Fin POP

投資や健康に子育てをゲームのようにレベルアップできる情報を配信

NEMが外部へ不正送金されたコインチェック事件の状況とセキュリティ問題について


スポンサーリンク

スポンサーリンク

f:id:Barrgan:20180725235533p:plain

2018年1月最大規模の事件となる仮想通貨取引所である「コインチェック」へのハッキングが判明しました。

ハッキングにより失ったアルトコイン(ビットコイン以外の通貨のこと)は「NEM」です。

皆が思ったマウントゴックス社の事件のように仮想通貨取引所が破たんするのではないかという危機状況が発生しました。

今回の事件で仮想通貨取引所のセキュリティについてや個人でどう防衛するかが大事となり、仮想通貨を取引をする人全員にセキュリティの大事さが身に染みて感じた事件。
コインチェックがNEMを流出した事をポジティブに捉えて、仮想通貨取引所のセキュリティやNEMについてをまとめてみました。

2018年1月26日に起きたコインチェックのハッキング被害の状況

仮想通貨取引所である大手の「コインチェック」から約580億円分のアルトコイン「NEM」が外部へ不正に送金されました。 被害者は約26万人となり、この数値でかなりの人が「NEM」を購入していたことも一緒に判明しました。

NEMの不正送金に伴いコインチェックでの仮想通貨の売買停止及び入出金の停止を宣言。

保有しているNEMが不正に外部へ送金-コインチェック

当社にて保有しているNEMが不正に外部へ送金されたものでございます。原因に関しましては、現在究明中でございます。また、日本円を含めその他の通貨に同様の事象は確認されておりません。( 引用:コインチェック)

そして、このまま倒産し、マウントゴックス事件の再来とみな恐怖をかんじたコインチェックハッキング恐慌。

仮想通貨のブラックフライデーと勝手に名付けました。この事件がある身になった時から仮想通貨全体の大暴落が起きました。

マウントゴックス事件は日本の仮想通貨取引がまだ少ない時に起きた事件なので、再度学び直す必要があります。

マウントゴックス事件の全貌

2014年3月7日から10日間の3日間でマウントゴックスは、当時ビットコイン(115億円相当)が消失した事件。

ハッカーによるサイバー攻撃(嘘らしい)によるビットコインが不正流出し、最終的に経営破たんに陥りました。

最終的にはマウントゴックス社長が不正に抜き取った事件でマウントゴックス社長は逮捕されました。

マウントゴックスに預けている仮想通貨とマウントゴックスに預けているお金は戻ってきません。

株やFXなど証券会社が破たんした場合は、分別管理のため証券口座に預けている資金や購入した株式や投資信託の財産は全て戻ってきます。

仮想通貨取引所は分別管理など制度が整っていないため、不正送金や仮想通貨取引所の破たんによる仮想通貨取引所へ預けているお金が戻ってこないので多くの資産を失う可能性を秘めています。

取引所にコインを預けるという事は、マウントゴックスの社長のような悪意ある人間がコインを抜き取りやハッキングによる仮想通貨取引所の倒産などのリスクを抱え込むことになります。

自分で自分の仮想通貨を防衛するためにはどうすればいいのかを考える必要がある仮想通貨のブラックフライデー事件。

取引所の破たんから仮想通貨を守るための対策

自分専用のホットウォレット(仮想通貨の財布)を持っておくことで取引所のハッキングに被害を防ぐことが出来ます。

基本的にハッキングされるのは常に取引所で個人のスマホやPCのホットウォレットを必死にハッキングされるリスクは少ないです。

ただ、メールに添付されたウィルスやマルチウェアを含んだアプリから感染するリスクがあります。

仮想通貨取引所のハッキングや破たんから自分のビットコインやアルトコインを守るのは2つの方法がオススメです。

  • 自分のスマホやPCで仮想通貨専用のクライアントウォレットで管理(ホットウォレット)
  • 専用デバイスで仮想通貨を補完(コールドウォレット)

ホットウォレットはオンライン上で管理し、コールドウォレットはオフラインで管理するウォレットです。

ホットウォレットのクライアントウォレットは仮想通貨の公式サイトにウォレットをダウンロードする所があるのでダウンロードし、自分で送金して専用のクライアントウォレットで保管すれば仮想通貨取引所が破たんしても大丈夫。

特にiphoneはセキュリティレベルが高いので、androidに比べて安全にクライアントウォレットを管理できますが、網膜的に安心はしないように。

次に完全にオフライン環境で仮想通貨を補完できるのは、コールドウォレットのハードウォレットです。

専用デバイスによるハードウォレットは、専用のUSBなどに仮想通貨を保管します。

オフラインでの管理のため、セキュリティはかなり高い水準となります。

ただし、ハードウォレットはどれも1万円2万円代の金額なりますが、仮想通貨を守るためなら安いかもしれません。


Ledger Nano S (レジャー・ナノS)ビットコイン&イーサリアムハードウェアウォレット【正規品】

クライアントウォレット(ホットウォレット)とハードウォレット(コールドウォレット)の注意点

クライアントウォレットは自分で専用のアプリやソフトをダウンロードして自分で運用します。

そのため、クライアントウォレットは個人でセキュリティ対策を実施する必要があります。

  • フリーアドレスで登録はしない
  • パスワードを複雑化する
  • ウィルス対策ソフトを必ず導入

メールアドレスは、まだフリーアドレスの中でセキュリティが高いGmailでもいいですが、プロバイダーの有料メールアドレスを使うとより安心でYahooメールは論外。

パスワードはランダムで作ってくれるサイトなどを利用して複雑なパスワードを使用しましょう。

パスワード生成(パスワード作成)

 

クライアントウォレット自体がマルチウェアや悪意のあるクライアントウォレットだと預けている通貨の全部が盗まれる可能性があるので注意しましょう。 リップル(XRP)をGatehubウォレットに保管すると盗まれるのでご注意を-貯金1000蔓延を仮想通貨に換えた男のブログ 必ずウォレットについて複数の情報を調べたうえで利用するようにしましょう。

 

ハードウォレットは、完全になるオフライン管理のためかなり安全に仮想通貨を保管することができます。

ただし、オフラインウォレット同様にリスクはります。

  • ハードウォレットの紛失・破損
  • ハードウォレット自体の値段が高い
  • ハードウォレット自体にウィルスの混入

割と値段が高いのとハードウォレット自体に始めからウィルスを感染させている場合や人為的なミスによる仮想通貨を失う可能性があります。

何にしても人為的ミスや悪意のある行為から身を守るために気を付けるべき点が多いのが仮想通貨の現状です。

コインチェックのNEMの保有者に対する補償と問題点

今回コインチェックはマウントゴックス事件とはコインチェックの被害者への補償を発表しています。

総額 : 5億2300万XEM 保有者数 : 約26万人
補償方法 : NEMの保有者全員に、日本円でコインチェックウォレットに返金いたします。
算出方法 : NEMの取扱高が国内外含め最も多いテックビューロ株式会社の運営する仮想通貨取引所ZaifのXEM/JPY (NEM/JPY)を参考にし、出来高の加重平均を使って価格を算出いたします。
算出期間は、CoincheckにおけるNEMの売買停止時から本リリース時までの加重平均の価格で、JPYにて返金いたします。
算出期間  : 売買停止時(2018/01/26 12:09 日本時間)〜本リリース配信時(2018/01/27 23:00 日本時間)
補償金額  : 88.549円×保有数
補償時期等 : 補償時期や手続きの方法に関しましては、現在検討中です。なお、返金原資については自己資金より実施させていただきます。
(引用:不正に送金された仮想通貨NEMの保有者に対する補償方針について-コインチェック


補償を発表したのは良いですが、実際約26万人全員が日本円にてウォレットに返金されるまではしっかり静観する必要があります。

補償を発表しました後に時間がたち「やはり返金は無理でしたー」となると更に仮想通貨は暴落するのとネムコインが失われて資産が無くなれば社会問題となり、仮想通貨自体の規制に繋がる恐れがあります。

そうなれば更なる大暴落は必須となります。
そして、今回日本円にて返金ですが、「返金された時点で利益確定」となるので利益が出ている人は、返金された時点で利益発生となれば、来年に税金がかかります。

本来は1円でも返ってこないものを88円で強制利確なので、神対応と言われていますが、高値で購入している人は強制損切りとなります。

損が出ても株などでできる損益通算などができないので、購入した金額ー戻ってきた金額の差額が失ったお金となり、資産が目減りしてしまいます。

2018年3月12日NEM補償開始

2018年1月26日から約一ヶ月半を経過後にようやくNEMの補償がスタートしました。
金融庁は1月29日と3月8日の2度にわたり行政処分を発令し、2度目は経営体制の抜本的見直しや資金洗浄(マネーロンダリング)、テロ資金対策などへ対応を求めています。

懸念事項であっても「NEMが補償されないまま破たん」を回避したので当面のリスクを回避することができました。ただ、仮想通貨全体のイメージを損なったのは間違いありません。
コインチェックの流出問題で仮想通貨全体が大幅に下がった事は間違いなしです。ただポジティブに考えると投資者保護という観点まだまだ甘かったことから今後保護という観点で大きな進展を迎える事は間違いなし。

2018年4月6日マネックスグループはコインチェックを買収

NEMを約580億円分流出したコインチェックをマネックスグループが買収すると発表しました。
マネックスグループの買収によって株や為替などのお金が仮想通貨に流れてくれるという期待がありつつも、まだまだコインチェックの流出事件が尾を引いています。
今後訴訟となるリスクあるが、マネックスグループが持つセキュリティ技術を仮想通貨に活かす事で強固なセキュリティを築くことに期待していきたい。

corporate.coincheck.com

そして今回のハッキング被害によるコインチェックの問題点が明るみになりました。

仮想通貨のブラックフライデーから明るみになったコインチェックの問題

仮想通貨を取り扱う中で一番怖いのがマウントゴックスのようにホットウォレットに保管している仮想通貨がハッキング被害。

※マウントゴックスはハッキングより社長が内部で抜き取ったのが濃厚

韓国のYoubitは2017年12月に北朝鮮と思われるハッカー集団にハッキング被害に合い、取引所を閉鎖し破産しました。

コインチェックと同様にYoubitもホットウォレットで管理していました。

ホットウォレットは、ウェブやスマホで管理するクライアントウォレットでオンライン上で管理します。

取引所はコールドウォレット(オフライン管理)のはずが、コインチェックはビットコインやイーサリアムについて、コールドウォレットで管理していました。

ビットコインとイーサリアム以外の通貨はコインチェックのシステム的に導入することが難しく、慢性的な人材不足のためホットウォレットで管理していました。

そして新たに知った言葉がありました。

それは「マルチシグ」または「マルチシグネチャ」です。※このサイトではマルチシグと表現します。 マルチシグとは

マルチシグはセキュリティーを追求した、最新のビットコインテクノロジーです。通常のビットコイン・アドレスとは違い、マルチシグのアドレスはビットコインを送付するために複数の署名が必要です。 マルチシグを採用することで高セキュリティのウォレットを構築できます。最重要データであるプライベートキーが 1 つ漏洩しても、別のキーが無ければビットコインの送付が出来ないからです。攻撃者が 2 つ以上の別々の設計のプラットフォームに同時に侵入することは非常に困難です。 またマスターキーをひとつ持たせ、それをネットワークに接続していない安全な場所に保管することで万が一プライベートキーを紛失したときの保険になります。引用:ビットフライヤー

コインチェックのサービスの安全性には「マルチシグ」の記載はありませんでした。

マルチシグは取引所にとって必須という事は自体あまり浸透せず、仮想通貨の取引所のコインとコインの特性と高騰率ばかり目が行ってしまったのには反省が必要となります。

そして今回のコインチェックによる仮想通貨のブラックフライデーにより、コインチェック自身のセキュリティの甘さが露呈したことになります。

コインチェック仮想通貨の保管方法

当時、Mt.GOX(マウントゴックス)のコールドウォレットの管理は完全なオフライン状態で行われていなかったため、安全性が確保されていませんでした。 coincheckでは、お客様からの預り金の内、流動しない分に関しては安全に保管するために、秘密鍵をインターネットから完全に物理的に隔離された状態で保管しています。-引用:コインチェック

コインチェックは、コールドウォレットと記載はあるものの、ビットコインとイーサリアムのみとの記載なし。

ホットウォレットとコールドウォレットは取引量によって割合が変動します。

取引所が通貨の管理をどうホットとコールドに振り分けるかは取引量で変わるという。取引が活発な通貨ではホットウォレットの割合が6-7割を超えることもあり、取引がない場合には8割程度がコールドウォレットで保管されるなど、取引の状況次第 引用:ブルームバーグ

コインチェックは、ビットコインとイーサリアムしかコールドウォレットで保管しているという事はハッキング以前に内部の犯行ではないかと思ってしまいます。

実際の所、原因究明中です。

コインチェックはまだ金融庁から認可を貰えていない「みなし業者」

金融庁は仮想通貨取引所に対して、2017年4月に登録制を導入。

コインチェックは、2017年9月に申請しているが、2018年1月時点でまだ登録が終わっていません。

登録が終わっていないのに営業ができるのか?という事ですが、登録制導入前から仮想通貨の交換業をしていたので「みなし業者」として営業ができます。

なぜ金融庁からの登録認可が下りないのか?

コインチェックはアルトコインの取り扱いは国内トップです。

そのアルトコインの中に匿名性の高い「モネロ」、「ダッシュ」、「ジーキャッシュ」の匿名通貨について、金融庁は犯罪に使われるケースから監視するシステム構築が必要として、厳しいチェックが行われています。

特にジーキャッシュは完全匿名通貨なので、テロや犯罪資金のマネーロンダリングに使われる可能性があります。

金融庁は「特定の通貨を排除するという事はしない」が「取引所単位での暗号通貨は監視できるため、システムを構築する必要がある」との事でコインチェックはシステム開発を急務としていたはず。

セキュリティ対策よりテレビCMによる認知度の向上に注力した結果

コインチェックが有名になったのは、出川哲朗さんを起用したテレビCMを大量に実施したことです。

これにより、テレビをみる世帯のほとんどが「コインチェック」は仮想通貨取引所と認知したと思います。

ただ、テレビCMを実施し、認知度を向上させたことは、テレビCMとしての多大な効果を発揮しましたが、今回のハッキング被害によるセキュリティ対策の甘さが相まってテレビCMへの批判に繋がってしまいました。そしてコインチェックのハッキング被害によりコインチェックを取り扱った広告代理店やテレビCMを流したテレビ業界へのCM規制に繋がる可能性があります。

テレビCMを流す際は、胡散臭い企業や安定したビジネスモデルかどうかをしっかり調べます。胡散臭い企業や詐欺のようなビジネスをテレビCMで流してしまうと広告代理店及びCMを流したテレビ会社の信頼が失墜する恐れがあるため、必ず厳しい審査をします。テレビ業界のCMによる審査基準の見直しなど仮想通貨以外の所まで飛び火している状況。

コインチェックの行政処分

Ⅰ.業務改善命令の内容
1. 本事案の事実関係及び原因の究明
2. 顧客への適切な対応
3. システムリスク管理態勢にかかる経営管理態勢の強化及び責任の所在の明確化
4. 実効性あるシステムリスク管理態勢の構築及び再発防止策の策定等
5. 上記1から4までについて、平成30年2月13日(火)までに、書面で報告すること
  引用:コインチェック業務改善命令について

業務改善命令を書面にて報告し、違反があった場合やより重い処分が必要となれば、一定期間の一部または全部の「業務停止」や「免許取り消し」などが行われます。
まだコインチェックは、免許を取得できていないのでコインチェックへの処分は登録を認めないことも含めて判断するとの事です。

仮想通貨業界はハッキングにる暴落と仕組みの浸透による暴騰の年

今回は日本でコインチェックがネムコインが盗まれましたが、一番怖いのは韓国の取引所です。

日本は2017年4月に改正資金決済法を施行し、取引所の登録を義務化するという最小限の規制の仕組みを設けました。

韓国では2018年現在韓国は通信販売業者として届け出を行えば、誰でも仮想通貨取引所を経営できます。

セキュリティ規定がなく、2017年韓国の仮想通貨取引所を対象にセキュリティ点検で8か所が不合格となりました。(参照:挑戦日報

国が仮想通貨を規制する前に国が仮想通貨取引所のセキュリティ規定を設け、顧客保護に向けて取り組みが進めば仮想通貨は新しい仕組みとして活用されていくでしょう。