今日はこの話題の感想エントリーです。
1月26日、仮想通貨を扱う大手取引所のコインチェック社は緊急記者会見を開き、580億円相当の仮想通貨「NEM(ネム)」が外部に流出したと発表しました。
コインチェック社は金融庁に報告すると共に、利用者に扱う全通貨の出金を一時中止しました。
コインチェック社は会見で事件の概要を次のように説明しています。
1.被害は5億2300万NEM(約580億円)。流出はNEMのみ、他通貨は無事詳細については調査中とのことですけれども、どうやら、外部からのハッキングにあって、顧客の口座からNEMを引き出されたようです。
2.財団に相談したところHFは出来かねる
3.NEMはホットウォレットにあった
4.不正アクセスは外国から行われた
5.NEMの保証は検討中
6.他通貨についても対応方法を検討中
コインチェック社は「1度に580億円がすべて流出したのではない。少しずつ減っていて気づいたら580億円が流出していた。異常を検知したのは26日午前11時25分」と述べ、14時には不正な取引発生の状況を把握し、14時40分ごろにはNEM.io財団に事態収拾のためのコンタクトを取っていたようです。
この不正送金については、ネットでも素早く気づいていたらしく、14時過ぎの段階でコインチェック社のユーザーからネットで「XEMアカウントから謎のアカウントに5.2億XEM(約580億円)送金!?」と書き込みされています。
著作家で有名ブロガーの山本一郎氏は、「NEMは中華圏からの不正なアクセスが多い暗号通貨のひとつとされていた」と指摘しています。
こんな大規模な資金流出が簡単に行われてしまうとはセキュリティはどうなっているのか、と思いますけれども、コインチェック社はNEMをホットウォレットに置いていたと答えています。
ウォレットとは仮想通貨を保管する"財布"のようなものなのですけれども、ウォレットには、大きく分けて常時ネットワークに接続された環境にあるホットウォレットと、ネットワークから隔離された環境におく"コールドウォレット"の二つがあります。
コインチェック社はNEMをホットウォレットに置いていたということですから、ネットワークからの不正アクセスの危険に晒されていたということです。
顧客の口座はウォレットを運営する会社または口座を持つ顧客本人が秘密鍵と呼ばれるアドレスを管理してセキュリティを掛けているのですけれども、サイバー攻撃などによってこの秘密鍵を解かれてしまう危険があります。
要するに、ホットウォレットに置いている仮想通貨はその口座の秘密鍵を解かれると、その時点で盗むことが出来るということです。
無論、秘密鍵を解かれないようにする対策も存在します。それは、非常に単純な方法ですけれども、簡単にいえば、一つの口座に複数の異なった秘密鍵を持たせるという方法で「マルチシグ」と呼ばれています。
※ 仮想通貨のアドレスで3から始まるものがマルチシグ対応のアドレス
ところが、コインチェック社はNEMを置いていたホットウォレットの秘密鍵が「マルチシグ」対応ではないと会見で述べています。
ホットウォレットで管理しているだけでも危ないのに「マルチシグ」にもしていなかった。セキュリティという意味では杜撰な管理といわざるを得ません。
金融庁は2017年4月に改正資金決済法を施行し、仮想通貨取引所に登録制を導入しています。現時点で16社が登録され、コインチェック社も関東財務局に登録申請しているものの審査はパスしていません。ただし
コインチェック社は改正法施行前に取引所を運営していたので「みなし業者」と位置づけられています。
関東財務局の関係者によれば「コインチェック社は匿名性の高いコインの取り扱いを行いたいという意向が強かったため、資金決済法上の交換業者登録を見送っていた」と説明しているそうですから、この辺りをクリアしない限り登録は難しいかもしれません。
コインチェック社は今後も事業を継続していく、としていますけれども、580億円もの顧客のお金を溶かしてしまったインパクトは計り知れませんし、失った信用はもっと大きい。
仮に今後、コインチェック社で取引が再開できたとしても、コインチェックを使っていた顧客は離れていくでしょうね。
これで仮想通貨そのものが駄目になるとはいいませんけれども、少なからず影響があることは間違いないですね。
この記事へのコメント