1月26日、仮想通貨取引所としてCMも放映している大手のコインチェックが、投資家から預けられている約580億円相当のNEMを紛失してしまったと発表し、大混乱が起きています。2014年におよそ470億円を紛失したマウントゴックス事件より大規模ということもあって、投資家だけでなく報道陣からも非常に注目を集めており、あなたも一度はテレビで本件のことをご覧になったかと思います。その中で、メディアの報道だけだと判りづらい踏み込んだ部分、例えばどういう経緯で流出してしまったのか等を調べました。
コインチェックから大量のNEMが流出した際の経緯
被害総額がおよそ580億円にもなるほど大量のNEMを流出させてしまった原因、それは外部からのサイバー攻撃でした。仮想通貨が有名になって取引を行う投資家が増えるにつれ、それを盗もうとするサイバー攻撃も増加の一途をたどっている今、どこの取引所でもセキュリティ強化は優先すべき目標とされています。ましてや大手のコインチェックともなれば、同業他社よりも強固なセキュリティで守られているだろうから安全だ、と考える投資家も多かったことでしょう。しかし、今回の件で露になった実態は、大手の取引所としてあまりにも貧弱で、ずさんなセキュリティ体制だったのです。
投資家の資産を常にオンラインで保管するリスクの高いホットウォレットに代わる、コールドウォレットと呼ばれるネットから隔離された保管環境や、取引時に複数の電子署名を必要とするマルチシグを利用していないなど、次々に問題点が露呈しました。これについてコインチェックの社長は、それらのシステムを構築するだけの技術力を持った人材が不足していた、と釈明しています。
加えて、580億円ものNEMが盗まれたのは1月26日の午前3時ごろ、不正に抜き取られていた時間は30分あったにも関わらず、実際に異常を認知したのはこの8時間以上も後になってのこと。システムには不正送金を報知するアラートも搭載されていたそうですが、これが正常に動作したのかどうかもハッキリとしていません。どちらにせよ、仮想通貨の管理体制には極めて重大な問題があったと考えていいでしょう。
取引所を経営していくうえでセキュリティを高め、安全性を高めていくことが最優先だと会見中にも語ったコインチェック。その実態は、とても大手取引所としての自覚が感じられないほど杜撰な管理体制、そしてセキュリティ対策の甘さを抱えたものだったのです。
NEMをコインチェックで保有していた投資家への対応
今回のNEM流出は、金額だけでなく被害を受けた人数もかなり大規模なもので、保有者は約26万人だったと発表されています。現状、多くの取引所は十分な返金制度を用意できておらず、この流出事件でも26万人が泣き寝入りするしかないのではと言われていたのです。ところがコインチェックは、NEMを保有していた全ての投資家に返金を実施するとし、その額は463億円になる予定だと発表しました。平均して投資額の8割程度が戻ることになるこの補償には、投資家からも歓迎の声が上がっていますね。
もともとコインチェックは、2段階認証を利用しているユーザーが最大で100万円の補償を受けられるという制度を定めているため、こういった場合でも補償する資金は十分にあるのでしょう。今回補償予定の463億円も現預金で保持しており、返金の目処は立っていると明言しました。ただ、その割には補償の時期が決まっておらず、詳細な手続きの方法についても一切説明はなく、セキュリティの件と同様に発言と実態で乖離が見られる部分です。
また、盗まれたのは仮想通貨なのに返金は日本円というのも、少なからず投資家たちの反感を買う要因になっています。盗まれた時点からの値動きを考慮されていないためで、結局かなりの損をすることになるだろうと懸念されています。さらに現在は、取り扱っている全ての仮想通貨について取引を中止しているため、NEM以外の通貨を売買したり現金化することもできません。さらなる被害を防ぐための出金ができないことは、コインチェックを利用していた投資家に衝撃を与えています。
流出してしまったNEMの行方は、NEMの普及を目指しているNEM財団が調査を開始しました。現金化・交換をしないと使う場所がまだ少ない仮想通貨なので、暗号として残されている取引記録から動きを追跡できるとのことです。また、コインチェック側は国内外の取引所に対してNEMの全取引を停止する要請を出し、NEM財団も盗まれたものに印を付けて取引所が判別できるようにする対策を講じており、現金化を防ぐ可能性もまだ残されています。現金にさえされなければ、NEMでの返還補償もあり得るでしょう。
事態を重く見た日本政府の対応は
1月28日、金融庁はコインチェックから今回の件に関する報告を受け、29日には同社へ業務改善命令などの行政指導を執り行うと明らかにしました。取引所を運営するおよそ30の会社には、改めてサイバー攻撃に備え、不審な取引・通信の監視やシステム再点検を行うよう求めています。
そして、これまでは「仮想通貨が利便性の向上や技術発達に良い影響をもたらす」として規制に乗り気ではなかった金融庁も、今回の件を受けて方針を変えつつあります。登録制としている取引所の認可基準を、より厳しいものにするのです。例えば仮想通貨の管理方法なら、資産をどれくらいコールドウォレットで管理しているのかが、より厳しくチェックされるようになります。本来なら、9割はコールドウォレットで管理するのが一般的と言われているため、そこへ合わせてくるでしょう。
G20でフランスとドイツが共同提案した仮想通貨の規制案や、世界で共通した規制を敷くべきだという世論も踏まえ、金融庁も投資家側を第一に考えた規制強化の方針を打ち出した格好です。
コインチェックを利用していたユーザーの責任も
冷静に考えれば、コインチェックでこのような事件が起きる可能性は予測できたと言えるでしょう。現時点で金融庁の認可を受けられていない取引所だからです。
コインチェックは、仮想通貨取引所が登録制になったとき既に存在していたから、運営を一応許されているだけの「見なし業者」になります。もちろん登録のために申請など行っていたようですが、普通2ヶ月程度で認可が下りるところを4ヶ月経った今なお認可されていない点からも、コインチェックに何らかの重大な問題があることは明白です。
2017年9月に金融庁がした「取引所が登録を受けた事業者か確認を」との呼びかけを重く見ていたなら、コインチェックの利用をためらうと思います。
また、仮想通貨資koinntyejjy産を取引所へ預けたままにせず、ハードウェアウォレットで管理していれば今回の被害には遭わずに済みましたし、せめて保管する取引所を分散するだけでも受ける被害は少なくて済んだでしょう。
2014年にマウントゴックスの一件があってからは、仮想通貨のセキュリティ問題やその対策もどんどん講じられています。これらを知らない、もしくは利用していなかったユーザー側にも、一定の責任はあると言えるでしょう。
仮想通貨の保管方法を見なおす良い機会に
今回の流出騒動は、投資家にとって見れば仮想通貨の取り扱い方を見なおす良い機会になるでしょう。取引所に仮想通貨を預けるのは銀行に現金を預けるのと同レベルではなく、どんな大手でも不正アクセスの危険にさらされていること。まだまだリスクの大きいものであるとの認識はより広まったかと思います。ぜひこの機会に、あなたの仮想通貨を管理する手段も、考えなおしてみてはいかがでしょうか。
一方で騒動を起こしてしまったコインチェックは、良くも悪くもその社名を世界中に轟かせました。今回の対応次第では、「信頼できる取引所に仮想通貨を全部預けるのも悪くないな」と思わせられる良い機会です。コインチェックには、私たちがそう感じられるような対応を期待しています。
