「コインチェックのNEM流出事件の問題」が明らかになるまでの経緯とユーザーのパニック
2018年1月26日13時頃、コインチェック社から一通のメールが届きました。タイトルは「【重要】NEMの入金について」で、内容の概略は「現在、NEMの入金について制限をしているので入金を行わないようにしてください」というものでした。この時点では、コインチェックユーザーの多くは、「NEMに限定された入出金プログラムのエラーでも起こったのかな」という軽い認識だったと思われますが、コインチェック社は意図的に「NEM入金停止の理由」について詳しい説明をしていませんでした。
数時間後には、ウェブ上で「コインチェックからNEMの大量流出事件が起こった・NEM流出の金額は約600億円超にもなる・コインチェックは第二のMt.GOXになるのではないか(巨額流出で経営破綻するのではないか)」という情報が飛び交うようになりました。コインチェックのサイト内のチャットでも、ユーザーが「早く日本円を出金させろ・本当にコインチェックは大丈夫なのか・今保有している仮想通貨の時価はきちんと保証されるのか」などパニックに陥り始めました。
翌1月27日17時になると、コインチェック社は「日本円出金・新規支払いの受付」について期限を明記せずに停止することを通知したため、ユーザーの不安と不満はピークに達しました。コインチェック社の危機管理体制の杜撰さは、「総額5億2300万XEM(NEMの単位)」もの大量の仮想通貨NEMが不正に外部へと送金された(盗まれた)にも関わらず、同社が不正送金の事実を検知できたのは「約8時間以上」も経ってからということにも現れています。
仮想通貨投資が潜在的に持つ「サードパーティーリスク(取引所リスク)」の露呈
2008年にビットコイン(BTC)を構想したサトシ・ナカモト氏の論文の最大のポイントは、「ブロックチェーン+マイニング(コンピューターによる複雑な演算処理)+P2P」によって、原理的に「数字の改ざん」がほぼ不可能な仮想通貨(トークン)を作成できるということでした。仮想通貨が「決済(交換)・貯蓄・価値指標の手段としての通貨」として機能するためには、「数字の改ざんが不可能であること」が絶対的な必要条件になってきます。自分や他人の持っている仮想通貨の数字(額面)を、何らかの「チート(不正行為)」によって増やしたり減らしたり改ざんできるのであれば、誰もそんな仮想通貨の価値を信用しないからです。
マイニング(膨大なマシンパワー+電力)によって検証された仮想通貨の数字そのものを、不正行為で改ざんすることは不可能に近いのですが、仮想通貨のリスクとして2014年の「Mt.GOX事件(マウントゴックス事件)」で明るみにでたサードパーティーリスク(取引所リスク)があります。Mt.GOX事件では、「約75万BTC(当時のレートで約480億円)」と顧客がビットコイン売買のために預けていた「現金28億円」が突如消失して、Mt.GOXが経営破綻しました。
業務上横領で逮捕されたマルク・カルプレスCEOは、取引所がハッキング被害に遭ったと主張していますが、真相は現在も不明のままです。仮想通貨の仕様とブロックチェーン技術に備わっているセキュリティーは極めて高く、仮想通貨そのものを不正に水増しすることは困難です。しかし、仮想通貨の売買を仲介している「取引所」が不正行為をしたりハッキング(盗難)されたりする「サードパーティーリスク」には常に注意しておく必要があります。
「NEM流出事件の被害者」に対する「補償方法」の通達は早かったが、コインチェックの信用は地に落ちた
顧客約26万人分のNEM(約5億2300万XEM=約580億円相当)の大量流出を受けて、コインチェックユーザー(顧客)は「流出したNEMが戻ってこないのではないか・コインチェック自体が倒産して保有資産がゼロになるのではないか」という不安に駆られましたが、コインチェック社の補償に関する対応はかなり迅速でした。1月28日未明の段階で、不正に送金されたNEMの保有者全員に対して、「日本円」で全額コインチェックウォレットに返金するという方針を伝えたのです。
取引所Zaifの「XEM/JPY」のレートを参考にした補償金額は「88.549×保有数」となっており、NEM保有者の実質的な損失はほぼなくなります。しかし、強制的な「NEMから日本円への交換」が行われるため、NEMの損益が投資家の意志とは関係なく確定されてしまいます。その結果、「NEMの含み益」があった人の中に、「確定申告・納税の必要性がある人」が出てくるという問題もあります。コインチェックはNEM流出の被害者に補償をすると宣言し、補償に必要な約462億円を現預金で持っているとしていますが、「補償実施の時期」については明言していません。
最大の問題は2月4日の現時点においても、コインチェックでは仮想通貨売買のすべてが停止されていて、ユーザーは実際に何の取引もできないということです。仮想通貨の売買も日本円の入出金もできないので、ユーザーのコインチェックウォレットは客観的に見て「凍結」されている状態にあります。セキュリティー意識の甘さから、NEMの大規模流出事件を起こしたコインチェックの信用は地に落ちました。BTCは100万円を下回る場面が増えており、アルトコインも事件前と比べると約20~30%は下落しているのです。
コインチェックのNEM保管体制のセキュリティー問題
コインチェックのNEM流出事件の原因は、「仮想通貨の持つセキュリティーの脆弱性」ではなく「取引所コインチェックのセキュリティー意識の甘さ+NEM保管体制のいい加減さ」にありました。コインチェックは仮想通貨NEMの安全管理体制を整えておらず、約5億2300万XEM(約580億円相当)もの大金を、何とインターネットにつなげた「ホットウォレット」で管理していたのです。
コインチェックはユーザーに対する利用規約では、「顧客資産分の仮想通貨はコールドウォレットで保管する(インターネットにつなげていない財布なので盗まれない)」として、セキュリティーの高さをアピールしていました。しかし実際には、NEMをオンラインのホットウォレットで管理してしまっていたことが分かっています。金融庁・NEM財団は仮想通貨のセキュアな保管技術として「コールドウォレット(オフラインの財布)+マルチシグ(複数の秘密鍵)」を推奨していますが、コインチェックはNEM保管に際して両方とも採用していませんでした。
マルチシグとは「公開鍵暗号方式において秘密鍵が2つ以上ある状態」のことで、秘密鍵をそれぞれ別の端末(場所)に保管することによって、ウォレットがハッキングされるリスクを格段に減らせます。コインチェックのNEMは秘密鍵が1つだけの状態でさらにホットウォレットであったため、その「1つの秘密鍵」さえ手に入れれば自由に送金できるというセキュリティーが甘い状態にあったのです。
盗まれた約580億円分のNEMの追跡・口座アドレス特定
NEMを大量流出させたコインチェックに対し、金融庁は改正資金決済法に基づき、「業務改善命令・業務の一部停止(アルトコイン取扱業務の一部停止の可能性)」を含めた行政処分を下す見通しが強くなっています。コインチェックの「仮想通貨保管の安全管理体制」に問題があったとして、金融庁は安全対策強化を指示した上で、「NEM流出の原因の究明・責任の所在の明確化・再発防止策」などを2月13日までに提出するように求めているのです。26日午前0時2分から0時21分にかけ盗まれたNEMの行方については、特定のアドレスに送金されたことが分かっており、その後さらに9つのアドレスに分散して送金されています。
ハッキングで盗まれたNEMがどの口座アドレスに送られたかの追跡・特定には、NEMの持つ「モザイク(口座アドレスへのタグ付け機能)」を利用したホワイトハッカーの機転が役に立ったと言われています。NEM主催の国際団体NEM財団も、流出したNEMに「汚れたお金(犯罪で得たお金)」と識別できるマークをつけたとしており、「NEMが現金に換金されれば相手を特定できる可能性がある」としています。しかし現状では、NEMを盗んだハッカーは現金化の明確な動きを見せていません。NEMを複数のアドレスに無差別に小口送金(100XEMずつ送金)する奇妙な動きがでてきましたが、ハッカー(犯人)の特定はいまだ困難な状況にあります。
コインチェックは金融庁による取引所登録が認められていなかった「みなし業者」でしたが、今回のNEM流出事件によって正式の取引所として認定される道はさらに遠のいたことになります。コインチェックが取引所登録できなかった理由の一つが、「取扱アルトコインの種類の多さ」とされていましたが、皮肉にもコールドウォレット管理が技術的に難しいとされるアルトコインのNEMで今回のハッキング問題が発生してしまいました。
金融庁は、既存の仮想通貨交換業者16社とみなし業者16社を対象に、不正取引(ハッキング)などに対するシステム上の対策を取っているかどうか緊急調査をするとしており、問題があれば業者への立ち入り検査も実施するとしています。コインチェックに対しては、13日の回答期限を待たずに金融庁職員が立ち入り検査を強行しています。仮想通貨・取引所への規制強化(審査厳格化)の可能性も出てきていますが、「NEM流出事件」で失墜した仮想通貨・取引所の全体の信用をどう取り戻せるかが大きな課題になってきます。
