またも不祥事。Zaifがハッキングにより67億円を盗まれる

ザイフ(Zaif)

coincheck事件から約8か月が経過し、金融庁の規制も徐々に進み、仮想通貨交換業協会の自主規制方針も具体性を帯びてきました。

新規業者の審査も再開することが発表され、いよいよ日本の仮想通貨業界も再始動だという時、Zaifがハッキング被害に遭ってしまいました。

このタイミングでのハッキング被害は、仮想通貨業界全体に悪影響を与えることになると思います。

また、単にハッキング被害に遭ったセキュリティ性だけではなく、Zaifの対応も問題視されています。

本稿では、事件の詳細についてまとめていきます。

Zaifがハッキング被害を受ける

9月20日のプレスリリースにて、仮想通貨取引所Zaifがハッキング被害に遭ったことを報告しました。

国内の仮想通貨取引所のうち、金融庁からも認可を受けているZaifを利用していた人も多いことと思います。

coincheck事件以降、少なくとも金融庁の認可を受けている取引所を利用することは鉄則となっていましたが、認可を受けている取引所でも安心とは言い切れません。

Zaifの公式サイトのトップには「Zaifなら安心・安全!万全のセキュリティ」と記載していますが、巨額のハッキング被害に遭ってしまい、言行不一致の醜態をさらしてしまいました。

 

Zaifの罪深さ

今年の初めにはcoincheck事件が起こり、2017年から盛り上がってきた仮想通貨投資に水を差すこととなりました。

一般の人々に対し、仮想通貨は危険なものであるとの認識を持たれる原因を作ったことは、大きな罪だと言えます。

その後、金融庁は大々的な規制に乗り出し、厳しい中でも業界が発展するように腐心してきました。

仮想通貨という、扱い方の定まっていないものへの対応を迫られた金融庁は、四苦八苦しながら取り組んできたわけです。

仮想通貨業界でも自主規制団体(仮想通貨交換業協会、以下JVCEA)を作って金融庁の動きに呼応してきました。

JVCEAの結成後、その会員となる取引所が金融庁から業務改善命令を出されるなどの問題も見られましたが、発達の途上にある仮想通貨業界においてはそれも仕方のない部分があったと言えます。

それよりも、業界の発展のために業者間での結束が生まれていることを評価すべきでしょう。

以上のように、金融庁と仮想通貨業界全体での取り組みにより、色々な問題を乗り越えつつ、仮想通貨規制は徐々に進んでいきました。

そして先日、金融庁は取引所への立ち入り検査などの結果を報告し、仮想通貨交換業者の新規登録を再開することを発表していました。

これに伴い、JVCEAも自主規制の方向性を具体的にしており、coincheck事件から約8か月にして、ようやく仮想通貨業界は再始動に向かっていくところでした。

そのタイミングでのZaif事件。

まだ事件の詳細は明らかになっていないものの、67億円がハッキングされたこと、Zaifの報告に矛盾点や不明点が見られることなど、かなり大きな問題であることは間違いありません。

仮想通貨業界が再始動に動こうとしていた最中の事件であり、タイミング的には最悪であると言えるでしょう。

これにより、再び仮想通貨は信用ならないものだとする認識を生むことになり、仮想通貨業界へのマイナスは避けられないでしょう。

また、金融庁やJVCEAでは、投資家保護を重要なミッションとして取り組んできました。

Zaifは金融庁の認定を受けており、これまでも業務改善命令を受け、金融庁の意図を汲んで営業を続けてきたはずです。

さらに、ZaifはJVCEAの会員でもあります。

そのZaifがハッキング被害を受けたことは、金融庁やJVCEAの投資家保護への取り組みを全て否定しかねない大きな事件とも言えるのです。

 

 

事件の流れ

では、今回の事件の要点と流れ、Zaifの動き、現時点で確認できる問題点などについて見ていきましょう。

 

現在確認できている事実

Zaifの報告により、現時点で確認できているのは以下の事柄です。

 

[surfing_su_list_ex icon=”icon: exclamation” icon_color=”#d20707″]

  • ハッキングの被害額は約67億円
  • ハッキングされた仮想通貨はビットコイン、ビットコインキャッシュ、モナコイン
  • 内訳はビットコインが5966BTC、ビットコインキャッシュとモナコインは不明(ビットコイン価格を72万円と仮定すると、ビットコインが約43億円、ビットコインキャッシュとモナコインで約24億円となる)
  • 被害に遭った仮想通貨の22億円はZaifの資産であり、約45億円が顧客からの預かり資産
  • 被害に遭った顧客の資産は保証される

 

事件の経緯

このような被害が起こった推移は以下の通りです。

 

“#eee” radius=”20″]

  1. 9月14日17~19時頃、外部からの不正アクセスにより、ホットウォレット内の仮想通貨3種67億円が不正送金される。
  2. 9月17日17時頃、Zaifはサーバーの異常を検知し、ツイッターで報告する。
    (「現在、BTCとMONAの入出金がサーバ障害により、停止しております。復旧に向け調査中です。入出金をお控えいただけますようよろしくお願いいたします。ご迷惑をお掛けして申し訳ございません。」)
  3. 9月18日、ハッキング被害を確認し、財務局に報告する。
    原因分析と捜査当局への被害申告も行う(プレスリリースによる報告であり、時間は不明)。
  4. 9月18日12時頃、ツイッターで「お客様の資産の安全を確認いたしました」との報告。
    (「【仮想通貨入出金障害の続報】現在BTC,MONA,BCHの入出金を一時停止しております。引き続き障害対応中ですが、お客様の資産の安全を確認いたしましたことをご報告いたします。復旧については1~2営業日中に完了する予定です。ご迷惑をおかけしておりますことをお詫び申し上げます。」)
  5. 9月20日2時頃、Zaifの運営元であるテックビューロ株式会社のプレスリリースにて、ハッキング被害と経緯、対応などを報告。

 

どこが問題か

現在明らかになっていること、そして事件の経緯を見てみると、色々な問題点が見えてきます。

最大の問題点は、Zaifの対応の不誠実さです。

Zaifの主張が事実であったとしても、多くの人が不誠実だと感じているのは事実です。

それも含めて、問題点を見ていきましょう。

 

なぜ被害総額が分かるのか?

被害総額は約67億円と発表されており、その一方でビットコインキャッシュとモナコインの被害数量は不明とされています。

普通に考えるならば、ビットコイン、ビットコインキャッシュ、モナコインのそれぞれの被害数量が明らかになってこそ、日本円での被害総額も計算できるはずなのですが、これについて特に説明はありません。

プレスリリースによると、ともかくビットコインキャッシュとモナコインの被害数量は現在調査中で、その理由は二次被害を防ぐためであり、安全を確認するまではサーバーを再稼働できないからだとしています。

となると、安全を確認するまでは、ビットコインキャッシュとモナコインの被害数量は不明のままで、被害総額67億円の根拠も不明のままとなってしまいます。

プレスリリースでは、「損失の総額は、日本円で約67億円相当と思われます」としており、現在の被害総額は予測であるとしています。

そして、「消失仮想通貨の数量が確定でき次第、速やかにご報告させていただく予定です」としています。

被害総額の予測もどのように出したかよくわかりませんし、現在は調査できない状態にあるのですから、いざ蓋を開けてみたら被害総額はもっと大きかったということもあるのかもしれません。

もちろん、被害をある程度特定しているものの、何らかの理由で公表していないと言うだけかもしれませんが、なんだかはっきりしない内容だという印象を持ってしまいます。

 

セキュリティがザルすぎる

まず、事件の発端は9月14日にあります。

しかし、サーバーの異常を検知したのはその3日後です。

異常を検知するということは、不正送金などを防ぐための手段であるはずなのに、資産を盗まれてから3日後に異常を検知しているのですから、これほど後手に回った滑稽な防犯システムもないでしょう。

空き巣が入ってから、3日後に異常を検知して警備会社が駆けつけてくるのでは遅すぎるのです。

ホームセキュリティのような、通報があってから警備員の駆け付けるというアナログな世界でさえ、通報後25分以内には駆け付けます。

よりスピーディなデジタルの世界で、不正の検知に3日を要し、それがハッキング被害であったことが分かるまでにもう1日かかっているのですから、あまりにも問題があり過ぎます。

この流れを見た時、異常の検知やハッキング発覚までにこれだけの時間を要したというのはごまかしであり、実際にはもっと早く気づいていたけれども、対応策を練るために時間稼ぎをしていたのだと思われても、仕方ないでしょう。

もし、本当にこれほどの時間がかかるシステムで運営されていたとするならば、ハッカーからすればやりたい放題できるような環境ですし、これまでハッキングされなかったのが不思議なくらいです。

そのような取引所が金融庁の認可を受けて営業してきて、JVCEAの一員として自主規制案を考えていたとすれば・・・などと考えると、もはやZaifだけの問題ではありません。

金融庁やJVCEAにも飛び火する結果を招きかねない、大変無責任なやり方にも見えます。

 

説明が不誠実すぎる

Zaifの主張を額面通り受け取るならば、異常の検知に3日かかり、ハッキング発覚にもう1日かかったのであり、にわかには信じられません。

しかし仮に、それが本当だとしましょう。

それでも、やはり不誠実という大きな問題が残ります。

なにしろ、プレスリリースでは時間を明らかにすることなく、単に18日にハッキング被害が発覚し、財務局に報告したと書かれています。

しかし、18日12時頃、ツイッターにて、「お客様の資産の安全を確認致しました」、「復旧については1~2営業日中に完了する予定です」とも発言しています。

実際にハッキング被害で顧客の資産を盗まれているのです。

それでも、ツイッターの発言でハッキング被害などなかったと主張するのは、どう考えても矛盾しています。

百歩譲って考えて、18日12時頃には「ハッキング被害はなかった、顧客の資産も安全だ、すぐにでも復旧できる」と確信して報告したものの、その後12時間以内に一転してハッキングが発覚したと考えれば、ツイッターとプレスリリースの内容に矛盾は生じません。

しかし、3日かかったにせよサーバーの異常を検知しており、それを前提に調査を進めておりながら、ハッキング被害に気付かずにツイッターで安全確認の報告に至っているとすれば、それはそれで能力不足も甚だしいと言えます。

Zaif自身の調査能力の低さを自ら露呈しているようなものなのです。

いくらなんでも、そのように無能な会社ではないでしょうし、ハッキング被害はなかったと確信して、あのようなツイートに至ったとは考えにくいです。

しかし、ハッキングが発覚しているならば、あのようなツイートが後で大問題になるのは火を見るよりも明らかで、これまた不思議なところです。

18日12時時点では、ハッキング被害を公表してしまうよりも、とりあえずハッキング被害はなかったとして時間を稼ぐべきだと考えたのでしょうか。

そして、その後のプレスリリースで、苦しいながらも矛盾の解消を図ったのでしょうか。

20日のプレスリリースも、多くの日本人が寝ている2時頃に出されていますが、このようなやり方にもどことなく不快さ、姑息さを感じるのは、筆者だけではないでしょう。

真実は明らかではありませんが、非常に気持ちの悪いところです。

 

やはり時間稼ぎだったのか?

9月20日に報告されたプレスリリースによると、ハッキング被害を以下のようにカバーしていくとしています。

 

“#fff”]

  • 金融庁と捜査当局に届け出を行い、調査に協力してもらう
  • 自社でも株式会社カイカの協力を得て原因調査に努める
  • 株式会社フィスコデジタルアセットグループの子会社を通じ、テックビューロに50億円の支援を提供してもらう(調査の結果、被害総額が変動した場合には支援額も変動する)
  • 支援に当たってテックビューロの株式の過半数を取得する資本提携を行い、過半数以上の取締役と、1名の監査役を派遣する
  • 新経営陣への引き継ぎ後、現経営陣は退任する

 

ここで特に重要となるのが、フィスコグループへの支援依頼でしょう。

奪われた顧客資産は約45億円ですから、50億円の金融支援を受けることで、そのカバーは可能となります。

18日にハッキング被害が発覚し、そこからわずかの時間でここまでの話をまとめ上げたとすれば、それは迅速な対応だったと言えるでしょう。

しかし、ここに疑いを抱かれたとしても、また当然のことと言えます。

顧客資産は安全であると宣言したのが18日の12時頃であり、これが本当であったとすればハッキングの発覚は18日12~24時までのタイミングであったことになります。

そしてプレスリリースが20日2時頃ですから、1日~1日半の時間で上記のような対応がまとめられたことになります。

ハッキング発覚までに4日も要するほどののんびりとした会社が、果たして1日ちょっとでここまでの話をまとめられるのかというと疑問ですし、フィスコグループが50億円という巨額の資金が動かすための判断をしたり、現経営陣が退任することを決断したりするためには、1日ちょっとという時間はあまりにも短すぎるのではないかという疑問が残ります。

もし、不正送金後まもなくハッキング被害に気付いているとすれば、ツイッターでの報告によって時間稼ぎを図り、水面下で様々な交渉を進め、正式なハッキング被害の発表後、短期間のうちに金融支援や経営陣の退任といった色々な具体策まで持ち上がるのも、それほど不思議ではありません。

そのような見方の方が自然だという声もしばしばみられます。

 

 

金融庁やJVCEAの対応

上記のように、67億円のハッキングをされたというセキュリティの甘さ、その事件の起こったタイミングなどのまずさもさることながら、Zaifの不誠実な対応も問題視されています。

金融庁は早急に動かなければなりませんし、そうなればJVCEAも動くこととなります。

現時点での分かっている動きは、以下の通りです。

 

金融庁の対応

まず、金融庁の対応ですが、coincheck事件後まもなく動き始めたのと同じく、今回も早急に動きを見せています。

20日中にはテックビューロに対して立ち入り検査する方針を固めています。

テックビューロは、仮想通貨交換業者として金融庁の認可を受けた後、今年3月と6月の2度にわたって業務改善命令を受けています。

その中で、金融庁は

 

  • セキュリティ(システムリスク管理体制)を改善すること
  • 会社の資産と顧客の資産を分別管理すること
  • 経営管理体制を確立すること

 

などを求めてきました。

それに対してテックビューロは、業務改善命令の進捗について、定期的に金融庁に報告をしてきました。

しかし、今回の被害内容を見てみると、

 

[surfing_su_box_ex title=”ハッキング被害を受け、その発覚までに長くの時間を要している” style=”noise”]

セキュリティに問題があったことは明らかであり、金融庁が求める通りに改善で来ていなかった可能性が高い。[/surfing_su_box_ex]

 

[surfing_su_box_ex title=”被害を受けたのは入出金用のホットウォレットであり、被害総額のうち22億円は会社資産、45億円は顧客資産である” style=”noise”]

会社の資産と顧客の資産が同時に流出しており、これは分別管理できていなかったからである。[/surfing_su_box_ex]

 

[surfing_su_box_ex title=”今後の方針に伴い、現経営陣が退任することが発表されている” style=”noise”]

これは、経営体制に問題があったことを認めているからであり、金融庁が求める通りに経営管理体制を確立できていなかったからである。[/surfing_su_box_ex]

 

ということが分かります。

立ち入り検査の内容と結果にもよるでしょうが、金融庁はこれらの点を問題視し、テックビューロの業務改善報告に嘘があったと指摘する可能性も考えられます。

金融庁は、被害を防止するために改善を求めてきたのですから、これを重大視するのは当然と言えます。

金融庁がどのように処分していくかに注目すべきでしょう。

 

JVCEA

JVCEAは自主規制団体であり、金融庁のように大きな動きを見せる段階ではないと思います。

しかし、会員であるテックビューロがこのような問題を出しているのですから、何らかの動きをせざるを得ないようです。

JVCEAの発表によると、

 

[surfing_su_list_ex icon=”icon: check-circle-o” icon_color=”#0e0ea2″]

  • JVCEAからテックビューロに対し、顧客財産の保護と速やかな情報開示など、利用者保護に必要な措置を要請する
  • 会員である全ての仮想通貨交換業者に対し、緊急点検を行うように要請する

 

という2つの対策を挙げています。

しかし、JVCEAから言われるまでもなく、テックビューロは用意周到に利用者保護に動いてきたように見えますし、他の仮想通貨交換業者にしても、普段からセキュリティ面での点検を実施しているのが当たり前ですから、JVCEAの動きは特に注目する必要はないでしょう。

自主規制を進めていくと言っていた矢先にこんなことになり、金融庁の判断も明らかになっておらず、混乱した状況ですから、それほど具体的な動きをできないのも事実です。

このような事件に際し、速やかに立場を表明し、立場上必要な動きを取ることができたということを確認するだけで十分だと思います。

 

 

仮想通貨業界は未熟だ

今回の事件によって、Zaifには弁護の余地はほとんどありませんし、SNS界隈での評判もボロボロです。

信用ができないからこそ、Zaifから資産を全て引き出して安全を確保したというユーザーも多々見られます。

筆者としては、正直なところ、Zaifでないにしろどこかの国内取引所がやられるという予感はありました。

仮想通貨業界の法的整備はまだまだ未発達ですし、不十分であると指摘されてきたセキュリティについても、どの程度まで改善されたのかが明らかではありません。

少なくとも、coincheck事件以降の取り組みによって、もうこれでセキュリティは大丈夫と確信できるほどの根拠はなかったと思います。

国内の取引所がcoincheck事件の二の舞を演じる可能性は充分にあったとも言えます。

今回、それがたまたまZaifだったというだけなのかもしれません。

Zaifに弁護の余地があるとすれば、この点でしょう。

Zaifが特に悪いというよりも、仮想通貨業界全体の未熟さが原因だったということです。

もし、仮想通貨業界が未熟でなかったとすれば、ハッキング被害に遭ったZaifが金融庁の認可を受けて営業できるはずはありませんし、JVCEAの会員になることもできなかったはずです。

そのような状況であったこと自体、仮想通貨業界の未熟さを証明するものだといえます。

もちろん、coincheck事件以降、仮想通貨業界全体の意識は変わりましたし、マシになったのは間違いないでしょう。

2017年が仮想通貨業界の黎明期であったとすれば、2018年は揺籃期であったと言えるでしょう。

そこから確立期へと至り、このような危険性が全くなったうえで発展期を迎えるためには、もう少し時間がかかると思います。

 

市場の反応から考えると

coincheck事件が起こった時、その影響力は非常に大きく、価格の下落も招いています。

しかし、今回のZaif事件については、市場への影響は極めて軽微です。

ハッキング直後に一時的な下落を見せたとはいえ、その後まもなく価格は回復し、大きな値崩れにはつながりませんでした。

なぜ価格への影響が小さいかと言えば、色々な原因があると思います。

coincheck事件よりも被害総額はかなり小さいため、以前ほどのショックはないのかもしれません。

あるいは、このような被害があることはある程度予測していたという投資家もいるのでしょう。

なにより、coincheck事件のような大きな問題が起きた後でも、仮想通貨市場は機能し続け、業界は少しずつ進展しています。

だからこそ、Zaifが今回のような事件を起こしたところで、仮想通貨そのものの可能性が否定されるわけではないし、それほど大きな問題にはならないだろうという考えがあるのだとも考えられます。

ハッキングは、本来安全性が高いとされる仮想通貨の長所を殺すものであり、大きな問題には違いありません。

しかし、それを考慮しても仮想通貨を魅力的だとする見方をする人が増えているとすれば、それはある意味プラスに捉えられるかもしれません。

 

まとめ

本稿では、Zaifのハッキング被害についてまとめてきましたが、集めた情報による筆写の推測や、ツイッター界隈の意見をもとにして書いた部分も多く、断言に至らなかった内容も多いです。

このことについては、テックビューロが近々会見を開くと思いますし、金融庁の立ち入り検査の内容も公表されるでしょうから、徐々に明らかになってくると思います。

今後どうなっていくかによって、影響度も変わってくると思いますが、仮想通貨業界にマイナスの影響を与える不祥事であったことは間違いないでしょう。

このような困難を乗り越えて成長していくものとも言えるのですが、いち早く問題の起こらない環境を作り上げていってほしいものだと思います。

 

タイトルとURLをコピーしました