コインチェック社のNEM(ネム)580億円流出騒動まとめ

NEM_coincheck コインチェック(coincheck)

1月26日、coincheckによって仮想通貨ネムの取引が停止され、その後全てのアルトコインの取引が停止されるという異常事態が発生し、仮想通貨業界に大きな激震が走りました。

Coincheckがセキュリティのずさんさをつかれ、日本円にして580億円相当ものNEMを奪われてしまったのです。

本稿では、1月26日から現在(1月28日9時)に至るまでの事件の流れを解説しておきたいと思います。

NEM(ネム)流出騒動の概要

1月26日、日本の大手仮想通貨取引所の一つであるcoincheckが、ネムの入出金および売買を停止しました。

そのことについて、26日13時ごろ、ツイッターのcoincheck公式アカウントは、以下のとおりコメントを出しました。

 

現在、NEMの入金、出金、売買を停止しております。

ご迷惑、ご心配をおかけしておりまして申し訳ございません。

原因や詳細など、判明次第早急にお知らせ致しますため、ご了承くださいますよう、お願い申し上げます。

 

このほか、coincheck公式サイトの情報にも、以下のような記載がなされていました。

 

現在、NEMの入金について制限をさせていただいております。

入金を行いました場合、残高に反映がされませんため、入金を行わないようお願い申し上げます。

 

つまり、この時点ではなぜそのような処置が行われているのか明らかにされず、大きな動揺を引き起こしました。

NEM財団のLon Wong氏がハッキング被害を公表

この混乱に対して、ネム財団のLon Wong氏は、以下のようなコメントを出しました。

 

coincheckがハッキング被害に遭ったことを残念に思います。

私たちにできることがあれば何でも手助けしたいと思います。

今回の事件は、仮想通貨史上最大の被害額となるでしょう。

しかしcoincheckがNEMを盗まれたのは、NEMのマルチシグコントラクト(秘密鍵が複数に分割されている、セキュリティ強化のための仕組み)を採用していなかったためです。

今回の事件はNEMの脆弱性によるものではありません。

したがって、アップデートの必要もありません。

 

このように、ハッキング被害に遭ったことを、coincheckの公式発表よりも早く公表したのです。

これによって、事の重大さがだんだんと明らかになっていきました。

coincheck本社前には報道陣が集まり、様々なニュース記事が公表されました。

 

coincheckの記者会見の内容

coincheckは、26日23時30分ごろから記者会見を開きました。

記者会見での質疑応答によって、事件の全貌とその周辺情報が明らかにされました。

 

[surfing_voice icon=”https://kasou-tsuuka.jp/wp-content/uploads/2018/01/shitsumon.jpg” type=”r” bg_color=”eee” font_color=”000″ border_color=”eee”]被害総額は?[/surfing_voice]

[surfing_voice icon=”https://kasou-tsuuka.jp/wp-content/uploads/2018/01/coincheck_syatyou.jpg” type=”l” bg_color=”eee” font_color=”000″ border_color=”eee”]5億2000万XEM(約580億円)。[/surfing_voice]

[surfing_voice icon=”https://kasou-tsuuka.jp/wp-content/uploads/2018/01/shitsumon.jpg” type=”r” bg_color=”eee” font_color=”000″ border_color=”eee”]ネム以外のハッキングの有無は?[/surfing_voice]

[surfing_voice icon=”https://kasou-tsuuka.jp/wp-content/uploads/2018/01/coincheck_syatyou.jpg” type=”l” bg_color=”eee” font_color=”000″ border_color=”eee”]確認されていない。

ハッキングされていないと思われる。[/surfing_voice]

[surfing_voice icon=”https://kasou-tsuuka.jp/wp-content/uploads/2018/01/shitsumon.jpg” type=”r” bg_color=”eee” font_color=”000″ border_color=”eee”]流出した顧客への補償は?[/surfing_voice]

[surfing_voice icon=”https://kasou-tsuuka.jp/wp-content/uploads/2018/01/coincheck_syatyou.jpg” type=”l” bg_color=”eee” font_color=”000″ border_color=”eee”]現在検討中である。[/surfing_voice]

[surfing_voice icon=”https://kasou-tsuuka.jp/wp-content/uploads/2018/01/shitsumon.jpg” type=”r” bg_color=”eee” font_color=”000″ border_color=”eee”]マルチシグコントラクトに対応していたか?[/surfing_voice]

[surfing_voice icon=”https://kasou-tsuuka.jp/wp-content/uploads/2018/01/coincheck_syatyou.jpg” type=”l” bg_color=”eee” font_color=”000″ border_color=”eee”]対応しようとしていたものの、まだ実装していなかった。

また、ホットウォレット(オンラインのウォレットでリスクが高い)で管理されていた。[/surfing_voice]

[surfing_voice icon=”https://kasou-tsuuka.jp/wp-content/uploads/2018/01/shitsumon.jpg” type=”r” bg_color=”eee” font_color=”000″ border_color=”eee”]ネム以外のセキュリティは?[/surfing_voice]

[surfing_voice icon=”https://kasou-tsuuka.jp/wp-content/uploads/2018/01/coincheck_syatyou.jpg” type=”l” bg_color=”eee” font_color=”000″ border_color=”eee”]ビットコインはコールドウォレット(オフラインのウォレットでリスクが低い)でマルチシグに対応しており、イーサリアムはコールドウォレットでマルチシグには対応していない。[/surfing_voice]

[surfing_voice icon=”https://kasou-tsuuka.jp/wp-content/uploads/2018/01/shitsumon.jpg” type=”r” bg_color=”eee” font_color=”000″ border_color=”eee”]ネムのハードフォークはあるか?[/surfing_voice]

(※イーサリアムのハッキングの時と同様に、ハードフォークによってハッキングをなかったことにするか?)

[surfing_voice icon=”https://kasou-tsuuka.jp/wp-content/uploads/2018/01/coincheck_syatyou.jpg” type=”l” bg_color=”eee” font_color=”000″ border_color=”eee”]ネム財団の判断であってcoincheckでは何とも言えない。[/surfing_voice]

[surfing_voice icon=”https://kasou-tsuuka.jp/wp-content/uploads/2018/01/shitsumon.jpg” type=”r” bg_color=”eee” font_color=”000″ border_color=”eee”]入出金や売買の停止はいつ解除される?[/surfing_voice]

[surfing_voice icon=”https://kasou-tsuuka.jp/wp-content/uploads/2018/01/coincheck_syatyou.jpg” type=”l” bg_color=”eee” font_color=”000″ border_color=”eee”]顧客の安全が確保されるまで解除はしない。[/surfing_voice]

[surfing_voice icon=”https://kasou-tsuuka.jp/wp-content/uploads/2018/01/shitsumon.jpg” type=”r” bg_color=”eee” font_color=”000″ border_color=”eee”]ハッキング元は国内か、海外か?[/surfing_voice]

[surfing_voice icon=”https://kasou-tsuuka.jp/wp-content/uploads/2018/01/coincheck_syatyou.jpg” type=”l” bg_color=”eee” font_color=”000″ border_color=”eee”]調査中である。

盗まれた時刻などの記録は残っている。[/surfing_voice]

[surfing_voice icon=”https://kasou-tsuuka.jp/wp-content/uploads/2018/01/shitsumon.jpg” type=”r” bg_color=”eee” font_color=”000″ border_color=”eee”]ビットコインの決済はどうなる?[/surfing_voice]

[surfing_voice icon=”https://kasou-tsuuka.jp/wp-content/uploads/2018/01/coincheck_syatyou.jpg” type=”l” bg_color=”eee” font_color=”000″ border_color=”eee”]中止する予定はないが、今後のことは未定である。[/surfing_voice]

[surfing_voice icon=”https://kasou-tsuuka.jp/wp-content/uploads/2018/01/shitsumon.jpg” type=”r” bg_color=”eee” font_color=”000″ border_color=”eee”]金融庁の登録はどうなる?[/surfing_voice]

(※流出事件時、coincheckは金融庁未登録である)

[surfing_voice icon=”https://kasou-tsuuka.jp/wp-content/uploads/2018/01/coincheck_syatyou.jpg” type=”l” bg_color=”eee” font_color=”000″ border_color=”eee”]登録を前提に動いている。

しかし金融庁の判断になるので何とも言えない。[/surfing_voice]

[surfing_voice icon=”https://kasou-tsuuka.jp/wp-content/uploads/2018/01/shitsumon.jpg” type=”r” bg_color=”eee” font_color=”000″ border_color=”eee”]セキュリティへの努力が足りなかったのでは?[/surfing_voice]

[surfing_voice icon=”https://kasou-tsuuka.jp/wp-content/uploads/2018/01/coincheck_syatyou.jpg” type=”l” bg_color=”eee” font_color=”000″ border_color=”eee”]可能な限り努力していた。[/surfing_voice]

[surfing_voice icon=”https://kasou-tsuuka.jp/wp-content/uploads/2018/01/shitsumon.jpg” type=”r” bg_color=”eee” font_color=”000″ border_color=”eee”]セキュリティは外注か?[/surfing_voice]

[surfing_voice icon=”https://kasou-tsuuka.jp/wp-content/uploads/2018/01/coincheck_syatyou.jpg” type=”l” bg_color=”eee” font_color=”000″ border_color=”eee”]全て内部で開発しており、社員80名のうち40名がセキュリティの開発と管理に当っている。[/surfing_voice]

[surfing_voice icon=”https://kasou-tsuuka.jp/wp-content/uploads/2018/01/shitsumon.jpg” type=”r” bg_color=”eee” font_color=”000″ border_color=”eee”]顧客に補償する資金力はあるか?[/surfing_voice]

[surfing_voice icon=”https://kasou-tsuuka.jp/wp-content/uploads/2018/01/coincheck_syatyou.jpg” type=”l” bg_color=”eee” font_color=”000″ border_color=”eee”]補償するかどうかも未定である。

coincheckの資産状況の公表も未定である。[/surfing_voice]

[surfing_voice icon=”https://kasou-tsuuka.jp/wp-content/uploads/2018/01/shitsumon.jpg” type=”r” bg_color=”eee” font_color=”000″ border_color=”eee”]セキュリティ不足の中でCMによる集客をした理由は?[/surfing_voice]

[surfing_voice icon=”https://kasou-tsuuka.jp/wp-content/uploads/2018/01/coincheck_syatyou.jpg” type=”l” bg_color=”eee” font_color=”000″ border_color=”eee”]セキュリティには最大限の努力をしていたし、金融庁の登録もできる前提で動いていた。

現在、coincheckのCMは全て放映中となっている。[/surfing_voice]

[surfing_voice icon=”https://kasou-tsuuka.jp/wp-content/uploads/2018/01/shitsumon.jpg” type=”r” bg_color=”eee” font_color=”000″ border_color=”eee”]ネム所有者などのデータは公表するか?[/surfing_voice]

[surfing_voice icon=”https://kasou-tsuuka.jp/wp-content/uploads/2018/01/coincheck_syatyou.jpg” type=”l” bg_color=”eee” font_color=”000″ border_color=”eee”]株主と相談して検討している。[/surfing_voice]

[surfing_voice icon=”https://kasou-tsuuka.jp/wp-content/uploads/2018/01/shitsumon.jpg” type=”r” bg_color=”eee” font_color=”000″ border_color=”eee”]株主の過半数は和田氏(coincheck代表取締役)と大塚氏(coincheckのCOO)か?[/surfing_voice]

[surfing_voice icon=”https://kasou-tsuuka.jp/wp-content/uploads/2018/01/coincheck_syatyou.jpg” type=”l” bg_color=”eee” font_color=”000″ border_color=”eee”]過半数を占めている。[/surfing_voice]

[surfing_voice icon=”https://kasou-tsuuka.jp/wp-content/uploads/2018/01/shitsumon.jpg” type=”r” bg_color=”eee” font_color=”000″ border_color=”eee”]事業の継続は可能か?[/surfing_voice]

[surfing_voice icon=”https://kasou-tsuuka.jp/wp-content/uploads/2018/01/coincheck_syatyou.jpg” type=”l” bg_color=”eee” font_color=”000″ border_color=”eee”]継続していく方法を検討している。[/surfing_voice]

[surfing_voice icon=”https://kasou-tsuuka.jp/wp-content/uploads/2018/01/shitsumon.jpg” type=”r” bg_color=”eee” font_color=”000″ border_color=”eee”]昨年6月、不正ログイン被害への補償を発表しているが?[/surfing_voice]

[surfing_voice icon=”https://kasou-tsuuka.jp/wp-content/uploads/2018/01/coincheck_syatyou.jpg” type=”l” bg_color=”eee” font_color=”000″ border_color=”eee”]未だ実施していない。[/surfing_voice]

[surfing_voice icon=”https://kasou-tsuuka.jp/wp-content/uploads/2018/01/shitsumon.jpg” type=”r” bg_color=”eee” font_color=”000″ border_color=”eee”]不正ログインへの補償を実施していないのはなぜ?[/surfing_voice]

[surfing_voice icon=”https://kasou-tsuuka.jp/wp-content/uploads/2018/01/coincheck_syatyou.jpg” type=”l” bg_color=”eee” font_color=”000″ border_color=”eee”]対応する予定だったが再度検討することとなり、延期となっている。[/surfing_voice]

不誠実な印象

筆者は、coincheckの利用者です。

ネムは1月初めに全部売っていたため、今回の被害にはあっていませんが、記者会見の結果は興味深く読みました。

筆者の印象では、coincheckの対応は全て後手に回っていて、ある事件が起こってからそれについて釈明するという対応しかできていない印象があります。

本来ならば、事件を未然に防ぎ、何の釈明もないのが普通です。

今回の事件と記者会見の内容から、coincheckユーザーの信頼を大きく損なったのではないかと思います。

少なくとも、筆者は非常に残念な印象を抱いています。

特に、取引所ではコールドウォレットで管理することが基本であるのに、ホットウォレットで管理していたなどということは、あまりにも管理体制がずさんであると言えるでしょう。

また、その対応を以て「可能な限り努力していた」というのですから、coincheckのセキュリティ能力はその程度なのでしょう。

2014年のマウントゴックス事件でも、ホットウォレットで管理していたところを衝かれており、全ての取引所がホットウォレットの危険性を十分に認識したはずなのに、それでもホットウォレットで管理していたcoincheckは、経営陣の認識が非常に甘いと言わざるを得ません。

 

NEMコミュニティの力

上記の記者会見によって、coincheckは補償の方針を検討中であるとし、ユーザーは「盗まれた資産は返還されるのか?」という不安に駆られたことでしょう。

しかし、当事者であるcoincheckが対応できずにまごついている中、ネム財団が動き始めました。

coincheckは、事件の対応でも後手に回ったわけです。

ネム財団では、coincheckにハッキングを仕掛けて不正にネムを取得したアカウントにタグをつけ、ハッカーのアカウントであると識別できるよう、各取引所と連携することとしました。

この対応はすべて、ツイッターのネム財団アカウントで公表されました。

ざっと紹介すると以下の通りです。

[surfing_su_note_ex note_color=”#eee” radius=”20″]

  1. 事件後、ネムは自動タグをつけるシステムを開発。このシステムによって、盗まれたお金を受け取ったアカウントがタグ付けされるようになった。
  2. このシステムは、すぐに取引所に対し公開された。
  3. これによって、ハッキングによって盗まれたネムは取引所で売却できなくなった。

[/surfing_su_note_ex]

ハッキングされたネムの売却ができなくなり、ひとまずハッキング問題は解決したとしています。

数時間でここまでの対応ができたということは、注目すべきでしょう。

ネムのコミュニティが優れていることは、これまでにもしばしば注目されてきたことですが、今回の事件でそれがより鮮明になったといえるでしょう。

 

コインチェックのNEM(ネム)補償方針

coincheck_ネム補償

1月27日23時にcoincheckは、ハッキング被害に遭ったネム保有者に対して、日本円で返金することを発表しました。

しかし、この対応は不満が残ることでしょう。

なぜならば、補償金額は1XEM=88.549円とし、それの保有数を掛け合わせた額の補償となるからです。

もちろん、被害額の大きさ(約580億円)と被害者の多さ(約26万人)から、全額返ってこない可能性も高かったわけですから、安堵した投資家が多いのは事実です。

しかし、筆者はこの対応を褒められたものではないと感じています。

補償額の算出では、1月26日12時頃にネムの売買が停止されてから、補償決定のニュースがリリースされるまでのチャートを参考にしたうえで、1XEM=88.459円という補償額を発表しています。

しかしこの参考価格は、coincheckのハッキング被害によって暴落したチャートを参考にしています。

coincheckが自社のセキュリティの脆弱性からハッキング被害に遭い、ネムの暴落を招いたわけです。

これでは、

 

[surfing_su_note_ex note_color=”#fff”]「わが社が引き起こした暴落も考慮したうえで補償額を決定しました。

暴落によって生じた損失は、被害者の皆さんで負担してください」[/surfing_su_note_ex]

 

と言っているようなものです。

少なくとも、売買停止直前の価格で補償すべきではないでしょうか。

 

まとめ

マウントゴックス事件以降、仮想通貨取引所の健全性は高まっているとされていました。

仮想通貨に関連する事業者のコメントを見てみても、

 

あれはマウントゴックス社が悪かったのであって、仮想通貨が悪かったのではない。

今後、取引所のコンプライアンスは向上していき、顧客は守られていくであろう。

 

といわれ、実際に取引所のセキュリティは向上していきました。

投資家たちは、よもや2018年の仮想通貨取引所が、仮想通貨をホットウォレットで管理していることなどあるはずがないと考えていました。

しかし、coincheckはその愚を犯し、仮想通貨史上最悪の事件を引き起こしてしまったわけです。

今回のコインチェックのNEM流出事件を良き教訓として、仮想通貨取引所に預け入れたまま仮想通貨を保管しておくことのリスクを十分に認識したうえで、MEWやハードウォレットで仮想通貨を自ら保管することを強く推奨します。

 

タイトルとURLをコピーしました