仮想通貨取引所でトラブル続出、システムダウンやゼロ円約定

bitFlyer、テックビューロなど

日経コンピュータ

2018.03.23

仮想通貨ブームに沸いた2017年末から2018年初頭にかけて、大手の仮想通貨取引所でシステムトラブルが相次いだ。bitFlyerの取引所ではクラウド上のシステムが過負荷でダウンし、テックビューロの取引所ではゼロ円発注が約定して残高が2000兆円になる顧客も。仮想通貨交換業に金融庁のメスは入ったが根は深い。

図 bitFlyerとテックビューロ、GMOコインがそれぞれトラブルを報告したWebページ

仮想通貨取引所にトラブル続出

[画像のクリックで拡大表示]

　2018年1月31日午後2時50分ごろから午後4時40分までの約2時間、仮想通貨交換業大手bitFlyerの仮想通貨取引所「bitFlyer」で注文や約定を含む多くのサービスが利用できなくなった。同社には日本経済新聞社のグループ会社QUICKが少額出資している。

　bitFlyer社の加納裕三社長は原因について「注文や約定情報などを管理する基幹データベース（DB）の処理が突然遅くなり、基幹DBを使う様々な処理が遅くなった」と説明する。同社はトラブル当日、「LISK（リスク）」という新しい仮想通貨の取り扱いを始めた。そのため、アクセス件数が通常の3倍程度に急増していた。

　bitFlyer社は基幹DBを含むシステムのほとんどを日本マイクロソフトのパブリッククラウドサービス「Microsoft Azure」上に構築している。「これまでにもAzureに起因する処理遅延が何度か起こっており、性能に課題があると認識していた」（bitFlyer社の加納社長）。

Azureの設定変更が引き金に

　トラブル発生時、bitFlyer社のシステム担当者が日本マイクロソフトに連絡したところ、この日の処理量急増に備えて、日本マイクロソフトが自主的に負荷を緩和する目的で設定を変更していたと分かった。結果的にこれが裏目に出た。「設定を元に戻してもらったところ、処理遅延も解消し、システムが復旧した」（同）。

　bitFlyer社は当面の対策として、日本マイクロソフトに対し設定を変える場合は事前に通知するよう依頼した。テスト環境で設定変更の影響が無いことをbitFlyer社が確認してから本番環境に反映できるように変えたという。

　ただし、パブリッククラウドというサービスの性質上、bitFlyer社に関連する設定変更ならばともかく、サービス全体に関わる設定変更まで1ユーザーであるbitFlyer社の都合を反映するのは難しい。全体に関わる設定変更は「事前に伝えてもらうのが精一杯」（同）という。

　bitFlyerはAzure上のWebサーバーだけで1500台と、1契約で使えるサーバー台数のほぼ上限まで使っている。DBは4重化を施して負荷分散と安定稼働を図っているが、「DBにアクセスが集中すると遅延が避けられない」（同）という課題は残ったままだ。

　仮想通貨交換業のシステムは24時間365日稼働が原則だ。取引が無い夜間や土日にバッチ処理をこなせる銀行や証券、FX（為替証拠金取引）のシステムに比べ、「負荷を制御しにくく、テストもこなしにくいため運用が難しい」と、証券会社のシステムエンジニア出身であるbitFlyer社の加納社長は話す。同社は再発防止策として、システムのアーキテクチャーを抜本的に変更する予定という。

APIキーを悪用される

　高負荷による遅延と異なる原因のトラブルも起こっている。

　仮想通貨交換業を監督する金融庁は2018年3月8日、取引所「Zaif（ザイフ）」の運営元であるテックビューロに業務改善命令を出した。同社のシステム運営体制の不備について、「システム障害や、不正出金事案・不正取引事案など多くの問題が発生している」「適切な再発防止策を講じておらず、顧客への情報開示についても不適切な状況となっている」と指摘している。

　テックビューロは日経コンピュータの取材に対し、「システム障害について詳細な原因や再発防止策は公表しない」とだけ回答した。同社がWebサイトに公表する文書によれば、金融庁が指摘する不正出金事案と不正取引事案とは2018年1月上旬に発生した事象を指すとみられる。

　Zaifでは2018年1月6～7日に何者かが顧客10人の口座から合計37件にわたって仮想通貨を不正に引き出し、15人の口座から合計137件の不正注文を実行した。テックビューロは被害金額を公表していない。

　同社は事態を公表した1月10日当初、被害者に対する補償方針を明らかにしていなかった。業務改善命令を受けた3月8日になって、不正出金については同額の仮想通貨を返却し、不正取引については取引前の状態に戻す方針を明らかにした。

　不正出金と不正取引が生じた原因は、自動売買ツールなどを利用する顧客が認証に使う「API（アプリケーション・プログラミング・インタフェース）キー」を第三者が入手し、不正に使ったことにある。同社は海外のホスティング会社のものと思われる4つのIPアドレスからのアクセスであることまでは確認したが、APIキーが漏洩した経路は現時点で分かっていない。

　悪用されたAPIキーのうち最も古いものは2014年8月に作成され、最も新しいものは2016年6月に作成されたものだった。同社は同期間に、復元したバックアップなどを含め約1000件のAPIキーを作成している。発行や無効化に関わる管理に何らかの不備があった可能性がある。