PR
2018年1月26日の記者会見で謝罪するコインチェック関係者(上)と、同社が入居するオフィス前に集まった利用者や報道陣(下)(画像出所:コインチェック)
2018年1月26日の記者会見で謝罪するコインチェック関係者(上)と、同社が入居するオフィス前に集まった利用者や報道陣(下)(画像出所:コインチェック)

仮想通貨取引所のコインチェックから仮想通貨580億円相当が流出した。事件により、国内最大手となる取引所の未熟な運用体制が露呈した。一方で、普及団体が迅速に攻撃者を追跡して換金抑止に動くなど、4年前のMTGOX事件からの「進化」も見られた。事件で見えた仮想通貨の脆さと強さに迫る。

 2018年2月2日午前8時、東京・渋谷のオフィスビルに入居するコインチェック本社に金融庁の検査官10人ほどが続々と入っていく。複数日にわたる立ち入り検査が始まった瞬間だ。

 580億円相当の仮想通貨「NEM(ネム)」を流出させた取引所運営のコインチェックに対し、金融庁は4日前の1月29日に業務改善命令を出していた。改善状況の報告を待たずに異例ともいえる立ち入り検査に踏み切ったのは、同社の説明や取り組みが顧客の資産を守るうえで不十分と判断したためだ。

 金融庁は検査官を複数日にわたり現場に常駐させる狙いについて「システム運用体制や顧客への補償対応をリアルタイムで監視し、業務改善の状況を把握するため」と説明する。

 金融庁は国内にある他の仮想通貨取引所全31社にもシステムリスク体制の再点検と報告を求めている。取引所を運営する事業者は、再び起こった流出事件から教訓を得て、信頼を回復できるかが問われている。

1つの口座から全てのNEMが流出

 事件は1月26日未明に発生した。コインチェックがサイバー攻撃を受けたか内部犯行により、同社が管理していた顧客の資産を含む仮想通貨を奪い取られた。その額は日本円にして580億円相当に上る。

 これまでに判明した事件の経緯から、コインチェックの運用体制における問題点は3点あることが分かる。

 1点目は顧客から預かったNEM資産の大半を1つのアドレス(口座)で管理していたことだ。

 コインチェックによると、攻撃で流出したNEMは同社が「保有していたほぼ全て」(大塚雄介 最高執行責任者)に当たる。NEMの取引履歴をたどると、攻撃を受けた同社のNEM口座は1つ。1月26日午前0時2分にまず少額のXEM(NEMの通貨単位)が別の口座に送金され、その2分後から7分後にかけて1億XEM(事件時の価値で約110億円に相当)ずつが5回にわたって不正に引き出された。

 複数の口座に資産を分けても、その管理に問題があれば安全性は担保されない。ただ多額の資産が1つの口座にあったことは、狙いを絞り込める点で攻撃者に有利に働いたといえる。

 口座が単一であれば不正な取引を監視しやすいはずだが、同社は異常な残高の低下に気付くまでに11時間も要した。和田晃一良社長は事件後の会見で監視体制について具体的な説明を避けたが、そもそも有効な異常検知の仕組みがあったかが疑われる状況だ。

 2点目の問題は、顧客から預かったNEM資産を管理する口座を、ネットワークに接続された「ホットウォレット」で運用していたことだ。

 NEMやBitcoinを含む仮想通貨は、秘密鍵と公開鍵をペアで作る公開鍵暗号技術で取引の安全性を担保している。特に重要なのが秘密鍵の管理だ。

 公開鍵は口座番号に相当する固有のアドレスの生成に使うほか、取引相手にアドレスと共に広く公開し、送金時に利用してもらう。一方、秘密鍵は自分の口座から送金する際に使う。

 具体的には、ウォレットアプリなどで送金を指示すると、送金先アドレスと金額を指定した取引データに秘密鍵で電子署名を施し、ブロックチェーンに送信する。署名が検証され、取引に矛盾がなければ取引が確定する。

 つまり口座に紐付く秘密鍵が盗まれれば、どこからでも口座の持ち主を装った不正な取引ができてしまう。

図 NEM流出を巡る主な動き
20分で580億円相当が流出
図 NEM流出を巡る主な動き
[画像のクリックで拡大表示]