もくじ(コンテンツ)








コインチェック不正送金事件の概要

2018年1月26日に起きた580億円相当のNEM不正送金事件の原因はコインチェック社の顧客資産管理方法にありました。

顧客のNEMほほとんどがホットウォレット(オンライン上)で管理されていたことで、外部からのハッキングによって資産を盗まれたというのが事の発端です。

この事実により、金融庁監視体制、その後の仮想通貨市場の価格変動、法整備など様々なことに影響を及ぼしていきます。


ハッカー(犯人)の2つの狙い

取引所から多額の資産を盗み出すという目的の他に、ハッカーにはもう一つの狙いがあったと考えられています。

NEMchart

コインチェックの不正送金発生後2日間のNEMチャートは、ちょうど鍋の断面図のような形を記録しました。

不正送金後の価格推移は以下のように動いているのがわかります。

    1:不正送金の事件によって、100円付近を推移していたNEMの価格が80円まで下がる
    2:80円まで下がるも28日午前中には115円代まで超回復する
    3:115円到達後、相場は売りが強くなり下落相場に転換する

これらの価格変動が不正送金の犯人による価格操作であり、この価格変動を利用した二重の資産搾取の可能性が高いとみられています。

それは、1月28日から売却された量がかなり多かったという事実があります。

NEMの1日(24時間)の取引量はおおよそ6,000万ドル程度ですが、80円に下がってからの取引量は1億7,000〜2億4,000万ドルまで上昇しました。普段の取引量の3〜4倍程度の取引がされているのです。

明らかに不正送金後にNEM市場に参入してることがわかるのですが、これが真の犯人の狙いだということです。

不正送金によって盗難した5億XEMを他の仮想通貨に変えるなどして資金を手にいれることもできるのですが、犯人はそれ以外にも不正送金によってつくられた相場で100億円近い利益を得ることが可能だったということになります。


NEMシステムへの懸念は間違い

仮想通貨や取引所のリスクを十分に把握していない人にとって、コインチェックで580億円相当の仮想通貨NEMの不正送金の原因がNEMにあるように考えた人もいるかもしれません。

実際はNEMではなく、コインチェックの顧客資産管理方法取引所の本人確認規制がないことが問題を悪化させています。


不正送金があった当時から現在でも、NEMが世界で最も取引されているのは日本の仮想通貨取引所Zaif(ザイフ)です。

資産総額はコインチェック以上にあったことは確実ですが、Zaifでの被害は確認されていません。

同じ日本の取引所で同じ通貨を扱っていながら、なぜコインチェックだけが不正送金にあったかというのは、コインチェック社の資産の管理方法(ホットウォレット)に問題があったからです。


また不正送金があったにもかからず犯人の特定が難しい理由は、仮想通貨取引所のシステムにあります。

日本の仮想通貨取引所では、取引所のサービスを利用する際に必ず本人証明ができる書類(免許証、保険証)などの提出が必須となっており、その他の個人情報の入力も必須となっています。

そのため、万が一犯罪を起こしたり巻き込まれたりした場合に、本人を特定することが可能です。

しかし、海外の仮想通貨取引所では本人確認をせずに取引所サービスを利用できるところが多数存在します。

そのため、仮想通貨を盗んでドルやユーロで出金したとしてもその犯人が特定できないという現象が起こってしまいます。

世界中に1社でも本人確認がない取引所がある限り、マネーロンダリングという犯罪を止めることができません。


ちなみにNEMは資金移動を追跡するという機能が備わっています。これは他の通貨にはない機能です。

他の通貨よりも犯罪捜査に長けた通貨でさえマネーロンダリングの温床になってしまうということです。


コインチェック顧客への対応

コインチェックは不正送金発覚後の対応をまとめると以下のようになります。

コインチェックの対応内容
    2018年1月26日:不正送金発覚、サービス停止、記者会見にて発表
    2018年1月29日:業務改善命令を受ける
    2018年2月13日:業務改善命令報告書の提出、日本円出金再開を記者会見にて発表
    2018年3月8日:2回目の業務改善命令を受ける、記者会見にて発表
    2018年3月12日:NEMの補償実施
    2018年3月22日:2回目位の業務改善命令報告書提出、LISKとFCTの出金、売却再開
    2018年4月6日:マネックスグループの完全子会社化を記者会見にて発表
    2018年4月6日:XMRの出金、売却再開
    2018年6月7日:XEMの出金、売却再開
    2018年6月18日:匿名系仮想通貨の廃止


2018年2月13日の記者会見まとめ

金融庁から業務改善命令を受けたコインチェックが2月13日付でコインチェック公式サイトにて、金融庁に報告書を提出した事を発表し、記者会見を行いました。

業務改善命令の報告については、記者会見と同日に公式サイトでも公開されました。

業務改善命令に係る報告書提出のご報告

本日、コインチェック株式会社は、このほど発生した不正アクセスによる仮想通貨NEMの不正送金に関連して金融庁より受けております業務改善命令に係る報告書を提出いたしましたことをご報告いたします。

報告内容は、業務改善命令において指摘されておりました、(1)本事案の事実関係及び原因の究明 、(2)顧客への適切な対応、(3)システム管理態勢にかかる経営管理態勢の強化及び責任の所在の明確化、(4)実効性あるシステムリスク管理態勢の構築及び再発防止策の策定、などについてとなります。

弊社といたしましては、引き続き着実に改善策を実施してまいります。また、1日も早く補償金のお支払いやお預かりしている仮想通貨の送金をすることができるようシステムの安全性の確認を進めております。

改めまして、お客様をはじめとする関係者の皆様に、多大なご迷惑、ご心配をおかけしましたことを心よりお詫び申し上げます。今後、策定する改善策を着実に実施することにより、お客様の信頼回復に向け、最善の努力をしてまいります。

引用元:コインチェック公式プレス


記者会見は夜20時から実施しましたが、発表前はこんなにも人が待機中していました。

記者会見にて大塚氏より発表された内容は以下の通りです。

記者会見でコインチェック大塚氏より発表された内容
  • 業務改善内容については、今は報告できない。
  • 事業は継続していく予定。
  • 2月13日付で出金開始し、401億円の出金依頼については既に対応済み。
  • 今後の出金依頼分も順次対応予定。
  • NEMの補償時期は、ある程度予測はできているものの正式決定まで発表は控える。
  • ビットコイン以外の仮想通貨は、外部の会社とともにセキュリティ問題をクリアしてから再開予定。
  • 現状で匿名系通貨等の取り扱い銘柄を減らす考えはない。
  • NEM不正送金の補償金については、顧客資産とは別に自己資産として既に現金の用意がある。
  • 顧客からの損害賠償請求はまだ確認できていない。

今回はフジテレビが記者会見の場所調整を行ったため、1番初めに質問が始まりました。

記者の質問は業務改善内容についての質問が殺到し、大塚氏が何度も「業務改善報告の内容についてはこの場では発表できない」と答えている場面が多々ありました。

実際の映像は以下のYoutubeにて映像が残っています。


2018年3月8日の記者会見まとめ

2018年3月8日コインチェックが実施した記者会見では、以下の3つについて発表されました。

  • NEM不正送金事件の発生原因
  • 実施したセキュリティ対策
  • 今後の実施内容

それぞれの項目を以下にまとめました。

NEM不正送金事件の発生原因
  • 複数の従業員にウィルス感染(マルウェア)メールが送られていた。
  • 複数台のPCがウィルスに感染していた。
  • 観戦後、ネットワークに侵入しNEMの秘密鍵を盗まれ不正送金に至った。
  • 発生原因の調査は金融セキュリティ企業5社が協力した。

実施したセキュリティ対策
  • 今まで使っていたPC端末、サーバは処分し、すべて新しい端末とサーバに切り替え済み。
  • 外部企業にシステムのモニタリングを委託開始した。
  • すべての通貨に関して、コールドウォレットで管理する体制ができている。
  • シニアの責任者とセキュリティへの知見が社内人員および、外部の人員とで構成されたCISO室を新設し、既に取締役会での議決も終わり稼動中。

今後の実施内容
  • NEM補償のスケジュールは、来週から順次対応していく方針、詳細はHPで公開予定。
  • 経営体制については、本日金融庁の指摘を受け、これから検討中。
  • NEM以外の取引停止された仮想通貨に対して補償の考えはない。訴訟があれば弁護士から回答する。

1時間以上におよぶ記者会見の内容がYoutubeにも上がっています。


コインチェックがNENを補填する理由

コインチェックのプレスにて、不正送金にあったNEMの対応方針が以下のように発表されました。

1月26日に不正送金されたNEMの補償について
    総額 : 5億2300万XEM
    保有者数:約26万人
    補償方法:NEMの保有者全員に、日本円でコインチェックウォレットに返金いたします。
    算出方法:NEMの取扱高が国内外含め最も多いテックビューロ株式会社の運営する仮想通貨取引所ZaifのXEM/JPY (NEM/JPY)を参考にし、出来高の加重平均を使って価格を算出いたします。算出期間は、CoincheckにおけるNEMの売買停止時から本リリース時までの加重平均の価格で、JPYにて返金いたします。
    算出期間:売買停止時(2018/01/26 12:09 日本時間)~本リリース配信時(2018/01/27 23:00 日本時間)
    補償金額:88.549円×保有数
    補償時期等:補償時期や手続きの方法に関しましては、現在検討中です。なお、返金原資については自己資金より実施させていただきます。
  

今般の不正送金に伴い、一部サービスの停止などお客様、取引先、関係者の皆様にご迷惑をおかけしており、重ねてお詫び申し上げます。原因究明、セキュリティ体制の強化などを含めたサービスの再開に尽力するとともに、金融庁への仮想通貨交換業者の登録申請の継続的な取り組みも併せて、今後も事業を継続して参りますので、引き続き、宜しくお願い申し上げます。

引用元:コインチェック公式ブレス


そもそも、なぜコインチェックは不正送金された資産を補償するのでしょうか。

多くの人が勘違いしている可能性がありますが、コインチェックは不正送金で盗まれた資産を補償する義務はありません。

それは、コインチェックの利用規約を見れば明らかです。

第14条(本サービスの停止等) 」には、ハッキングその他の方法により当社の資産が盗難された場合 当社は、本条に基づき当社が行った措置により登録ユーザーに生じた損害について一切の責任を負 いません。という記載があります。

さらにコインチェックの利用規約第14条(本サービスの停止等) には「登録ユーザーに事前に通知することなく、本サービ スの利用の全部又は一部を停止又は中断することができるものとします。」と書いてあります。


なぜ、コインチェックが盗まれたNEMを返金するのか。

個人的に推測した結果以下の3つがあると考えています。

  • 補償対応能力がある
  • 仮想通貨交換業の事業登録が済んでいない
  • 今後の集客対策

  • 補償対応能力がある

ほとんどの会社は500億円の負債を抱えてしまうと、返金をするという選択はできないでしょう。しかし、コインチェックでは返金対応を可能にしてしまうだけの理由があります。

理由の1つは、会社のキャッシュフローです。月間収入は100億円を超えるといわれています。もしそれが本当であれば、半年も経過すれば補償額を用意できてしまいます。

もう一つの理由は、創業2014年から貯めてきた会社の純資産から補填することも可能です。

それだけ仮想通貨交換業は儲かっているということですね。コインチェックは他の取引所よりもUI(ユーザインターフェース)が評価されていて、アプリのウィジェット機能は特に使い勝手がよく選ばれる理由のひとつになっていますので、その努力の結果が会社の成長につながっているわけです。

取締役の個人資産に手を出すことはないと思いますが、おそらく個人資産でも相当もっているでしょう。


  • 仮想通貨交換業の事業登録が済んでいない

コインチェックのNEM不正送金の事件を受けて、金融庁はさらなる規制強化をする事が予測されます。コインチェックについては、事件にあった当事者として、他の事業所よりもかなり厳しい審査を受けることになるでしょう。

コインチェックの対応方針によっては今後の事業登録ができない可能性も十分にあります。つまり、日本の金融庁に対して少しでも好材料を用意する必要があります。そのためには、返金をして顧客の資産を保護することが最優先であるという見解が伺えます。


  • 今後の集客対策

コインチェックは記者会見を通して、NEMのコールドウォレットとマルチシグを対応していなかったと発表しています。誰もがセキュリティ対策を最優先に取り組んでほしいと願っていることは間違えありません。

しかし、セキュリティ対策については、コールドウォレットとマルチシグに対応したからといって、今後ハッキングのリスクがないかと言われるとそうではないんです。取引所のリスクは常にあるので、今まで実施していない対策を実施しただけでは、顧客は戻ってくる可能性は低いと考えるはずです。

なぜなら、ユーザは他の取引所と同じレベルの対策をしているだけなら、問題の起こっていない取引所の方が安全だ(リスクが低い)と考えるからです。コインチェックは返金対応することで、未来の顧客にもコインチェックはセキュリティレベルの高い取引所であることをアピールする広告費として捉えているかもしれません。


匿名系仮想通貨の取り扱いを停止

マネーロンダリング(資金洗浄)の危険性からコインチェックは2018年6月18日に匿名系仮想通貨の取り扱いを停止させました。

coincheck:一部仮想通貨の取り扱い廃止のお知らせ

今回、取り扱いを停止したのはDASH、Monero、Zcash、Augurの4つの仮想通貨となります。

関連記事:Zcash(ZEC)とは?チャートと将来性や匿名系仮想通貨の今後
関連記事:マイニングしやすい匿名系仮想通貨Moneroの特徴を解説
関連記事:仮想通貨DASHとは?マスターノードやPrivate Sendの特徴と今後
関連記事:仮想通貨Augurを知るなら、賭博法も理解するべき

匿名系仮想通貨の取り扱い停止には賛否両論があります。


コインチェック不正送金事件での影響

コインチェックの不正送金がきっかけとなり、様々な企業や組織に影響をあたえました。


他の取引所のセキュリティが進化

コインチェックの不正送金事件を受けて、国内の仮想通貨取引所が次々とセキュリティ対策を強化しはじめるという影響が起こりました。


NEM財団が犯人情報を提出

NEM財団の財団理事であるLonWong氏は、NEMの公式ブログにて犯人情報を金融庁に提出したと発表しました。

3月18日から、NEM.io財団はCoincheckの盗難からのXEMの動きを監視するために配置された追跡モザイクを無効にしました。

この取り組みは、盗難されたXEMを清算するハッカーの能力を削減するのに効果的であり、法執行機関に実行可能な情報を提供しました。この調査の慎重な性質のため、詳細を公開する予定はありません。


非営利団体として、私たちはNEMブロックチェーンソリューションの開発と導入を推進することに全力を尽くしています。分散型NEMプロトコルは非常に安全であり、設計どおりに機能しています。

私たちはパートナーの皆様や取引所と緊密に協力し、NEMの組み込みセキュリティ機能と業界標準のベストプラクティスの採用により、将来の攻撃から保護するためにセキュリティプロトコルを改善しています。


引用元:NEM公式ブログ

追跡を停止した理由を「盗難されたXEMを清算するハッカーの能力を削減するのに効果的であり、法執行機関に実行可能な情報を提供しました。」と語っていることから、犯人をすでに特定している可能性も高いと思われます。

ただマウントゴックス事件同様に法規制が届かない国に逃げていたり、犯人が逃亡している間は捕まえる事ができない状況にある可能性がありますが、解決も時間の問題かもしれません。


マネックスがコインチェックを買収

2018年4月3日、インターネット大手証券会社のマネックスがコインチェック社の買収を検討していると日経新聞が報じました。

しかし、マネックス側はすぐに公式サイトにて、事実ではないと発表しました。

当社親会社マネックスグループとコインチェックに関する一部報道について

本日、当社親会社とコインチェックに関する一部報道がありましたが、当社親会社から発表したものではありません。

今後、開示すべき事実が決定された場合、当社親会社ウェブサイトにて公表されます。

引用元:https://mst.monex.co.jp/pc/ITS/login/LoginIDPassword.jsp


本日の一部報道について

本日、当社グループの仮想通貨交換業への参入に関する日本経済新聞電子版において報道があ りましたが、当社グループから発表したものではありません。

当社の名前「MONEX」は、MONEY の Y を一歩進め X とし、新しい時代における MONEY との付き合い方をデザインし提供することを企業理念としています。そして昨年 10 月以来、 「MONEX 第二の創業」を推進しています。

その中で、ブロックチェーン技術を活用した新しい金融と生活インフラの創造は、最重要 テーマと位置付けており、ブロックチェーン技術やその応用技術である仮想通貨(暗号資産)の 研究と実践に取り組み、本年 1 月にはマネックス仮想通貨研究所を設立し、安全で社会的に信頼 される仮想通貨交換業の検討を進めてまいりました。本日報道された会社である仮想通貨交換業 者の買収を検討しておりますが、現時点で決定した事実はありません。

今後、開示すべき事実を決定した場合には、速やかに公表いたします。

引用元:http://file.swcms.net/file/monexgroup/jp/news_release/auto_20180403404188/pdfFile.pdf


2018年4月6日、正式にマネックスがコインチェックの買収を発表します。

コインチェックの公式プレスには「仮想通貨NEMの不正送金の事案を踏まえ、さらなる経営管理態勢の強化が必要であると認識し、マネックスグループとの間で、当社が同社の完全子会社となる」との記載があります。

coincheck:コインチェック株式会社、マネックスグループ株式会社の完全子会社化及び新経営体制のご報告

なお、マネックスグループのプレスでは「仮想通貨交換業は「第二の創業」において大きな役割を担う事業であることから、今般、当社は仮想通貨取引所の先駆者でもあるコインチェックの完全子会社化を決定した」と語られています。

coincheck:株式取得によるコインチェック株式会社の完全子会社化に関するお知らせ

取引所利用へのハッキング対策

今回のコインチェックのNEMハッキング事件で色々な教訓を学べたと思います。私が皆さんにお伝えしたい事としては以下の3つです。


    教訓1:ハッキングや盗難の責任を取るのは顧客自身(取引所ではない)
    教訓2:秘密鍵はオフラインで管理する
    教訓3:大金を取引所に保管しない

ハッキングの責任を取るのは顧客自身

今回、コインチェックで保管されていたNEMから5億2300万xem(580億円相当)が盗み出され、記者会見でもコインチェク側から顧客の資産保護を最優先で考えたいと述べていますが、利用規約上の観点から資産が戻らない可能性が非常に高いです。極端な言い方をすると、盗まれても取引所は返済する事なく通常通り営業を続ける事が可能です。

それは、取引所がハッキングに合う可能性があるというリスクを取引所も顧客も認識した上で取引所のサービスを利用するという契約をしているからです。

つまり、その契約をした上で資産が盗まれた場合の全責任は顧客が負うしかないという事をハッキングが起きる前に理解しておけば、おそらくほとんどの人たちは取引所で仮想通貨を購入した後に保管もしておこうとは思わないはずでした。

しかし実際は、セキュリティや利用規約について調べる時間を惜しんだ人たちがその事を軽視した結果、このような事態を引き起こしたという結末になります。

また、記者会見でも出てきた話題になりますが、コールドウォレットやマルチシグに対応済みであれば、資産が盗まれていなかったと考えた記者もいたようですが、それは間違えです。取引所がどんなにセキュリティを強化してもオンライン上で資産を扱っていれば、盗まれるリスクはゼロにはなりません。コールドウォレットやマルチシグに対応していても資産は盗まれます。

現状、コインチェック以外でも仮想通貨取引所に大金を保管している人で取引所の利用規約を把握していない人はすぐにでも契約を確認し、取引所に保管している仮想通貨を移動させるべきです。また、これから始めようとしている人はハードウォレットを用意してから、取引を始める方が安全だという事を認識しておきましょう。


秘密鍵はオフラインで管理する

仮想通貨の管理は初心者からすると非常に複雑かもしれません。取引所での操作しかした事がない方々で「秘密鍵(プライベートキー)」という存在を知らない人もいるでしょう。

極端かもしれませんが、この秘密鍵さえ厳重に保管する事が出来れば、ブロックチェーン上にある仮想通貨は完全に守る事ができます。反対に、秘密鍵がオンライン上(取引所、クラウドサーバー、インターネットがつながったPCのファイルの中、スマホ)にあれば、ハッキングで盗む事は可能です。秘密鍵を盗まれれば、全資産を簡単に移動させる事ができるという事です。

これに気づいている人は、取引所に保管しないのは当然です。普段が使っているスマホやパソコンの中にパスワードを保存する事すらしないでしょう。保管方法は、USBやネットに繋がらないハードデバイスに保存するか、紙に印刷した後にPC上にある情報はすべて消すべきだと考えるはずです。

オフライン上にあるデータはハッキングで盗む事はできません。盗むには現地に向かって直接USBやペーパーウォレットを盗むしかないからです。


大金を取引所に保管しない

もし仮に、仮想通貨を購入しようと考えてあらかじめ大金を取引所に預けていた場合を想定していただくとわかりやすいのですが、取引所に預けている資産は仮想通貨のみに限らず日本円でもハッキングで盗み出されてしまう可能性が十分にあります。

むしろ、海外からみれば日本円は仮想通貨よりも価値が高く、かつ暗号通貨のようなセキュリティに優れていないと考えられ犯罪のターゲットになりやすいという事が言えます。

つまり、仮想通貨を購入する場合、すぐに使わない資金は取引所へ預けておくべきではありません。即購入する金額のみを取引所に送るべきですし、現状とりあえず預けている金額があれば、貯金額1,000万円以下の銀行口座に戻しておきましょう。