飄々リベル

30代でフリーランスになった無謀な日記

コインチェックNEM盗難の記者会見要旨とその他の補足情報

概要

・2018年1月26日午前3時頃、不正アクセスによってコインチェックのNEMアドレスから5億2,300万NEMが送信された。(※筆者注:NEMの通貨単位は「XEM」だが、便宜上NEMで表記。以下、会見で触れられていない事象に言及する場合、筆者注として「※」を付記する)

 

タイムライン(時系列)

・午前3時頃、不正アクセスによって5億2,300万NEMが送信。

・同日11時25分、NEMの残高が異常に減っていることを検知(盗難から約8時間後)。

・11時58分、NEMの入出送金を一時停止。

・12時52分、NEMの売買自体を停止。

・16時33分、日本円を含む全通貨出金・送信を一時停止。

・17時23分、ビットコイン以外すべての通貨の売買を、出金・送信停止。

 

被害金額

5億2,300万NEM。これは検知した時点でのレートで約580億円相当。

・これはコインチェックが保有していた(顧客から預かっていた)NEMのほぼ全て。限りなく100%に近い(※コインチェックの口座には約1NEMだけ残っている模様)。

・送信されたNEMを取り戻すことは不可能(※ハッカー側から返金があれば別)。

 

セキュリティ

・コインチェックとしては、セキュリティに関しては限られたリソースの中で現段階でできることは全てやっていた(※さすがに怠慢だったとは言えない)。

・コインチェックのNEMはホットウォレットで保管していた(※ホットウォレット=オンライン上のウォレット。今回はそこに不正アクセスされた。セキュリティ観点上、コールドウォレット=オフライン管理が望ましかった)。

・コインチェックはNEMをマルチシグ管理をしていなかった(※マルチシグ(Multisig)=複数のアカウントからの署名がなければ資産を移動できない仕組み。NEM財団はマルチシグ管理を推奨している)。

・不正アクセス等によって資産が大幅に減った際にアラートを鳴らす仕組みはあった。が、盗難の検知は8時間後になった。

・顧客資産のコールドウォレット保管やマルチシグ対応については優先度の高い対応として認識し、今後施策していく予定ではあった。しかし、技術的な難易度や人材不足によって後手に回った。

 

顧客資産の保証・保護

・顧客資産の保護を最優先に考えている。

・ただ、盗難されたNEMは補償されるのか、他の通貨についても保護されるのか、コインチェック口座の日本円資産は保護されるのかなどについては、現時点では全て検討中。

・上記について、対応がいつ頃になるのかも検討中。

・コインチェックから全ての資産が引き出し不可の状態になっているが、取引再開についても検討中。

・第三者のなりすましによる資産消失における保証規定は本件とは別問題なので適用されない。

・ちなみに、なりすまし保証は2017年6月に発表されたが、まだ稼働していない。

 

金融庁による仮想通貨取引業者登録について

・コインチェックは当時点で金融庁による仮想通貨取引業者登録を受けていない(申請はしているが金融庁から許可がおりていない状態で運営していた)。法律上は全く問題ない。

・セキュリティが甘いから許可がおりなかったという認識はない。

 

その他

・ネム財団によるハードフォークは絶対にない(※ハードフォーク措置を行うことによって、不正アクセス前の状態に戻すことができる。ただ、今回の件に関してはNEMのシステム上の欠陥ではなく、コインチェックにおけるセキュリティの問題なのでハードフォークはない)

・TVCMを大々的に打つよりも先にセキュリティにリソースを割くべきだったのでは?

・ハッカーからメールなどによる連絡は来ていない。

・出来高、収益、資産状況、顧客数、今回の件でどのくらいの規模の顧客に影響があるのかなどは現時点では公表できない。

・内部の犯行であることは現時点では確認されていない。

 

※コインチェック会見の感想

・ホットウォレット管理、マルチシグ未実装など、システム上の問題(手落ち)については事実をありのままに答えていた印象。

・顧客獲得のために大々的に広告を打つ前にセキュリティを強化すべきだったのでは、という意見には同意。

・和田社長が演技であの憔悴しきった表情をしていたのではないかという意見があったが、演技であんな表情はできないような気がする。どうでもいいことだが。

・不用意な発言を避けるよう、答えることと答えないことが明確に峻別されていた印象。理由は不明だが、いろいろあるんだと思う。

・NEMを含めた全ての資産の引き出しが不可能な状態になっているが、コインチェックがそれを確保するためというよりは、これ以上の不正アクセスを引き起こさないようにするためであるように思う(完全なる推測)。「顧客資産の保護を最優先に」というコインチェック側の言葉を信じるしかない。

 

その他、会見以外での補足情報

・今回の580億円盗難事件は人類の歴史上最大の盗難事件となった模様。

・NEM財団は今回の件を受け、盗難されたNEMをトラッキングするプログラムを開発することを発表。24〜48時間以内に稼働。これによって実質ハッカー側は資金を動かせなくなる。下記の声明は心強い。

「盗まれたお金を取引所を通じて外に持ち出すことはできません、これは良いニュースです。このニュースは是非シェアしてください。史上最大のハッキングは数時間以内にネムのコミュニティによって解決されます。これはネムのプラットフォームとチームの強さを示すものです。」

 

「事件は取引所に大きな教訓を残しました。取引所はどのようなコインを上場させるか選べます。全ての取引所はネムのチームがコインチェックに対して行った強力なサポートを見るべきです。これは、リーダーシップ、イノベーション、そしてセキュリティがいかに仮想通貨の未来にとって必要かという一例でした。」

 

「コインチェックの事件は仮想通貨を破壊する可能性がありました。しかしコミュニティとコインチェックのチームは最初から最後まで完全な透明性を担保し、このような恐怖に打ち勝ちました。勝者はハッカーではなく我々です。」

 

https://coinbusiness.jp/n/n127fcf2a3e99

・今回の件はコインチェックのセキュリティが激甘だったために起こったことであって、NEMを始めとする仮想通貨自体のセキュリティの問題ではない。

・例えば現金の盗難の場合、紙幣には個別に番号が付されているとは言え、誰がどこで使ったのかを正確に把握することはできない。だが、仮想通貨の強みとして全てのトランザクション(取引)がインターネット上で誰でも閲覧できるようになっていることが挙げられる。全ての送金元・送金先には固有のアドレスが付されていて、ネットワーク上で常に監視されている。従って「誰が」盗んだのかはわからないが、ハッカーが資金を動かせばすぐにわかるし、取引所はそのアドレスからの受け取りを拒否することができる。事実上、ハッカーはNEMを使うことができない。もちろん、何か抜け道がないとは限らないが。

・下記の記事によると、盗まれたNEMは戻ってこない可能性が大きく、だけどコインチェックが倒産する可能性は低いのではないかと考察されている。

ethereum-japan.net

・NEM財団の発表にもあるように、今回の事件は仮想通貨の信頼を損ねることにもなりうるが、逆にセキュリティの堅牢さを示して信頼を高めることにも繋がり得る。

・私も950NEMをコインチェックに預けていたのでGOXしたことになる。だが、とにかく落ち着くことが重要だと考えている。

 

個人でできるセキュリティ対策

・特に長期保有銘柄は取引所に預けておくのではなくウォレットに保存する。ハードウォレットが望ましい。

・但し、Amazon等で購入できる安いウォレットにはマルウェアが仕組まれている可能性があるとのことで、注意が必要。

・取引所に預けておく場合、CryptoBridgeなどのDEX(分散型取引所)を利用することでセキュリティは飛躍的に高まる。