仮想通貨取引所コインチェックが大変なことになっています。2018年の日本経済新聞の記事によると
仮想通貨取引所大手のコインチェック(東京・渋谷)は26日、利用者から預かっている約580億円分の仮想通貨が外部からの不正アクセスにより流出したと発表した。2014年に日本のビットコイン取引所だった「マウントゴックス」が約470億円分を消失させて以来、過去最大の仮想通貨の流出となる。
とのことです。2014年に不正アクセスにあった「マウントゴックス」の時を超える過去最大580億円の仮想通貨「NEM(ネム・XEM)」の流出。
現在は、NEMを含めた全ての「入金・売買・出金」が停止されているようです。私も、僅かながらコインチェックに資産をおいているので気になるところです。
(もっと大きな資産を預けていた方は、気が気ではないのではないでしょうか。実際、発表後に東京・渋谷区のコインチェック本社に多くの人が詰めかけ大混乱になったそうです。)
今回は、コインチェックの仮想通貨流出と、その他の仮想通貨取引所を含めた今後の仮想通貨取引について考えてみようと思います。
コインチェックの仮想通貨流出はどうして起こったのか?
では、今回のコインチェックの仮想通貨流出はどうして起こったのでしょう。
1月26日23時30分に行われた会見では、今回の不正送金の経緯は次の通りのようです。
11時25分:NEMの残高が異常に減っていることを検知
11時58分:NEMの入出送金を一時停止
12時7分:NEMの入金一時停止について告知
12時38分:NEMの売買一時停止について告知
12時52分:NEMの出金一時停止について告知
16時33分:日本円を含むすべての通貨の出金を一時停止について告知
17時23分:ビットコイン以外の仮想通貨の売買、出金を一時停止・告知
18時50分:クレジットカード、ペイジー、コンビニ入金の一時停止について告知
実際に、2018年1月26日 12:36にコインチェックから「【重要】NEMの入金について」という件名で、NEMの入金について制限することを伝えるメールが配信されています。
NEMの流出の原因は、現時点では不明とのことですが、コインチェックでも取り扱っている代表的な暗号通貨ビットコイン(BTC)や、イーサリウム(ETH)ではなくNEMが被害にあったのには明確な理由がありそうです。
それは、管理方法の違いです。
NEMがホットウォレット(ネットワークに接続されたウォレット。手軽に仮想通貨を取り出しやすい一方で、今回のように不正な送金をされる可能性がある)で管理されていたのに対し、ビットコイン(BTC)やイーサリウム(ETH)はコールドウォレット(ネットワークに接続されていない環境に秘密鍵を保存したウォレット)で管理されていたそうです。
また、NEMの管理では国際団体から推奨されていた安全性の高い「マルチシグ」と呼ぶセキュリティー技術を導入していなかったこともわかっています。(ビットコイン(BTC)ではマルチシグを実装していたそうです。)
マルチシグ(マルチ・シグネチャ)
仮想通貨の秘密鍵を分割し複数管理することでセキュリティを高める技術のこと。
通常の暗号通貨アドレスとは違い、マルチシグのアドレスは暗号通貨を送付するために複数の署名が必要になります。マルチシグを採用することで最重要データであるプライベートキーが1つ漏洩しても、別のキーがなければ暗号通貨の送付ができなくなるため高セキュリティのウォレットが構築できます。
攻撃者が2つ以上の別々の設計のプラットフォームに同時に侵入することは非常に困難になります。またマスターキーをひとつ持たせ、それをネットワークに接続していない安全な場所に保管することでセキュリティを高めることもできます。
マルチシグの未実装、ホットウォレットでの管理という2つの点からも、コインチェックのセキュリティは明らかに甘かったといえそうです。
ビットコイン(BTC)はマルチシグを実装しコールドウォレットで管理していたということを考えても、セキュリティを後回しにしていたのは明らかです。
コインチェック側も「セキュリティは万全だった」といいつつも、マルチシグの導入については「認識はしており、やらねばならないとも思っていた」と弁明しており、利用者保護が後回しになっていたことが伺えます。
また、コインチェックは改正資金決済法に基づく金融庁への登録を申請中の「みなし業者」だったことも分かっています。国内大手取引所の一つで「預かり資産は数千億円規模」といわれるコインチェックでもこのような状態だったというのは、大切な資産を預ける側からしたらとても恐ろしいことだと思います。
どうなる?今後の仮想通貨取引
国内大手取引所のコインチェックでさえ、ずさんなセキュリティ対策により約580億円もの巨大な損失を被ってしまいました。今後の仮想通貨取引はどのようになっていくのでしょうか?
まず、コインチェックの今後について考えてみたいと思います。
NEM財団の支援で助かる
今回のコインチェックのNEM流出に当たり、仮想通貨「NEM」を推進するNEM.io財団の代表、ロン・ウォン氏(Lon Wong)が1月26日20時27分に、Twitterに次のようにツィードしています。
「It’s unfortunate that coincheck got hacked. But we are doing everything we can to help.」(コインチェックがハッキングされたのは大変不幸なことです。我々は手助けできるように最大限努めています。)」
その後、NEM.io財団が「流出資金の自動追跡プログラムの開発を開始し24~48時間以内には稼働を開始できると述べた」との情報も出ている様です。
Inside NEM の投稿によると
プログラムは流出資金にタグを付けて追跡可能とするもので、財団は既に各取引所に対して、持ち込まれた資金に付けられたタグをどのように判別するか説明を行ったとのこと。一方で、非集権的なブロックチェーン技術をベースとしたものであることから、財団として資金を凍結することはできず、各取引所が持ち込まれた資金を判別して取引を差し止めるという形になります。
とのこと。上手く運べば今回流出したNEMが現金化されるのを差し止めることができるかもしれません。NEM.io財団としても、上手くいけば仮想通貨NEMの信頼性を高めることにもなるので、本格的に取り組んでいると考えられます。
この取り組みの結果によっては、コインチェックが助かる可能性もわずかながらあるかもしれません。
コインチェックが倒産する
コインチェックは「預かり資産は数千億円規模」ともいわれていますが、資本金9200万円、わずか1億円でも赤字になってしまうような新興企業です。
これでは、今回の約580億円もの損失を保証するのは難しいと思います。
コインチェックには東京海上日動と連携し、二段階認証を設定済みの顧客が不正ログイン被害を受けた場合に最大100万円まで損失を補償する「なりすまし」補償も行っていますが、これも今回のようにコインチェック本体から不正流出した場合は適用外になると思います。
1月26日深夜の会見でコインチェックの和田晃一良社長も、最悪のケースとして「顧客の資産を毀損し、返せないこと」を挙げており、コインチェックが倒産し預けた資産が返ってこない可能性も十分にあると思います。
コインチェック以外の仮想通貨取引所はどうだろう?
こうなると、気になるのはコインチェック以外の仮想通貨取引所です。
日本では過去に約470億円という巨大損失を出したマウントゴックスの例がありながらも、今回、再びその時の被害額を超える約580億円もの流出事件が発生してしまいました。
仮想通貨の不正な資金流出の主な事例
2014年 マウントゴックス(日本) 約470億円
2015年 ビットスタンプ(スロベニア) 約5億円
2016年 ビットフィネックス(香港) 約65億円
2016年 ザ・ダオ(独) 約65億円
2017年 ナイスハッシュ(スロベニア) 約70億円
2017年 パリティーウォレット(英) 約30億円
2018年 コインチェック(日本) 約580億円
こうしてみると日本の仮想通貨取引所の被害が飛びぬけています。国内の取引所だから安心なんてことはなく、むしろ国内の取引所だから不安になるレベルです。
実際問題として、コインチェックが狙われたのと同じ時期に、他の取引所も狙われたのではないかと思います。
例えば、国内大手仮想通貨取引所のビットフライヤーからも、1月23日・24日・25日の3日連続で「【bitFlyer】重要なお知らせ/Important Notice」という件名のメールが届いていました。
その内容は、
データベースの処理速度低下に起因して当社サービスの一部にアクセスしにくい状態が続いていた。
というもの。もしかしたらその要因はコインチェックと同じようなハッキングだったのかもしれません。(あくまで憶測です)
私としては、ユーザーインターフェース面ではコインチェックは他の仮想通貨取引所に比べ使いやすいという印象があったのですが、やはり大切な資産を管理する上で一番大切なのはやはりセキュリティだと改めて思いました。
仮想通貨取引所を選ぶ際は、もっとセキュリティ対策について真剣に調べる必要があると改めて実感しました。
自分でできる仮想通貨流出リスク対策
では、仮想通貨の流出リスクを回避するにはどのような方法があるでしょう?
いくら注意しても仮想通貨取引所のセキュリティが万全かどうかを完全に判断することはできないと思います。
それならば、仮想通貨取引所をウォレット(仮想通貨の預け先)として利用すること自体をリスク要因として考える必要があると思います。大量の資金が集まる仮想通貨取引所が、ハッキング先として狙われるリスクが高いのは当たり前のこと。ならは、仮想通貨取引所は「あくまで仮想通貨を売買する場所」として利用し、仮想通貨のウォレット(預け先)は別に設けるのが良いと思います。
仮想通貨のウォレットには仮想通貨のウォレット以外にも、自分のパソコンやスマートフォンにソフトウエアをダウンロードして使う「ソフトウェアウォレット」や、紙に印刷して管理する「ペーパーウォレット」、専用の機器を利用して管理する「ハードウェアウォレット」があります。
特に、保管時はインターネット環境につながずに管理する「ハードウェアウォレット」なら、外部から誰かにハッキングされることはまずありません。
億り人(おくりびと)となった方々は、仮想通貨取引所とは別のウォレットに資産を移すのが良いかもしれません。
1点、注意点。
ウォレットはアクセスする秘密鍵やパスフレーズを紛失したら、もうおしまいです。暗号通貨の開発者でも取り出すことはできません。
誰も関与せずに自分だけで管理しているため、完全に自己責任になります。こういうリスクが不安な人は、仮想通貨取引所をはじめとしたオンラインのウォレットを利用するという選択肢もあると思います。
今回は、コインチェックの仮想通貨流出と、その他の仮想通貨取引所を含めた今後の仮想通貨取引について考えてみました。
コメント