整備等も進み、誰でも安心して仮想通貨の取引が出来るよう発展することを望みます。