コインチェックNEM流出事件の概要
コインチェックから580億円相当のNEMが盗み出され、仮想通貨市場を震撼させた事件の要点は以下の通りです。
コインチェックNEM流出事件の要点 |
|
北朝鮮が関与したコインチェックNEM流出事件
コインチェック流出、北朝鮮だった 安保理 #日テレNEWS24 #日テレ #ntv https://t.co/N2CxG4iMMl
— 有本 香 Kaori Arimoto (@arimoto_kaori) 2019年3月13日
国連の北朝鮮制裁委員会専門家は、コインチェックNEM流出事件に関して北朝鮮のハッカー集団「ラザルス」の関与を示唆しています。
コールドウォレットを持っていなかったコインチェック
コインチェックのNEM流出原因がNEMや仮想通貨自体に原因があるように考えた人もいるかもしれません。
それは、大きな間違えです。
実際はNEM自体に欠陥があって資産が盗まれたわけではありません。
コインチェックのセキュリティ管理体制が十分ではなかった事がNEMの流出事件を発生させました。
一般的に仮想通貨資産はウォレットというデジタル口座(お財布)に保管されています。
ウォレットには、どこにいてもインターネットがあれば資産を動かせる「ホットウォレット」とインターネットに接続していない状態で管理する「コールドウォレット」という2種類が存在します。
項目 | ホットウォレット | コールドウォレット |
メリット | 資産をすぐに移動できる | セキュリティ高く、盗まれにくい |
デメリット | セキュリティが低く、盗まれやすい | 資産をすぐに移動できない |
ホットウォレットとコールドウォレットはそれぞれ対照的な特徴(メリットとデメリット)を持っています。
一般的な取引所は顧客資産のほとんどをコールドウォレットで管理し、ごく一部の資産だけをホットウォレットに預けることによって急な顧客からの依頼や需要に対応するという体制を取っています。
しかし、コインチェックでは顧客から預かっているすべてのNEMをホットウォレットで管理していました。
その結果、サイバーテロの被害に直面し、ホットウォレットにあったすべてのNEMを犯人に奪われたということになります。
本人確認義務がない海外仮想通貨取引所
NEMを流出させた犯人はすぐに海外の仮想通貨取引所へ送金を開始。
海外の取引所を使ってMoneroなど他の仮想通貨に変えたり、NEMの販売サイトを立ち上げる行為におよびました。
事件当時、海外ではメールアドレスだけで利用できる取引所が多く、個人情報を提出する事なく仮想通貨を移動させる事が可能でした。
犯人はその特徴に目をつけ、個人情報なしで仮想通貨の移動が行える取引所に資産をばらまくことによって、情報を特定されずに仮想通貨をドルなどの法定通貨に換金していきます。
世界中にある仮想通貨取引所およびウォレット事業者が本人確認義務を徹底していれば、仮想通貨を盗む犯人を特定することは難しいことではありません。
現在の世界ではG20やIMF(国際通貨基金)の働きかけにより、着々とマネーロンダリング対策や本人確認規制が進んでいます。
今後は仮想通貨取引所のハッキングもリスクが高まり、抑制されていくことは間違えありません。
ハッカー(犯人)の2つ目の狙い
犯人は取引所から多額の資産を盗み出す以外にも、簡単に利益を取る方法がありました。
それは、NEMの価格変動を利用して巨額の利益を得ることです。
以下は事件発生後のNEMチャートです。
コインチェックの不正送金発生後2日間のNEMチャートは、ちょうど鍋の断面図のような形を記録
価格推移は以下のように動いていました。
|
CoinMarketCapやNEMの取引量がわかるサイトを確認すると、2018年1月28日のNEMの取引量が数倍になっている事も発見されています。
当時はNEMの1日(24時間)の取引量はおおよそ6,000万ドル程度ですが、80円に下がってからの取引量は1億7,000〜2億4,000万ドルまで上昇しました。普段の取引量の3〜4倍程度の取引がされていたのです。
つまり、犯人は不正送金によってつくられた相場で巨額の利益を得ることが可能だったということになります。
コインチェックNEM流出事件への対応
NEM流出事件後、コインチェックの対応をまとめました。
コインチェックの対応内容 |
|
2018年2月13日の記者会見まとめ
2月13日、コインチェックは公式サイトと記者会見にて、金融庁に報告書を提出した事を発表しました。
業務改善命令に係る報告書提出のご報告
本日、コインチェック株式会社は、このほど発生した不正アクセスによる仮想通貨NEMの不正送金に関連して金融庁より受けております業務改善命令に係る報告書を提出いたしましたことをご報告いたします。
報告内容は、業務改善命令において指摘されておりました、(1)本事案の事実関係及び原因の究明 、(2)顧客への適切な対応、(3)システム管理態勢にかかる経営管理態勢の強化及び責任の所在の明確化、(4)実効性あるシステムリスク管理態勢の構築及び再発防止策の策定、などについてとなります。
弊社といたしましては、引き続き着実に改善策を実施してまいります。また、1日も早く補償金のお支払いやお預かりしている仮想通貨の送金をすることができるようシステムの安全性の確認を進めております。
改めまして、お客様をはじめとする関係者の皆様に、多大なご迷惑、ご心配をおかけしましたことを心よりお詫び申し上げます。今後、策定する改善策を着実に実施することにより、お客様の信頼回復に向け、最善の努力をしてまいります。
引用元:コインチェック公式プレス
記者会見は夜20時から実施しましたが、発表前はこんなにも人が待機中していました。
20時からの記者会見に備え、CoinPost編集部が #コインチェック 本社前で待機中です。
— CoinPost -仮想通貨情報サイト- (@coin_post) 2018年2月13日
本社前は非常に混雑している状況です。
何か情報が入り次第速報をお届け致します。 pic.twitter.com/ycFB0JFmTe
エントランスで会見する模様です。会見に立つのは大塚氏一人の模様 #コインチェック pic.twitter.com/sDRKhKQdsb
— ITmedia NEWS (@itmedia_news) 2018年2月13日
記者会見にて大塚氏より発表された内容は以下の通りです。
記者会見でコインチェック大塚氏より発表された内容 |
|
今回はフジテレビが記者会見の場所調整を行ったため、1番初めに質問が始まりました。
記者の質問は業務改善内容についての質問が殺到し、大塚氏が何度も「業務改善報告の内容についてはこの場では発表できない」と答えている場面が多々ありました。
実際の映像は以下のYoutubeにて映像が残っています。
2018年3月8日の記者会見まとめ
2018年3月8日コインチェックが実施した記者会見では、以下の3つについて発表されました。
|
それぞれの項目を以下にまとめました。
NEM不正送金事件の発生原因 |
|
実施したセキュリティ対策 |
|
今後の実施内容 |
|
1時間以上におよぶ記者会見の内容がYoutubeにも上がっています。
コインチェックがNENを補填する理由
コインチェックのプレスにて、不正送金にあったNEMの対応方針が以下のように発表されました。
1月26日に不正送金されたNEMの補償について |
今般の不正送金に伴い、一部サービスの停止などお客様、取引先、関係者の皆様にご迷惑をおかけしており、重ねてお詫び申し上げます。原因究明、セキュリティ体制の強化などを含めたサービスの再開に尽力するとともに、金融庁への仮想通貨交換業者の登録申請の継続的な取り組みも併せて、今後も事業を継続して参りますので、引き続き、宜しくお願い申し上げます。 引用元:コインチェック公式ブレス |
多くの人が勘違いしている可能性がありますが、コインチェックはNEM流出事件で盗まれた資産を補償する義務はありません。
それは、コインチェックの利用規約を見れば明らかです。
「第14条(本サービスの停止等) 」には、ハッキングその他の方法により当社の資産が盗難された場合 当社は、本条に基づき当社が行った措置により登録ユーザーに生じた損害について一切の責任を負 いません。という記載があります。 さらにコインチェックの利用規約第14条(本サービスの停止等) には「登録ユーザーに事前に通知することなく、本サービ スの利用の全部又は一部を停止又は中断することができるものとします。」と書いてあります。 |
そもそも、なぜコインチェックは流出した資産を補償するのでしょうか。
個人的に推測した結果以下の3つがあると考えています。
|
補償対応能力があるコインチェック
580億円の負債を抱えてしまうと、ほとんどの会社は返金をするという選択ができません。
しかし、コインチェックでは返金対応を可能にしてしまうだけの資産がありました。
コインチェックの月間収入は100億円を超えるといわれており、
創業2014年から貯めてきた会社の純資産を考慮すれば、580億円程度の資金を保障することは難しいことではありません。
取締役の個人資産に手を出すことは考えられませんが、おそらく社長や役員の個人資産でも相当もっているので、それを返済に充てることも可能だったはずです。
仮想通貨交換業登録がなかったコインチェック
580億円相当のNEM流出事件をきっかけに、金融庁から顧客資産をどう守るかというメッセージや圧力があったことはほぼ間違えないと言えます。
顧客資産保護を推進する金融庁の審査に従事しているくためには、顧客資産を全額返済するというのが最適解だったということです。 コインチェックは事件当時「みなし業者」として扱われており、正式に仮想通貨交換業を許されている状態ではありませんでした。
事件後、事業を再編していく過程で金融庁と顧客からの信頼を回復させるという点において、全額返済をしないと言う選択肢はなかったようにも考えられます。
NEM補償は今後の集客対策
コインチェックNEM不正流出事件によって、仮想通貨は危ないというイメージが先行しました。
仮にコインチェックがNEMを補償しなかった場合、事態はもっと深刻になっていたことは言うまでもありません。
以前マウントゴックス事件であったように、ハッキングで盗まれた資産が帰ってこない事件はその後大きな衝撃と共に、市場を大きく減退させたからです。
コインチェックは今後の事業戦略を考えた際に、少しでも顧客が戻ってくる状況を想定し補償対策に踏み切ったとも言えます。
コインチェックNEM流出事件での影響
他の取引所のセキュリティが進化
コインチェックのNEM流出事件を受けて、国内の仮想通貨取引所が次々とセキュリティ対策を強化しはじめるという影響が起こりました。
「bitFlyer セキュリティ・ファースト」主義を発表いたしました。この土日は私たちもずっと施策の見直し、再点検を行っていました。
— 金光碧 (@KanemitsuMidori) 2018年1月30日
ベンチャーなのに堅いカルチャーは当社の特徴ですが、これからもセキュリティを最重要課題と認識してやって参ります。 https://t.co/iO8w8ZPcJF
bitFlyerセキュリティ情報
— CoinPost -仮想通貨情報サイト- (@coin_post) 2018年1月30日
1、最新セキュリティ技術を導入
2、所有する金額で 80% 以上の仮想通貨はコールドウォレットで管理
3、各種取扱仮想通貨に関し一定の基準を設けてマルチシグ化を導入
4、自社開発のビットコインデーモン
5、暗号学的に安全な擬似乱数生成器の使用https://t.co/MRVN5KHlPT
セキュリティ強化を目的としたXRPのアドレス変更についてhttps://t.co/OnOUTg10wo
— ビットバンク bitbank, Inc. (@bitbank_inc) 2018年3月2日
NEM財団が犯人情報を提出
NEM財団の財団理事であるLonWong氏は、NEMの公式ブログにて犯人情報を金融庁に提出したと発表しました。
3月18日から、NEM.io財団はCoincheckの盗難からのXEMの動きを監視するために配置された追跡モザイクを無効にしました。
この取り組みは、盗難されたXEMを清算するハッカーの能力を削減するのに効果的であり、法執行機関に実行可能な情報を提供しました。この調査の慎重な性質のため、詳細を公開する予定はありません。
非営利団体として、私たちはNEMブロックチェーンソリューションの開発と導入を推進することに全力を尽くしています。分散型NEMプロトコルは非常に安全であり、設計どおりに機能しています。
私たちはパートナーの皆様や取引所と緊密に協力し、NEMの組み込みセキュリティ機能と業界標準のベストプラクティスの採用により、将来の攻撃から保護するためにセキュリティプロトコルを改善しています。
引用元:NEM公式ブログ
追跡を停止した理由を「盗難されたXEMを清算するハッカーの能力を削減するのに効果的であり、法執行機関に実行可能な情報を提供しました。」と語っていることから、犯人をすでに特定している可能性も高いと思われます。
ただマウントゴックス事件同様に法規制が届かない国に逃げていたり、犯人が逃亡している間は捕まえる事ができない状況にある可能性がありますが、解決も時間の問題かもしれません。
マネックスがコインチェックを買収
2018年4月3日、インターネット大手証券会社のマネックスがコインチェック社の買収を検討していると日経新聞が報じました。
日経夕刊1面トップ。和田晃一良社長と大塚雄介取締役は退任か。#コインチェック #マネックス pic.twitter.com/XXsI28w4RZ
— 仮想久美子 (@kumiko_kaso) 2018年4月3日
2018年4月6日、正式にマネックスがコインチェックの買収を発表します。
コインチェックの公式プレスには「仮想通貨NEMの不正送金の事案を踏まえ、さらなる経営管理態勢の強化が必要であると認識し、マネックスグループとの間で、当社が同社の完全子会社となる」との記載があります。
coincheck:コインチェック株式会社、マネックスグループ株式会社の完全子会社化及び新経営体制のご報告
なお、マネックスグループのプレスでは「仮想通貨交換業は「第二の創業」において大きな役割を担う事業であることから、今般、当社は仮想通貨取引所の先駆者でもあるコインチェックの完全子会社化を決定した」と語られています。
coincheck:株式取得によるコインチェック株式会社の完全子会社化に関するお知らせ
匿名系仮想通貨の取り扱いを停止
【廃止対象通貨の出金・売却のお願い】
— Coincheck(コインチェック) (@coincheckjp) 2018年6月5日
2018年5月18日にお知らせをしております通り、Coincheckにおいて一部仮想通貨の取り扱いが廃止となります。
廃止日:2018年6月18日
廃止対象通貨:XMR、REP、DASH、ZEChttps://t.co/HcVZdtkFdb
2018年6月18日、コインチェックはマネーロンダリングの観点から、DASHやMoneroなど匿名系仮想通貨の取扱を停止。
匿名系仮想通貨の取り扱い停止には賛否両論があります。
匿名性があって資金洗浄や犯罪に一番使われてるのは政府の発行する紙幣なんだけど。早く規制しろよ。
― Pluton (@23pluton) 2018年3月17日
嘘。規制するなw
― Pluton (@23pluton) 2018年3月17日
暗号通貨よりも政府発行の紙幣の方がよっぽど犯罪に使われてるって事。
でも通貨の強制通用力に匿名性は必要なのよ。プライバシーがある事は通貨としての基本的性質。
つまり匿名性は紙幣の強制通用力を担保する基本的特徴って事。
― Pluton (@23pluton) 2018年3月17日
「 G20で匿名通貨が規制される」みたいな予想を散見しますが、FUDだと思ってます。ビットコイン等は匿名性がないわけではなく、本人確認なしで仮想通貨を買える国では「匿名通貨」になるし、日本のような国でも取引所外での相対取引をすれば「匿名通貨」になります。まだ匿名通貨が定義されていない。
― とみ三(Samurai33) (@samurai3311) 2018年3月11日
「匿名通貨」と呼ばれていないコインは匿名性がなく犯罪に使われていないという誤解が生じているかもしれません。仮想通貨は匿名で入手して、匿名で手放せば充分な匿名性があります。盗難されたNEMがBTC・LTCに交換されているのは、犯人が高い匿名性よりも高い流動性を重視しているからでしょう。
― とみ三(Samurai33) (@samurai3311) 2018年3月8日
コインチェックNEM流出事件から学べること
コインチェックNEM流出事件を受けて、私が皆さんにお伝えしたい事としては以下の3つです。
|
大きな仮想通貨資産を取引所で保管しない
仮想通貨取引所のハッキング被害はコインチェックだけに限ったことではありません。
日本の取引所で言えばマウントゴックスやZaifなども大きなハッキング被害を受けていますし、海外でも多くの取引所がハッキングにより巨額の資産を流出させています。
この事実を考慮すれば、取引所は100%安全ではないということを前提に資産管理方法を考えなければいけません。
次でも説明しますが、仮想通貨で大きな資産を購入した場合は、ハードウォレットで保管することをおすすめします。
ハードウォレットで資産を管理する
ハードウォレットとは、仮想通貨の送金に必要な秘密鍵(パスワードのようなもの)をオフラインで管理することができる端末です。
秘密鍵をインターネット上に保管しないことによって、ハッキングなどの被害を受けるリスクを劇的に下げることができます。
たとえば、紙に銀行の暗証番号を書いたとします。その紙はインターネット上に公開しなければ、ハッキングにあっても盗まれることはありません。紙に書いた暗証番号を盗むためには直接その紙に触る必要があるからです。
この原理とどうようにハードウォレットではオフライン上で秘密鍵を管理しているため、ハッキングを防げるという特性を持ったツールとなります。
ハードウォレットを安くかつ安全に購入するなら以下の記事がおすすめです。
関連記事:仮想通貨ブロガーがおすすめするハードウォレットの買い方
ぜひ参考にしてみてください。
投資はすべて自己責任と認識する
仮想通貨取引所に限らず投資では、企業が投資元本を補償するものではありません。
ハッキングなど異常事態においても、そういった理解が必要になるはずです。
その代わりに大きなリターンを得る可能性もあるため、大きなリターンを得るためには、それなりのリスクがついていることを心得るべきです。
だからといって、リスクを最大限とることがいいことではありません。
ハードウォレットを使ったり、短期間で売買するような戦略をとることでリスクを小さくすることも必要になります。
取引所選びから仮想通貨銘柄選びまで、投資家の判断によって得られる結果のすべては投資家次第です。
利益を得た時だけでなく、損失を被った際も自分の投資結果として受け入れる心構えが大切です。
関連記事:【2019年最新版】日本のおすすめ仮想通貨取引所ランキング
当ブログでは仮想通貨取引所選びについても記事をまとめています。
今後どこの取引所を選べばいいのか、迷っている方は上記記事を参考にしてください。