もくじ(コンテンツ)








コインチェックNEM流出事件の概要

コインチェックから580億円相当のNEMが盗み出され、仮想通貨市場を震撼させた事件の要点は以下の通りです。

コインチェックNEM流出事件の要点
  • 北朝鮮が関与していた
  • NEMのすべてをホットウォレットで管理していた。
  • 海外取引所がマネーロンダリングを促進した。
  • 犯人は二重で利益を得る方法があった。

北朝鮮が関与したコインチェックNEM流出事件

国連の北朝鮮制裁委員会専門家は、コインチェックNEM流出事件に関して北朝鮮のハッカー集団「ラザルス」の関与を示唆しています。


コールドウォレットを持っていなかったコインチェック

コインチェックのNEM流出原因がNEMや仮想通貨自体に原因があるように考えた人もいるかもしれません。


それは、大きな間違えです。


実際はNEM自体に欠陥があって資産が盗まれたわけではありません。

コインチェックのセキュリティ管理体制が十分ではなかった事がNEMの流出事件を発生させました。


一般的に仮想通貨資産はウォレットというデジタル口座(お財布)に保管されています。

ウォレットには、どこにいてもインターネットがあれば資産を動かせる「ホットウォレット」とインターネットに接続していない状態で管理する「コールドウォレット」という2種類が存在します。

ウォレットの種類と特徴
項目 ホットウォレット コールドウォレット
メリット資産をすぐに移動できるセキュリティ高く、盗まれにくい
デメリットセキュリティが低く、盗まれやすい資産をすぐに移動できない

ホットウォレットとコールドウォレットはそれぞれ対照的な特徴(メリットとデメリット)を持っています。

一般的な取引所は顧客資産のほとんどをコールドウォレットで管理し、ごく一部の資産だけをホットウォレットに預けることによって急な顧客からの依頼や需要に対応するという体制を取っています。


しかし、コインチェックでは顧客から預かっているすべてのNEMをホットウォレットで管理していました。

その結果、サイバーテロの被害に直面し、ホットウォレットにあったすべてのNEMを犯人に奪われたということになります。


本人確認義務がない海外仮想通貨取引所

NEMを流出させた犯人はすぐに海外の仮想通貨取引所へ送金を開始。

海外の取引所を使ってMoneroなど他の仮想通貨に変えたり、NEMの販売サイトを立ち上げる行為におよびました。


事件当時、海外ではメールアドレスだけで利用できる取引所が多く、個人情報を提出する事なく仮想通貨を移動させる事が可能でした。

犯人はその特徴に目をつけ、個人情報なしで仮想通貨の移動が行える取引所に資産をばらまくことによって、情報を特定されずに仮想通貨をドルなどの法定通貨に換金していきます。


世界中にある仮想通貨取引所およびウォレット事業者が本人確認義務を徹底していれば、仮想通貨を盗む犯人を特定することは難しいことではありません

現在の世界ではG20やIMF(国際通貨基金)の働きかけにより、着々とマネーロンダリング対策や本人確認規制が進んでいます。

今後は仮想通貨取引所のハッキングもリスクが高まり、抑制されていくことは間違えありません。


ハッカー(犯人)の2つ目の狙い

犯人は取引所から多額の資産を盗み出す以外にも、簡単に利益を取る方法がありました。

それは、NEMの価格変動を利用して巨額の利益を得ることです。


以下は事件発生後のNEMチャートです。

NEMchart

コインチェックの不正送金発生後2日間のNEMチャートは、ちょうど鍋の断面図のような形を記録

価格推移は以下のように動いていました。

    1:不正送金の事件によって、100円付近を推移していたNEMの価格が80円まで下がる
    2:80円まで下がるも28日午前中には115円代まで超回復する
    3:115円到達後、相場は売りが強くなり下落相場に転換する

CoinMarketCapやNEMの取引量がわかるサイトを確認すると、2018年1月28日のNEMの取引量が数倍になっている事も発見されています。

当時はNEMの1日(24時間)の取引量はおおよそ6,000万ドル程度ですが、80円に下がってからの取引量は1億7,000〜2億4,000万ドルまで上昇しました。普段の取引量の3〜4倍程度の取引がされていたのです。

つまり、犯人は不正送金によってつくられた相場で巨額の利益を得ることが可能だったということになります。


コインチェックNEM流出事件への対応

NEM流出事件後、コインチェックの対応をまとめました。

コインチェックの対応内容
    2018年1月26日:不正送金発覚、サービス停止、記者会見にて発表
    2018年1月29日:業務改善命令を受ける
    2018年2月13日:業務改善命令報告書の提出、日本円出金再開を記者会見にて発表
    2018年3月 8日:2回目の業務改善命令を受ける、記者会見にて発表
    2018年3月12日:NEMの補償実施
    2018年3月22日:2回目位の業務改善命令報告書提出、LISKとFCTの出金、売却再開
    2018年4月 6日:マネックスグループの完全子会社化を記者会見にて発表
    2018年4月 6日:XMRの出金、売却再開
    2018年6月 7日:XEMの出金、売却再開
    2018年6月18日:匿名系仮想通貨の廃止


2018年2月13日の記者会見まとめ

2月13日、コインチェックは公式サイトと記者会見にて、金融庁に報告書を提出した事を発表しました。

業務改善命令に係る報告書提出のご報告

本日、コインチェック株式会社は、このほど発生した不正アクセスによる仮想通貨NEMの不正送金に関連して金融庁より受けております業務改善命令に係る報告書を提出いたしましたことをご報告いたします。

報告内容は、業務改善命令において指摘されておりました、(1)本事案の事実関係及び原因の究明 、(2)顧客への適切な対応、(3)システム管理態勢にかかる経営管理態勢の強化及び責任の所在の明確化、(4)実効性あるシステムリスク管理態勢の構築及び再発防止策の策定、などについてとなります。

弊社といたしましては、引き続き着実に改善策を実施してまいります。また、1日も早く補償金のお支払いやお預かりしている仮想通貨の送金をすることができるようシステムの安全性の確認を進めております。

改めまして、お客様をはじめとする関係者の皆様に、多大なご迷惑、ご心配をおかけしましたことを心よりお詫び申し上げます。今後、策定する改善策を着実に実施することにより、お客様の信頼回復に向け、最善の努力をしてまいります。

引用元:コインチェック公式プレス


記者会見は夜20時から実施しましたが、発表前はこんなにも人が待機中していました。

記者会見にて大塚氏より発表された内容は以下の通りです。

記者会見でコインチェック大塚氏より発表された内容
  • 業務改善内容については、今は報告できない。
  • 事業は継続していく予定。
  • 2月13日付で出金開始し、401億円の出金依頼については既に対応済み。
  • 今後の出金依頼分も順次対応予定。
  • NEMの補償時期は、ある程度予測はできているものの正式決定まで発表は控える。
  • ビットコイン以外の仮想通貨は、外部の会社とともにセキュリティ問題をクリアしてから再開予定。
  • 現状で匿名系通貨等の取り扱い銘柄を減らす考えはない。
  • NEM流出事件の補償金については、顧客資産とは別に自己資産として既に現金の用意がある。
  • 顧客からの損害賠償請求はまだ確認できていない。

今回はフジテレビが記者会見の場所調整を行ったため、1番初めに質問が始まりました。

記者の質問は業務改善内容についての質問が殺到し、大塚氏が何度も「業務改善報告の内容についてはこの場では発表できない」と答えている場面が多々ありました。

実際の映像は以下のYoutubeにて映像が残っています。



2018年3月8日の記者会見まとめ

2018年3月8日コインチェックが実施した記者会見では、以下の3つについて発表されました。

  • NEM流出事件の発生原因
  • 実施したセキュリティ対策
  • 今後の実施内容

それぞれの項目を以下にまとめました。

NEM不正送金事件の発生原因
  • 複数の従業員にウィルス感染(マルウェア)メールが送られていた。
  • 複数台のPCがウィルスに感染していた。
  • 観戦後、ネットワークに侵入しNEMの秘密鍵を盗まれ不正送金に至った。
  • 発生原因の調査は金融セキュリティ企業5社が協力した。

実施したセキュリティ対策
  • 今まで使っていたPC端末、サーバは処分し、すべて新しい端末とサーバに切り替え済み。
  • 外部企業にシステムのモニタリングを委託開始した。
  • すべての通貨に関して、コールドウォレットで管理する体制ができている。
  • シニアの責任者とセキュリティへの知見が社内人員および、外部の人員とで構成されたCISO室を新設し、既に取締役会での議決も終わり稼動中。

今後の実施内容
  • NEM補償のスケジュールは、来週から順次対応していく方針、詳細はHPで公開予定。
  • 経営体制については、本日金融庁の指摘を受け、これから検討中。
  • NEM以外の取引停止された仮想通貨に対して補償の考えはない。訴訟があれば弁護士から回答する。

1時間以上におよぶ記者会見の内容がYoutubeにも上がっています。



コインチェックがNENを補填する理由

コインチェックのプレスにて、不正送金にあったNEMの対応方針が以下のように発表されました。

1月26日に不正送金されたNEMの補償について
    総額 : 5億2300万XEM
    保有者数:約26万人
    補償方法:NEMの保有者全員に、日本円でコインチェックウォレットに返金いたします。
    算出方法:NEMの取扱高が国内外含め最も多いテックビューロ株式会社の運営する仮想通貨取引所ZaifのXEM/JPY (NEM/JPY)を参考にし、出来高の加重平均を使って価格を算出いたします。算出期間は、CoincheckにおけるNEMの売買停止時から本リリース時までの加重平均の価格で、JPYにて返金いたします。
    算出期間:売買停止時(2018/01/26 12:09 日本時間)~本リリース配信時(2018/01/27 23:00 日本時間)
    補償金額:88.549円×保有数
    補償時期等:補償時期や手続きの方法に関しましては、現在検討中です。なお、返金原資については自己資金より実施させていただきます。
  

今般の不正送金に伴い、一部サービスの停止などお客様、取引先、関係者の皆様にご迷惑をおかけしており、重ねてお詫び申し上げます。原因究明、セキュリティ体制の強化などを含めたサービスの再開に尽力するとともに、金融庁への仮想通貨交換業者の登録申請の継続的な取り組みも併せて、今後も事業を継続して参りますので、引き続き、宜しくお願い申し上げます。

引用元:コインチェック公式ブレス


多くの人が勘違いしている可能性がありますが、コインチェックはNEM流出事件で盗まれた資産を補償する義務はありません。

それは、コインチェックの利用規約を見れば明らかです。

第14条(本サービスの停止等) 」には、ハッキングその他の方法により当社の資産が盗難された場合 当社は、本条に基づき当社が行った措置により登録ユーザーに生じた損害について一切の責任を負 いません。という記載があります。

さらにコインチェックの利用規約第14条(本サービスの停止等) には「登録ユーザーに事前に通知することなく、本サービ スの利用の全部又は一部を停止又は中断することができるものとします。」と書いてあります。


そもそも、なぜコインチェックは流出した資産を補償するのでしょうか。

個人的に推測した結果以下の3つがあると考えています。

  • 補償対応能力がある
  • 仮想通貨交換業の事業登録が済んでいない
  • 今後の集客対策

補償対応能力があるコインチェック

580億円の負債を抱えてしまうと、ほとんどの会社は返金をするという選択ができません。

しかし、コインチェックでは返金対応を可能にしてしまうだけの資産がありました。


コインチェックの月間収入は100億円を超えるといわれており、

創業2014年から貯めてきた会社の純資産を考慮すれば、580億円程度の資金を保障することは難しいことではありません。

取締役の個人資産に手を出すことは考えられませんが、おそらく社長や役員の個人資産でも相当もっているので、それを返済に充てることも可能だったはずです。


仮想通貨交換業登録がなかったコインチェック

580億円相当のNEM流出事件をきっかけに、金融庁から顧客資産をどう守るかというメッセージや圧力があったことはほぼ間違えないと言えます。

顧客資産保護を推進する金融庁の審査に従事しているくためには、顧客資産を全額返済するというのが最適解だったということです。 コインチェックは事件当時「みなし業者」として扱われており、正式に仮想通貨交換業を許されている状態ではありませんでした。

事件後、事業を再編していく過程で金融庁と顧客からの信頼を回復させるという点において、全額返済をしないと言う選択肢はなかったようにも考えられます。


NEM補償は今後の集客対策

コインチェックNEM不正流出事件によって、仮想通貨は危ないというイメージが先行しました。

仮にコインチェックがNEMを補償しなかった場合、事態はもっと深刻になっていたことは言うまでもありません。

以前マウントゴックス事件であったように、ハッキングで盗まれた資産が帰ってこない事件はその後大きな衝撃と共に、市場を大きく減退させたからです。

コインチェックは今後の事業戦略を考えた際に、少しでも顧客が戻ってくる状況を想定し補償対策に踏み切ったとも言えます。


コインチェックNEM流出事件での影響

他の取引所のセキュリティが進化

コインチェックのNEM流出事件を受けて、国内の仮想通貨取引所が次々とセキュリティ対策を強化しはじめるという影響が起こりました。


NEM財団が犯人情報を提出

NEM財団の財団理事であるLonWong氏は、NEMの公式ブログにて犯人情報を金融庁に提出したと発表しました。

3月18日から、NEM.io財団はCoincheckの盗難からのXEMの動きを監視するために配置された追跡モザイクを無効にしました。

この取り組みは、盗難されたXEMを清算するハッカーの能力を削減するのに効果的であり、法執行機関に実行可能な情報を提供しました。この調査の慎重な性質のため、詳細を公開する予定はありません。


非営利団体として、私たちはNEMブロックチェーンソリューションの開発と導入を推進することに全力を尽くしています。分散型NEMプロトコルは非常に安全であり、設計どおりに機能しています。

私たちはパートナーの皆様や取引所と緊密に協力し、NEMの組み込みセキュリティ機能と業界標準のベストプラクティスの採用により、将来の攻撃から保護するためにセキュリティプロトコルを改善しています。


引用元:NEM公式ブログ

追跡を停止した理由を「盗難されたXEMを清算するハッカーの能力を削減するのに効果的であり、法執行機関に実行可能な情報を提供しました。」と語っていることから、犯人をすでに特定している可能性も高いと思われます。

ただマウントゴックス事件同様に法規制が届かない国に逃げていたり、犯人が逃亡している間は捕まえる事ができない状況にある可能性がありますが、解決も時間の問題かもしれません。


マネックスがコインチェックを買収

2018年4月3日、インターネット大手証券会社のマネックスがコインチェック社の買収を検討していると日経新聞が報じました。

2018年4月6日、正式にマネックスがコインチェックの買収を発表します。

コインチェックの公式プレスには「仮想通貨NEMの不正送金の事案を踏まえ、さらなる経営管理態勢の強化が必要であると認識し、マネックスグループとの間で、当社が同社の完全子会社となる」との記載があります。

coincheck:コインチェック株式会社、マネックスグループ株式会社の完全子会社化及び新経営体制のご報告

なお、マネックスグループのプレスでは「仮想通貨交換業は「第二の創業」において大きな役割を担う事業であることから、今般、当社は仮想通貨取引所の先駆者でもあるコインチェックの完全子会社化を決定した」と語られています。

coincheck:株式取得によるコインチェック株式会社の完全子会社化に関するお知らせ

匿名系仮想通貨の取り扱いを停止

2018年6月18日、コインチェックはマネーロンダリングの観点から、DASHMoneroなど匿名系仮想通貨の取扱を停止。

匿名系仮想通貨の取り扱い停止には賛否両論があります。


コインチェックNEM流出事件から学べること

コインチェックNEM流出事件を受けて、私が皆さんにお伝えしたい事としては以下の3つです。

  • 大きな仮想通貨資産を取引所で保管しない
  • ハードウォレットで資産を管理する
  • 投資はすべて自己責任と認識する

大きな仮想通貨資産を取引所で保管しない

仮想通貨取引所のハッキング被害はコインチェックだけに限ったことではありません。

日本の取引所で言えばマウントゴックスやZaifなども大きなハッキング被害を受けていますし、海外でも多くの取引所がハッキングにより巨額の資産を流出させています。


この事実を考慮すれば、取引所は100%安全ではないということを前提に資産管理方法を考えなければいけません。

次でも説明しますが、仮想通貨で大きな資産を購入した場合は、ハードウォレットで保管することをおすすめします。


ハードウォレットで資産を管理する

ハードウォレットとは、仮想通貨の送金に必要な秘密鍵(パスワードのようなもの)をオフラインで管理することができる端末です。

秘密鍵をインターネット上に保管しないことによって、ハッキングなどの被害を受けるリスクを劇的に下げることができます。


たとえば、紙に銀行の暗証番号を書いたとします。その紙はインターネット上に公開しなければ、ハッキングにあっても盗まれることはありません。紙に書いた暗証番号を盗むためには直接その紙に触る必要があるからです。

この原理とどうようにハードウォレットではオフライン上で秘密鍵を管理しているため、ハッキングを防げるという特性を持ったツールとなります。


ハードウォレットを安くかつ安全に購入するなら以下の記事がおすすめです。

関連記事:仮想通貨ブロガーがおすすめするハードウォレットの買い方

ぜひ参考にしてみてください。


投資はすべて自己責任と認識する

仮想通貨取引所に限らず投資では、企業が投資元本を補償するものではありません。

ハッキングなど異常事態においても、そういった理解が必要になるはずです。

その代わりに大きなリターンを得る可能性もあるため、大きなリターンを得るためには、それなりのリスクがついていることを心得るべきです。


だからといって、リスクを最大限とることがいいことではありません。

ハードウォレットを使ったり、短期間で売買するような戦略をとることでリスクを小さくすることも必要になります。

取引所選びから仮想通貨銘柄選びまで、投資家の判断によって得られる結果のすべては投資家次第です。

利益を得た時だけでなく、損失を被った際も自分の投資結果として受け入れる心構えが大切です。


関連記事:【2019年最新版】日本のおすすめ仮想通貨取引所ランキング

当ブログでは仮想通貨取引所選びについても記事をまとめています。

今後どこの取引所を選べばいいのか、迷っている方は上記記事を参考にしてください。