1月26日深夜、仮想通貨取引所のコインチェックが扱っていた仮想通貨NEM(ネム)約580億円分が不正流出した。犯行時間はおよそ5分とされている。コインチェックは翌日の昼過ぎからNEMの入金や売買、出金を続けざまに停止。ビットコイン以外の仮想通貨の取引も中止され、止まっていた日本円の出金は2月13日に再開された。流出の詳細は調査中だが、被害の大きさは甚大だ。セキュリティ面の対策と仮想通貨業者の課題をJapan Digital DesignのCTO、楠正憲氏に聞いた。(ダイヤモンド・オンライン編集部 松野友美)
仮想通貨は4年に一度
“数百億円”の盗難が発生
――セキュリティの専門家として、今回の仮想通貨NEM(ネム)の流出事件にはどのような印象を受けましたか。
割りと典型的な事件だと感じています。取引所から数百億円規模の仮想通貨が流出するという事件は、しょっちゅう起きているからです。国内でも4年に一度くらい、海外も含めると年がら年中盗られているんです。
――盗まれた約580億円分のNEMは今どうなっているのでしょうか。
事件発覚後、「NEM財団」と呼ばれるNEMを管理している団体と善意のハッカーが、盗まれたNEMに“モザイク”と呼ばれる印をつけて、どういう動きをしているのかブラウザ上で監視している状態です。
印を付けることにより、盗まれたNEMが現金化されたり、他の通貨に交換されたりすることを防いでいます。何もしていなければ、盗難に無関係の人が不正流出したNEMを受け取ってしまう可能性がありますが、印がついているので、取引所で取引する際には盗難されたものだと気づくことができるわけです。犯人は現在、盗んだNEMを少額(約8000円相当)に分け、何箇所かに送金していることが確認されています。
犯人の次の一手は
「木を隠すなら森の中」か
――少額ずつ移動させている目的は何なのでしょうか。
既存のアドレスに送金しているようなので、三つのことが考えられます。
まず、色々なアドレスにモザイク付きのNEMを送り付けてしまえば、多くの無関係の人もモザイク付きのNEMを持つ状態になります。その数が増えれば、モザイクがついていようと、NEMの取引を再開せざるを得ない取引所が出てくるはずです。犯人は、そうなった段階でNEMの換金を行おうとしている可能性があります。
もっと一般論で言えば、仮想通貨をロンダリングする手法として「ミクシング」があります。多くのアドレスを経由させ、他の仮想通貨と混ぜてしまうことで、どれが因果関係を持ったNEMなのか分からなくさせるわけです。ただ、今の犯人の動きを見ていると、色々なところを転々と移動させている様子は見られないので、ミキシングをしているとは言えないでしょう。そう考えると、モザイクの意味をなくそうとしているのが有力かもしれません。
三つ目ですが、“表”の取引所では換金できないので、相対取引で処分しようとしているのかもしれません。買い取る側にしてみれば、取引相手が本当にNEMを持っているのか確かめておきたい。そのため犯人は、買い取り候補者に対して、自分が持っているNEMの一部(少額)を送って証明している可能性があります。このケースであるならば、少額を受け取ったアドレスの中に“本命”がいるかもしれません。
――コインチェックは1月28日、約26万人のNEMの保有者に向けて日本円で460億円の補償を行う方針を発表しました。補償ではなく、NEMを取り戻す手立てはありますか。
基本的に、仮想通貨の仕組みとして、一度漏れたものは元には戻せません。銀行振込の組み戻しのような操作はブロックチェーン上では行わないのです。なぜなら、銀行口座に相当する“アドレス”は一人ひとりが自由に作ることができるもので、管理者がいないからです。管理者は不在ですが、取引が正しく行われたときには世界中のパソコンやスマホが高速で計算処理をして「承認」を行っています。それが仮想通貨の特長です。
過去にはビットコインが流出
どこも取り戻せていない
――過去にも流出事件がありましたが、その時も取り戻せなかったのでしょうか。
2016年に仮想通貨のDAO(約50億円分)が盗まれる事件がありました。この時は、DAOのプログラムに欠陥が見つかったので、ソフトウェア全部を入れ替える処理(ハードフォーク)を行いました。そうすることで、システムを流出前の状態に戻し、盗難がなかったことにできました。ただしこれは例外です。
仮想通貨の取引所が、ハッキングに遭った例は他にも結構あります。最近だと、YouBit(ユービット、韓国)が被害に遭い、それが原因で12月19日に倒産。その少し前には世界2位の大手ビットフィネックス(香港)が攻撃されました。日本でもマウントゴックスが2014年に被害に遭っています。いずれも不正流出した分は返ってきていません。
――それらの流出で、NEMが被害に遭ったことはありますか。
例に挙げたような、これまでに起きた大規模な盗難事件は、すべてビットコインの被害でした。NEMのようなオルトコイン(ビットコイン以外の仮想通貨)でこの規模の盗難に遭うのは珍しいことです。
ビットコインの場合は、NEMのようなモザイク機能はありませんでした。だから、マウントゴックスの時などは、盗まれたビットコインを識別する印が付いていませんでした。そういう意味では、今回のNEMは特殊です。たまたま「取引の条件を記録する」という別の目的で用意されたモザイク機能が、“汚れたコイン”の識別に利用できたという初めてのケースです。
これまでも犯罪に使われたアドレスそのものが、ネット上で発見されることはありましたが、モザイク機能で色付けされた仮想通貨の動きをブラウザで世界中の人が随時、簡単に見ることができるのは新しいケースです。
犯人はなぜ
NEMを狙ったのか
――そうしたNEMのモザイク機能は、犯人にとっては不都合です。犯人は機能を理解していたのでしょうか。
それは、NEMの仕組みをどれくらい理解しているかによるでしょう。モザイク機能をこのように活用できると知っているのは、NEMをどっぷり使っていた人だけだと思います。
――ではなぜ、今回、ビットコインではなくNEMが標的だったのでしょうか。
ビットコインの場合は、コインチェックも含め、業者が外部アクセスを遮断した「コールドウォレット」で管理しています。だから簡単には盗れません。その点、今回、被害に遭ったコインチェックのNEMは管理体制が不十分で、まとまった金額がオンライン上の「ホットウォレット」に保管されていたというのが大きな理由だと思います。
さらに、オルトコインにもいろいろな種類がある中で、NEMは価格も高く、中国を含め取り扱っている取引所がいくつかあったことも大きな理由の一つでしょう。
――犯人はコインチェック内のNEMの保管体制を知っていたのでしょうか。
犯人が、コインチェックと関係がある人か、内部の人なのかも分からないので、現段階では何とも言えません。ただ、コインチェックが扱っている仮想通貨の残高は「ブロックチェーン」という公開台帳システムの上に載っているので、コインチェックの仮想通貨保管場所(ウォレット)のアドレスさえ知っていれば、誰でもシステムに不正侵入せずに知ることができます。他のオルトコインに関しても、全て見ることができると思ったほうがいいでしょう。
各取引所のアドレスは公表されていませんし、特定する作業は簡単ではありません。しかし特定さえできれば、それがオンライン上にあるホットウォレットなのか、それともオフラインのコールドウォレットなのか見分けるのは簡単です。
NEMの暗号アルゴリズムが新しすぎ
取引所のセキュリティも手作りが多い
――セキュリティについてもう少し教えてください。NEMのブロックチェーンの仕組みは他のコインに比べて不正アクセスに弱いのでしょうか。
そういうわけではありません。あえて言えば、NEMで使われている暗号の種類が新しすぎるため、対応するハードウェアがほとんど存在しません。
スマホサイズのハードウェアウォレット。ハードウェアウォレットはアマゾンでも買えるが、使用者よりも先に入手して、鍵を書き替えて出荷するという犯罪もあるので注意が必要だ
こちらは、うちのシリコンバレー拠点の人から借りたハードウェアウォレットです。これは大きいほうで、もっと小さなものもあります。
ビットコインや、やはり仮想通貨のリップルに対応していて、ケーブルでパソコンと繋ぎます。パソコンには対応するアプリを入れており、パスワードを入力して操作します。ケーブルを抜けばネットワークとつながらない「コールドウォレット」になり、つなげているとホットウォレットになります。
ハードウェアウォレットの中に、「セキュアマイコン」というチップが入っていて、それが仮想通貨のアルゴリズムの証明書に対応し、「鍵」として機能します。このハードウェアウォレットは1~7まで段階ある「評価保証レベル」(EAL)のうち、最高に近い6プラスという国際的な情報セキュリティ評価基準(ISO15408)の認定を受けている製品です。EAL5以上は軍需用や、政府最高機密機関向けに使われるほど安全性が高いものになります。
しかし残念ながら、NEMで使われている暗号アルゴリズムは新しすぎて、対応するチップがまだ出ていません。NEMそのものの安全性が低いわけではありませんが、周辺機器はほとんど売られておらず、取引所のセキュリティは手作りが多いのです。
世界初のNEM用のハードウォレット「TREZOR(トレザー)」は昨年12月20日頃にNEM財団のブログにて情報が周知されましたが、これはソフトウェア型なので、セキュリティの専門家が見て安全と言えるほどの国際認証は取得していません。
オフライン状態にしていても
内部犯行や盗難リスクはある
――NEMを安全に保管しようとしても、周辺機器の対応が追いついていないのですね。
そうです。コインチェックが、ホットウォレットにNEMを全て保管していたことを非難する論調が強いのですが、最初のハードウォレット「トレザー」が12月の下旬に出たばかりなので、これを1月に使っていたら逆に大したものだなと思います。
コールドウォレットにも様々な種類があり、パソコンに保存していて、そのパソコンをネットワークから切り離しておけば、それでコールドウォレットだと言う人もいます。秘密鍵(暗号)を紙に印刷する「ペーパーウォレット」という方法もあります。しかし、両方ともセキュリティの専門家からすると安全ではありません。なぜなら簡単にUSBメモリや、コピー機を使って複製できてしまうからです。
外部からの不正アクセスに対しては、オフライン状態にしておくことは価値がありますが、取引所の統制を考えた時には、内部犯行や盗難というリスクにも対処しなくてはいけません。ハードウェアウォレットを金庫に閉まったり、入出金の際は複数人体制でやるとか、保管場所から勝手に持ち出そうとするとセンサーがアラートが発動するとか、そうした仕組みを作らないとダメでしょう。
――他の大手取引所はどのように保管しているのでしょう。
ハードウェアウォレットを使っている取引所もありますが、マウントゴックス事件の時には紙で保管されていたと聞きました。意外とサーバーに保管して電源を落としているだけかもしれません。
セキュリティ対策を二の次にするユーザー
こんな取引所は選んではいけない
――ユーザーのセキュリティ対策への意識は、どのように感じますか。
今回の流出事件を受けて、自社のセキュリティ対策の技術的な面を発表した取引所もありましたが、対策を発表しているだけで、セキュリティの選択はユーザーに委ねている部分も多いのが現状です。
ユーザーは、セキュリティに対するリテラシーが低い人が多く、操作性を優先してしまって、安全性はなおざりにされがちです。私がヤフーのセキュリティ担当をしていた時は、二段階認証の利用率は1%に達していませんでした。面倒くさがるのと、慣れていない人が多いからです。
二段階認証にはいくつか方法があり、第一段階として利用者がログイン時にIDやパスワードを入力した後に、第二段階として認証用のセキュリティコードが、電子メールやショートメッセージで事業者から自動配信されるものがあります。実は、これはあまり安全ではなく、やらないよりはまし、という程度です。
実際に、この方法を採用していた取引所から仮想通貨が盗まれた事例がありますし、アメリカのNIST SP800-63-3という政府調達規格では「SMSは安全ではないからセキュリティとしては認めない」と書いてあります。
――では、どのような対策を取っている取引所を選ぶのがよいのでしょうか。
銀行などが使っている、「アプリ式のワンタイムパスワード」を使っているかどうかが一つの判断基準になります。こうしたアプリ式のセキュリティは、構築の仕組み(アプリケーションインタフェース、API)が充実しているので簡単に作れるようになっています。逆に、アプリ式の二段階認証ができない取引所は選んではいけないと思います。
ただ、アプリ式にも難点があり、連動しているスマホが壊れた時などは、ログインできなくなるので大変なんですけどね。
問われる取引所の内部統制と
金融庁の法整備
――今回の補償として、コインチェックが460億円もの多額の資金を用意できるということに驚いています。
取引所には返済資金がないかもしれないけれど、創業者や株主は持っているのではないかという推測はよく聞きます。取引所がどれだけ自己売買していたかは分かりませんが、創業者や株主は、取引所が扱う前の廉価の“ジャンクコイン”を大量に仕入れておき、それを取引所が扱うようになれば、そのコインの利便性が上がるので値が上がり、売ってしまえば差額が儲かります。
端的に言うと、仮想通貨は金融商品取引法(金商法)の網の目をすり抜けて、インサイダー取引がやり放題なんですよね。一般的に、FX会社も銀行も証券会社も、金商法によって職員は取引を厳しく禁止されていますが、仮想通貨取引所は金商法の規制対象に入っていません。
現行の法律では、仮想通貨は金融商品ではなく支払い手段の一つだと定義されており、仮想通貨は金商法ではなく資金決済法の規制を受けています。資金決済法は改正されましたが、インサイダー取引に関する規制はないので、インサイダー行為を防ぐには各社の「自主規制」しかありません。
そう考えると、これはハッキング被害だけではなく、法整備も必要なのではないかと思います。仮想通貨の取引サービスを規制対象とした資金決済法の改正そのものが、穴だらけだったという議論は避けられないのではないかと思います。
ただ、インサイダー取引のようなことを禁止するのは、すごく大変だと思います。というのも、社員は仮想通貨が好きだから取引所に就職しているはずなので、社内規制を作って「今日からやるな」というのは難しいでしょう。仮想通貨に精通したエンジニアの人材不足が業界のボトルネックなので、なおさら難しいと思います。
仮想通貨の法規制
金商法の対象にすべきという議論も
――仮想通貨の業者も金商法の対象にすべきという議論はないのでしょうか。
そういう議論もありますが、そうすると金商法下では、証券会社などの金融商品取引業者を経由して仮想通貨の取引をする必要があります。仮想通貨業社が金融商品取引業者として登録することもできますが、申請条件は厳しく、中小企業にとってはハードルが高いでしょう。
仮想通貨業者が証券会社などを経由して仮想通貨の取引を行うとすると、仮想通貨そのものの取引に加え、仮想通貨の新規発行を通じた資金調達(ICO、Initial Coin Offering)も活発化する可能性があり、市場に資金が集まりやすくなります。
そうなると、仮想通貨は発行高が決まっていますから、資金が集中すればバブルが起こりやすくなってしまいます。だから金商法に仮想通貨を組み込まないことは、バブルを防いできたという側面もあるのです。
米国では、あえて仮想通貨を他の投資に組み込まず、分けることによって資金が流れ込まなくしています。ただ、これだけ仮想通貨が普及してくると、分ける意味がないという判断はあり得ると思いますし、組み込んだ際には実効性のある自己規制ができるのかということがいずれ論点になるかと思います。
http://diamond.jp/articles/-/159477
仮想通貨「NEM」の不正流出事件が起こり、仮想通貨の売買や日本円の出金を停止していた仮想通貨取引所「Coincheck」。サービスを運営するコインチェックは2月13日、日本円の出金を再開した。
コインチェックでは同日20時から本社が入居するビルのエントランスで会見を実施。同社取締役COOの大塚雄介氏が現状を説明した。なお、同日午後には複数メディアで同社が会見をするとの報道があったが、報道後も同社広報は「会見は行わない」としていた。
冒頭、大塚氏は「まだすべて話をするわけではなく、後日改めてその機会を設けさせていただきたいと思う」とした上で、現時点での同社の状況を説明した。
コインチェックでは2月13日付けで金融庁の業務改善命令に対して、報告書を提出。「継続して事業をさせて頂くところを一歩一歩、改善を進めている。まず一歩目だが、日本円の出金を再開した」と説明。すでに13日だけで401億円の出金を終了しているという。また明日以降についても、順次出金を行うという。すでに発表済みのNEMに関する補償については「ある程度の目処はついている」としたものの、時期や詳細については「確定したらご報告する」とするにとどめた。
現時点ではいまだ中止している仮想通貨の送金や売買に関しては、外部のセキュリティ専門会社と安全を確認した後に再開するという。ただしこちらに関しても具体的なスケジュールは明示せず、「明確に決まり次第、ちゃんとご報告をさせていただく」とした。
大塚氏から説明があったあと、報道陣との質疑応答が行われた。以下はその概要だ。なお会見は「後ろの予定が詰まっている」(同社)とのことで20時20分で終了した。最後に報道陣が投げた「被害者に対してひと言」という質問に回答することなく、大塚氏はその場を去っている。
業務改善報告書の内容、金融庁とのやり取りについて
お答えすることができないかたちになっている。(記者からの話せる範囲で、という質問に対しても)ちょっとお答えできない。すみません。基本的には今、進めている最中。内容についても、プレスリリースには出しているが、改善報告書の項目の中身に関しては答えられない。
再発防止策において、不正監視の回数増加やコールドウォレットの扱いについて
今の時点でお答えできない
経営体制や第三者委員会の設置について
(前の質問と)一緒で、そこについてもお答えできることない
補償のめどについて
改善計画については、お答えできない。補償のめどなど日付については正式に決まったら。補償金額と数量については報告していることがすべて。(残りの入金額については)今時点ではお答えできない。(ユーザーから返金依頼があれば返せるかについては)はい。
NEMの補償時期がはっきりしない理由について
資金自体はすでにある。そこの調整を行って、問題ないことを1つ1つ確認していく。補償の資金となる現金は手当できている。(財務状況を金融庁に報告しているかについて)金融庁とのやり取りに関しては話せない。
NEMの補償時期が言えないと不信感がある
おっしゃることはまさにそうだが、お答えできない。1つずつ確認しているので、確認できれば報告させて頂く。
顧客資産と会社資産を分別した上で返せるということか
はい。もともと分別管理が前提。今回の日本円の出金も、預かった資金から出している。
(補償の資金についても)自己の資金から。(他の仮想通貨も分別管理しているかについては)、はい。
そもそも金融庁の仮想通貨交換業者登録が遅れた理由について
事件と関係がないのでお答えしかねる。
売買機会を逸したユーザーからの損害賠償の動きについて
売買については今しばらくお待ち頂く。(補償については)まだ確認できていないのでお答えしかねる。
事業者登録ができる確信があるか
はい。基本的には事業を継続する。登録もさせて頂く。(登録ができなければ)違法になるので事業ができないと思う。
NEM流出からの2週間で決まったことは
外部の専門家にセキュリティの確認をして、日本円の出金ができるようになった。加えて仮想通貨売買も前に進めている。(解決までの時間について)ある程度の見通しはついているが、正式にはまだ。目処についてもお伝えできない。私たちのシステムとして安全に送金できるのかどうかを確認中。一番はユーザーの資産が手元に戻る事。
だいたいでいいので目処を示せないのか
見通しとズレがないようにしてから正式に報告する。
なぜ代表取締役社長の和田晃一良氏はいないのか。
私が責任を持っているから。(和田氏は)今日は業務改善命令の報告をしていた。今もオフィスにおり、サービス改善に関わっている。
コインチェックの現預金について
お答えしかねる。(売上高や営業利益、純利益なども)お答えは控える。(開示の意向について)現時点では、ない。
経営責任について
繰り返しになってしまうが、業務改善命令の中身に関してお答えできない。(責任の取り方については)今ちゃんと考えているところ。正式な内容がきまれば報告する。(経営陣の辞める意向については)そこらへんも含めて中身が決まれば報告する。
出金停止、業務停止の是非について
ユーザーの資産を一番に考えて、これ以上被害が出ないためにも妥当な判断だと思っている。
破産申請の可能性について
破産するつもりはなく、事業継続の意思がある。ある程度の見通しも立っている。事業の継続と金融庁への登録を継続する。
不正アクセスの原因究明について
報告の内容になるため話せない。(ユーザーへのアナウンスについて)目処が立ち次第報告する。
不正流出したNEMが換金されているという話について
捜査関係の話はできない。
http://jp.techcrunch.com/2018/02/13/coincheck/
