2018年1月26日に、仮想通貨取引所であるコインチェックが外部からのハッキング、不正アクセスにより、約580億円分のNEM(ネム)が流出され、現在でもニュースに報道されている。なぜコインチェックが狙われたのか、それ以前にセキュリティ対策はどうなっているのかと、NEM消失事件の発端は何なのかと気になる人が多い。その原因は何なのかを考察してみる。
NEMについての再確認
NEMとはどのような仮想通貨であるのか、知らない人がいるので、概要について簡潔的に解説する。NEMは仮想通貨の正式名称で、通貨単位は「XEM(ゼム)」と呼ばれる。現在の発行量は90億枚であるが、発行上限も90億枚と、新規に発行することができない。マイニングも元々ないのだが、それ以前に発行上限が最高値に達しているので、現時点でマイニングしようがないという
CoinGeckoというチャートサイトによれば、2018年2月4日時点での時価総額は約5980億円、時価総額ランキングは10位というトップに入っている。仮想通貨は全部で1000種類以上存在しているが、10位であるという時点で凄いとしか言いようがない。現在は60円台だが、70円台にまで届こうとしている。実はNEMは1月上旬まで200円台に大暴騰したことがある。2017年11月下旬まで20円台だったのだが、一時的は200円台、現在は60円台と、乱高下が激しくなっている。
現在、NEMは国内と海外に限らず、ほとんどの取引所でも扱っているが、国内取引所に限定すると、コインチェックを除き、ザイフとXtheta(シータ)のふたつに限定される。とくにザイフは活発的に取引が行われているが、注目してほしいのはシータである。シータは金融庁の認可を受けた取引所であるが、取引開始時期は2018年2月12日と、公式サイトで発表されている。本人確認の申請は受け付けているが、今は取引できないようになっている。
ザイフはオークション形式という形で、指値注文と逆指値注文はできるが、コインチェックはそれができない。コインチェックの場合は、取引所というより、販売所と表現したほうがいい。わかりやすく例えるなら、成行注文しかできないということである。なお、ザイフも成行注文は可能。
コインチェックは金融庁の認可を受けていなかった
コインチェックはビットコイン以外のアルトコインを多数扱っていr。詳しい説明は省略するが、手数料がどの取引所よりも高いという残念な部分があるものの、ストレスなくサクサクと進みやすいという、デメリットを払拭するような魅力的な面を持つ。しかし、これだけは知る必要がある。それは、金融庁の認可を受けていないということである。
通常、仮想通貨取引所は改正資金決済法という法律に則って、仮想通貨交換業者として金融庁に登録する必要があり、コインチェックは現在でも登録されていなかった。本来は認可が下りないと、仮想通貨取引所として営業することができない。しかし、コインチェックはなぜ営業し続けることができたのかが気になるところだ。
なぜ営業し続けることができたのかというと、改正資金決済法が施行される以前から営業されているからだ。コインチェックは2014年に設立された仮想通貨取引所なので、みなし登録事業者として、6ヶ月の間は営業し続けることができると法律で定められているので、現在に至る。しかし、施行が始まって6ヶ月経過しているにも関わらず、コインチェックは営業している。
実はコインチェックは金融庁に登録を申請しており、現在は審査中の段階である。審査中の段階だから営業が認められていると考えられる。しかし、NEM消失事件が起きてしまった。
NEM消失事件がきっかけでアルトコインの存在が認知される
NEM消失事件がきっかけとなり、仮想通貨は人々の認知度がさらに高まっただけでなく、ビットコイン以外の仮想通貨「アルトコイン」の存在も明らかになった。NEMもアルトコインのひとつであるが、NEM以外に、イーサリアムやリップルやライトコインなど、有名な仮想通貨が存在する。さらに、アルトコインについてのニュースもテレビで報道されたり、新聞なども掲載されたりしている。
コインチェックが扱う仮想通貨は、ビットコイン、イーサリアム、イーサリアムクラシック、リスク、ファクトム、モネロ、オーガー、リップル、ジーキャッシュ、NEM、ライトコイン、ダッシュ、ビットコインキャッシュ、計13種類となっている。多くの仮想通貨を扱っているので、仮想通貨ユーザーの間でも人気である。ビットフライヤーなど、すでに金融庁の認可を受けている取引所でも多数のアルトコインを扱うが、国内で多くのアルトコインを扱っているのは、コインチェックがトップである。
なぜコインチェックが狙われたのか?
コインチェックに限らず、どの取引所でも常にハッキング攻撃を受けており、取引所は常に対処している。どのように対処しているのかというと、ひとつは二段階認証の導入である。二段階認証は簡単にいえば、パスワードを入力されるだけでなく、送られてきたコードを入力しないとログインできないことになっており、そのコードは常に変わってくるので、不正ログインの可能性を低く抑えている。
もうひとつは、秘密鍵の存在である。秘密鍵は、ユーザーのウォレットをアクセスするだけでなく、送金などウォレットに関するすべてを操作できるという機能を持つ。例えるなら、ウォレットは金庫、秘密鍵は金庫を開ける鍵となる。簡単に説明すると、ハッキングなどで秘密鍵が漏れた瞬間、送金し放題となってしまう。
通常、取引所は秘密鍵を2つ以上存在する「マルチシグ」という署名方法が実装されている。マルチシグは、先ほど申したとおり秘密鍵が2つ以上存在し、一般的には「2or3」方式で採用され、リスクを分散化している。秘密鍵が3つに分かれ、そのうち2つが揃うことでアクセスが可能というものだ。マルチシグを実装することにより、秘密鍵が守られるということになる。
しかし、コインチェックはマルチシグを実装されておらず、秘密鍵はひとつしかない。その結果、秘密鍵にハッキング攻撃が仕掛けられ、NEMが外部に流出したと考えられる。事実、ハッキングされた秘密鍵でウォレットにアクセスされれば、入出金の操作が可能となり、NEMを他のウォレットに送金させることができるというわけだ。
そのため、コインチェックが狙われたのは、金融庁の認可を受けていない、マルチシグが採用されていないなどが考えられる。ハッカーがコインチェックに関する情報を入念に収集して、ある程度まとまったところで、ハッキングを実行したと思われる。
コインチェックは今後どうなる?
約580億円もののNEMが流出した事件を受けて、金融庁はコインチェックに対して立ち入り検査を行っている。今でも営業はしているが、マウントゴックスのビットコイン消失事件の例もあるので、コインチェックを利用していたユーザーの多くが、コインチェックから離れると予想される。損失分を自己資金で賄い、NEMの保有者達に保障すると約束されたのだが、具体的な時期が明確にされていない。
しかし、取引所としての運営が継続される可能性は高く、それまで実装していなかったマルチシグを採用するなどして、セキュリティ強化を目指すと予想される。コインチェックだけに限らず、どの取引所でも、微弱な部分を強固に改善するなど、ハッカーとのいたちごっこ状態にも関わらず、セキュリティ面についても常に進化している。
コインチェックは多くのアルトコインを扱うことについて、仮想通貨からある程度の支持を得られているので、セキュリティをさらに強化すれば、離れていったユーザーの多くが戻ってくるとか、新規のユーザーが増える可能性が高くなるだろう。
