- 会員限定
- 2018/01/30 掲載
コインチェック問題を整理 返金は現実的か?「あり得ない」コンプライアンス実態
1月26日、仮想通貨の取引所であるコインチェックがサイバー攻撃を受け、多額の仮想通貨「NEM(XEM)」が流出し、サービス(入金・出金)を止めているという情報が駆け巡った。その後の展開は早かった。同日夜には緊急記者会見が設定され、580億円の仮想通貨の流出、翌日の返金発表、金融庁による処分の検討など、ネットニュースでは速報が流れ、NHKや一般紙も事件を報じている。本稿ではセキュリティ視点で、コインチェック問題を整理して考えてみる。
(©Wit - Fotolia)
事件の概要を整理する
連日なんらかの媒体が関連記事をあげて、多くの専門家が解説記事を寄せている。ここで改めて詳細を説明するまでもないが、29日時点でのポイントだけ以下に整理する。・1月26日午前3時ごろ、コインチェックのXEM(NEMが管理する仮想通貨)という仮想通貨の不審な送金が始まる
・同日午前11時ごろ、コインチェックが大量の送金を確認
・同日正午すぎから取引所の入金、出金処理などを止め始め、SNSなどで情報が流れ始める
・著名ブロガー・投資家が「ヤフー個人」にコインチェックが資金流出させたことを投稿
・同日夜、コインチェックオフィス周辺に報道陣や利用者が集まりだす
・同日深夜、コインチェックが緊急記者会見を行う
・XEMの被害額は事件当時の時価で580億円ほど
・XEMはホットウォレットと呼ばれるオンライン口座で管理
・サイバー攻撃かどうかの確認はできてない
・NEM財団が推奨するマルチシグ(鍵の分散管理)は対応せず
・NEM財団は、サイバー攻撃でコインチェックのコインが大量の送金されたと認める
・NEM財団は、問題はコインチェックにありとする
・セキュリティ対策は考えていたが追いついていなかったと釈明(記者会見)
・利用者への返金等は株主と協議して順次発表する(記者会見)
・被害者はおよそ26万人。損害は時価換算で総額480億円ほどを返す予定
・金融庁がコインチェックを事情聴取、2月13日までに書面提出などを求める業務改善命令を発出
セキュリティ対策は十分だったか?
今回の問題は、完全な確認はとれていないが、サイバー攻撃による被害である可能性が高いとされる。この視点で、コインチェック問題を考えてみる。外部からか内部からか、どんな脆弱性が狙われたかは明らかになっていないが、記者会見では「マルチシグに対応していなかった」といい、送金処理のための鍵が漏えいしたと思われる。ここでいうマルチシグ(マルチシグネチャ)とは、秘密鍵を複数用意して鍵の分散管理を行うことで、仮に1つの秘密鍵が漏えいしても資産を移動できないよう対策することだ。
マルチシグ非対応、この点だけをもってしても、コインチェック側のセキュリティ対策が十分だったかは疑問が残る。記者会見では「セキュリティは低くない。マルチシグ対応を含み、取り組んでいたが対策、人員が追いついていなかった(大塚取締役)」と述べているが、ホットウォレットでの運用、マルチシグ非対応などは結果として十分な対応だったとは言いにくい。
ブロックチェーンの安全性と仮想通貨取引所の安全性は「別物」
コインチェック側は、不審なメールの着信、不審なプログラムの存在は確認できていない(精査中)とするが、鍵が漏れていることから、標的型攻撃などによるマルウェアの侵入はあったかもしれない。現状の情報のみでの判断はできないが、内部犯行という可能性も残る。関連記事
また、コインチェックのサイトを見ると、セキュリティ対策についてビットコインの安全性、NEM等仮想通貨の安全性、さらに利用者のユーザーアカウントの保護(ハッシュ化や多重認証など)について言及がある。しかし、よく読むと、ブロックチェーンの安全性や各仮想通貨の安全性を説明しているだけで、取引所のシステムが安全かどうかの説明になっていない。ユーザーアカウントの保護には力を入れていたようだが、肝心の口座保護やシステム全体のセキュリティ(管理者権限や鍵の管理)が甘かった可能性がある。
ちなみにブロックチェーンの暗号化技術は高度で、非常にセキュリティが高い。チェーンに記録された取引情報(金額、日時、取引相手)の改ざんは相当にハードルが高い。だからこそ貨幣として流通できると言われるわけだが、それを扱う取引所や金融機関のシステムの強度や脆弱性は別だ。
【次ページ】あり得ないコンプライアンス実態、返金は現実的か? 誰が得をしたのか?
関連コンテンツ
関連タグ
タグをフォローすると最新情報が表示されます
関連コンテンツ
あなたの投稿
PR
PR
PR
