まちの専門家をさがせるWebガイド マイベストプロ東京
金子清隆

ITの有効活用・コスト見直しに強いコンサルタント

金子清隆(かねこきよたか)

デルタエッジコンサルタント株式会社

お電話での
お問い合わせ
03-6869-8336

コラム

仮想通貨流出事件と対応策

リスク管理

2018年2月2日 / 2018年2月6日更新

先日、仮想通貨取引所大手のコインチェック株式会社は顧客から預かっていた仮想通貨NEM、約 580億円分(5億2300万XEM)が不正アクセスによって流出したと公表しました。2014年にマウントゴックスが消失したビットコインが約470億円分と言われているので、仮想通貨の流出事件としては、過去最大の被害金額となっています。このコラムをお読みになっている方々の中にも、もしかしたら実際に被害に遭われた方がいらっしゃるかもしれません。また、これから仮想通貨に投資しようと考えている方は、「やめた方がいいかな」と思われるでしょう。
仮想通貨への投資はリスクがあるものです。しかし、今回の事件の表面的な部分だけを聞いただけでは、そのリスクを見誤る可能性があります。現時点で仮想通貨を購入されている方も、今後購入されている方も、まずは今回の事件について何が悪かったのかをきちんと認識した上で、今後どうするか判断する必要があります。
今回は現時点で公開されている情報に基づき、この流出事件の概要と原因を確認した上で、仮想通貨を取引する際の注意すべき点を検討します。

事件の経緯

コインチェック社が公開したプレスリリースによる今回の事件の経緯、及び対応については以下の通りです。
1月26日 00:02頃 : 仮想通貨NEMの外部流出発生
1月26日 11:25頃 : コインチェック社にて異常を検知
1月26日 12:07頃 : NEMの入金一時停止について告知
1月26日 12:38頃 : NEMの売買一時停止について告知
1月26日 12:52頃 : NEMの出金一時停止について告知
1月26日 16:33頃 : JPYを含め、全ての取扱通貨の出金一時停止について告知
1月26日 17:23頃 : BTC以外(オルトコイン)の売買の一時停止について告知
1月26日 18:50頃 : クレジットカード、ペイジー、コンビニ入金一時停止について告知

報道等によると、深夜0時過ぎにNEMの流出が始まってからおよそ30分で終了しているとされていることから、流出発生後半日近くが経過して検知したところで全ての対応が後手に回ってしまっています。
今回の事件でNEMを喪失した被害者は約26万人と言われており、コインチェック社はこの被害者に対して日本円で返金する予定と発表しました。しかし、上記のコインチェック社の対応を見ると、NEM以外のほとんどすべての通貨について出金、売買を停止していることから、コインチェック社に資金を預けているすべての利用者に影響が及んでいると考えられます。

仮想通貨のリスクではなく、コインチェック社のリスク認識に起因

今回の流出事件の原因については報道等で色々と伝えられているので、簡単にまとめます。
まず認識すべきことは、「仮想通貨NEMが危ない」「そもそも仮想通貨が危険だ」ということではなく、
「コインチェック社のセキュリティが危険なレベル」
ということです。
そもそも、仮想通貨は国家が保証して中央銀行が管理する法定通貨とは異なり、テクノロジーによって担保された目には見えない通貨です。それ故、国家に束縛されない自由を確保する一方で、適切にセキュリティ対策を行わないと簡単に盗まれたりするリスクがあります。今回の流出事件では、仮想通貨取引所として対応すべき以下の対策が行われていなかったことが問題視されています。

(1)NEMを「コールドウォレット」で管理していない
(2)NEMを「マルチシグ対応」していない、かつ秘密鍵管理がずさんだったと思慮

(1)について、ウォレットとは、仮想通貨における銀行口座という位置づけになります。インターネットとの接続状況に応じて、オンライン上に存在する「ホットウォレット」と、インターネット接続していないオフライン環境で管理する「コールドウォレット」に分類できます。一般に、仮想通貨取引所は外部からの不正アクセスが仮に成功しても被害を受けないよう、ハッカーに手の届かない「コールドウォレット」で仮想通貨を管理すると考えられています。しかし、コインチェック社ではインターネットに接続できる状態の「ホットウォレット」で管理していたため、外部からの不正アクセスに成功した時点で顧客の保有するウォレットにアクセス可能となってしまいました。

(2)について、「マルチシグ」とは、ウォレットを管理するために顧客が持つ「秘密鍵」を複数に分けることで、単一の秘密鍵では中身を取り出せない仕組みのことです。「秘密鍵」と言っても分かりづらいと思いますが、銀行口座で言えば印鑑だと考えればよろしいと思います。仮想通貨NEMはこの「マルチシグ」に対応しており、かつNEM財団も「マルチシグ」に対応することを推奨していました。しかし、コインチェック社ではこの「秘密鍵」が単一であり、恐らくは不正アクセスしたら簡単にわかる場所に保管していたため、すべての顧客のウォレットに簡単にアクセスし、中身を抜き取って外部に送信されたと考えられます。

上記が報道等で指摘されている問題点ですが、もう一つ、以下の問題点を追加したいと思います。
(3)コインチェック社のセキュリティに対する考えが甘すぎた

仮想通貨は誰もがアクセス可能なインターネット上に存在するため、保有者のみをアクセス可能とするセキュリティ対策が必須です。しかし、コインチェック社ではそのセキュリティ対策に対する認識が甘く、優先度も低い、または無かったという状況だと考えられます。NEMの流出が始まってから半日近くも気が付かなかった、ということは、セキュリティ監視がほとんど(恐らくは全く)されていなかったことを示しています。たまたま午前中の業務でNEMの状況を見たら「おかしい」と気付き、いろいろと調べた結果、11時半ころに流出したことが分かった、ということだと考えられます。不正アクセスが行われる場合、すんなり内部に入れるわけではなく、様々な形でアタックされた結果アクセスされるので、そのアタックの最中に異常を検知して対策が行われていれば内部に入られることもなかったはずです。また、外部からの不正アクセスではなく、内部犯行の可能性があるのですが、その場合でも、秘密鍵へのアクセスを強固にし、ログ保管等の対策を行うことで、内部の者でも簡単に手を出せなくなりますつまり、「防御」する対策も甘く、異常な行為が行われていることを「監視」することも行われていなかった状況だったと考えられます。

また、記者会見での発言もセキュリティに対する認識の甘さを提示しています。コールドウォレットに関しては、
「コールドウォレットでの管理はシステム的に難易度が高く、対応できていなかった。技術的な難しさと人材不足が原因。」
マルチシグの対応については、
「マルチシグの対応予定はあったが、他に優先すべき事象があり、いつという見通しがついていなかった。」
全般的なセキュリティ認識については
「(セキュリティが他社に比べて甘かったという)認識はない。セキュリティは高いという認識だ」

以上の様な発言を見ると、コインチェック社の経営層の考え方として、経営課題としてのセキュリティ対策の優先度は低いことが伺えます。事実、セキュリティ対策は利益を生まないものであるため、できれば投資を控えたいと考える経営層も存在します。また、不正アクセスなんて起こるわけない、と根拠のない自信のもと、セキュリティ投資をするくらいなら顧客獲得に向けたプロモーションをすべきだと考える会社もあります。セキュリティ対策を行うことで、業務遂行上の効率性やパフォーマンスが損なわれる場合もあります。コールドウォレットやマルチシグはセキュリティを高める一方で、業務上の操作は煩雑になり、個々の処理に時間が掛かるようになります。しかし、ネット企業で、しかも顧客の財産を預かる会社として、本来ならば事業を始める前に実施すべきことを「難易度が高い」「他の施策の優先度が高い」という理由で後回しにしてサービス提供することは、利益追求に偏重し過ぎでは?と感じずにいられません。

自己の保有する仮想通貨の安全性を高めるために

以上の様な状況を踏まえて、仮想通貨を保有する方々はどのような対策を行うべきなのでしょうか。方向性は2つあると考えられます。
①安全な取引所を選択する
②自己管理を行う

①について、多くの方々は安全性よりも利便性などで取引所を選択していないでしょうか。例えば、「有名だから」「取引量が大きいから」「手数料が安いから」...
しかし、まさにこの条件が、流出事件前のコインチェック社に当てはまるのです。以下の観点で確認も追加してみてはいかがでしょうか。

・仮想通貨交換業者として金融庁に登録されている取引所
資金決済法の改正により、仮想通貨取引所は金融庁への登録が必要となりました。そのため、登録業者であれば金融庁の審査が行われたと考えることができます。(恐らくは文書ベースでの確認)また、法改正以前から営業する取引所は審査中でも「みなし登録事業者」として、登録前でも営業を継続されています。(ちなみにコインチェック社も「みなし登録事業者」です)

・大きな会社の子会社である取引所
昨今、様々な企業の不祥事が相次ぎ、「大企業だから」という時代ではなくなっています。しかし、それなりの規模と歴史のある企業であれば、グループ全体としてセキュリティに対する考え方や対策内容、経験値等にアドバンテージがあると考えることもできます。

・複数の取引所の活用
今回の流出事件では、自己資産の大半をコインチェック社に預けてしまい、成り行きを見守るしかない被害者も多いようです。そうならないためにも、幾つかの取引所に資産を分散させることも有効な手段の一つだと考えます。

②について、信頼できる(と考えられる)取引所を使っていても、今回の様に取引所自体がハッキングされれば預けた仮想通貨が喪失される可能性もあります。売買で収益を求めるのではなく、長期保存を目的とする場合はハードウェアウォレットを用意し、こちらに保管するというやり方もあります。必要な時のみPCに接続し、それ以外は取り外すことで、ハッキングされることもありません。

仮想通貨についてはまだ歴史が浅く、かつ国家が保証する法定通貨の枠外にあるため、金融機関で特殊詐欺に遭った場合のような保護制度が整備されていません。つまり、自分の保有する仮想通貨は自分で守るしかありません。その助けになればと幸いです。

また、この事件を他山の石として、自社のセキュリティ対策を見直すこともよろしいのではないでしょうか。

上記に関して、ご関心、ご相談等ございましたら、お気軽にお問い合わせください。
お問い合わせフォームは、こちらです。

デルタエッジコンサルタントでは、情報セキュリティに関して以下の様なサービスを提供しております。
・セキュリティ規程等の策定、改訂
・セキュリティ環境の調査と改善提案
・社内IT環境のセキュリティ強化支援
・従業員に対するセキュリティ教育
・情報セキュリティ対策のマネジメント化支援

詳細は、弊社ホームページの「情報セキュリティ対策支援」を参照ください。

/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_
ITを有効活用し、課題を解決します
デルタエッジコンサルタント株式会社
金子 清隆
URL  http://www.deltaedge.co.jp
/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_

この記事を書いたプロ

金子清隆

金子清隆(かねこきよたか)

金子清隆プロのその他のコンテンツ

Share

金子清隆プロへの
お問い合わせ

マイベストプロを見た
と言うとスムーズです

お電話での
お問い合わせ
03-6869-8336

勧誘を目的とした営業行為の上記電話番号によるお問合せはお断りしております。

金子清隆

デルタエッジコンサルタント株式会社

担当金子清隆(かねこきよたか)

地図・アクセス

金子清隆のソーシャルメディア

facebook
Facebook

金子清隆のソーシャルメディア

facebook
Facebook

金子清隆プロのその他のコンテンツ