2018年1月26日、日本有数の口座開設者数を誇る大手仮想通貨取引所『コインチェック(Coincheck)』で、仮想通貨ネム(NEM/XEM)の不正出金被害があったことが報じられました。
そして、その日の深夜から翌日にかけて、取締役2名による記者会見の場で、通貨の不正出金があったことが正式に発表。
被害総額は580億円相当で、その金額は民事再生手続き中の”MtGox(マウントゴックス)”よりも110億円多く、仮想通貨史上最高額で間違いなく歴史に残る大事件となりました。
この被害を受けてコインチェックでは、ネムに限らず、日本円・アルトコイン全銘柄の入出金手続きを停止する措置をとり、当然ながら、ネムを始め、ビットコインなど仮想通貨は一時的に急落する事態となりました。
この記事では、仮想通貨取引所コインチェック(Coincheck)から580億円相当のネムコイン(NEM/XEM)がハッキングにより盗難された事件について流れ、会見の動画や内容をまとめます。
また騒動の原因や理由について、マルチシグの未対応などセキュリティ面の問題点についても解説しますので、ぜひ参考にしてみてください。
コインチェック580億円のネムコインハッキング事件の流れ
そもそも今回被害にあった仮想通貨取引所コインチェック社がどのような取引所なのかご存知でない方は先に下記記事もあわせて参照してみてください。
コインチェックは金融庁登録こそ終わっていないものの、ビットコイン取引量は1位を謳っており、お笑い芸人の出川哲郎さんがCM出演していることでも有名な仮想通貨取引所でした。
また不正出金されたネムコインについては、下記記事をあわせて参照してみてください。
ネムも数千以上ある仮想通貨の銘柄うち、時価総額10位以内に入る人気の通貨です。
では、そんな両者を巡って起きた事件は一体どのようなものだったのか?
2018年1月26日のコインチェックにおけるネムの一部取引停止〜記者会見までの事件の流れを、ネム財団側の発表も併せて確認していきます。
ネムコイン盗難から会見までの時系列
ハッカーによってネムコインが不正に送金されてから、会見で正式に発表されるまでの流れは以下の通り(全て2018年1月26日の出来事)。
- 2:57…不正アクセス発生
- これは後に記者会見の場で発表されることとなります。
- 3:57…コインチェックハッキングの第一報
- ネムの公正取引に携わる団体”NEM財団”の代表者が、自身のTwitterアカウントにて「コインチェックのハッキング被害について公言、”全力を尽くす”」と述べます。
- 11:27…コインチェックのサーバーにて異常検知
- 同社がハッキングを検知できたのは、不正アクセスから8時間がたったこの時が初めて。10分後に対応が始まります。
- 12:07〜12:52…NEMの全取引停止
- NEMの入金停止から始まり、1時間以内に入金・売買を含む全取引が停止されました。
- 16:33〜17:23…日本円とアルトコインの出金&売買停止
- 日本円・アルトコイン(ビットコイン以外の仮想通貨)全銘柄の出金と売買が停止されます。しかし、各通貨の入金停止は実施されませんでした。
- 18:50…日本円の入金停止
- ここでようやく、コインチェック側で日本円の入金停止が実施されました。ところが、出金もできなくなっているというユーザーからの報告が相次ぎます。
- 23:30…記者会見開始
- 予定より1時間半遅れの記者会見で、ようやくハッキングに関する詳細説明が行われました。
以上がネム流出事件から会見開始までの簡単な流れです。
コインチェック社のプレスリリースでも発表されていますので、そちらも参考にしてみてください。
コインチェック、ネム流出事件の流れ
https://t.co/LCBlEMjdjg— シロクマ@仮想通貨・FX・株 (@ToushiKuma) 2018年1月27日
仮想通貨取引所『コインチェック』社の会見内容まとめ
会見では、日本円入金停止が実施された26日17時までの経緯説明がされたあと、顧客資産の補填やセキュリティ体制についての質疑応答が行われました。
この会見により、この事件の背景として、コインチェック社のずさんなセキュリティ体制が指摘されることとなりました。
なお、難しい専門用語等は後述で解説していますので、そちらを参考にしてください。
NEM不正出金の経緯について
26日午前3時頃から不正送金されていたと同社が説明。
これを感知したのは午前11時57分、不自然にXEMの量が減っていたことから気づいたとのこと。
しかし時すでに遅しで、不正出金開始からおよそ8時間の間に5億2300万NEMが流出・この時点のレートで被害総額580億円に及ぶことが公表されました。
不正送金の原因について
記者会見の場では”調査中”という回答に終始しました。
NEM財団側は日本時間17時半の時点で「外部からのハッキングがあった」と公表しています。
ネムの管理方法について
流出したネムの管理体制については、
「ホットウォレットで管理していた」
と同社は回答。
コールドウォレットを採用しなかった理由として、技術的な難しさ・人材不足の2点を挙げました。
セキュリティ体制について
記者からは何度もセキュリティに関する質問が行われました。
これに対して、「セキュリティ対策は万全であると認識している」と大塚取締役は説明。
しかし、朝日新聞記者から「マルチシグは行っていたのか」という質問が行われると、取締役2名は回答に窮する様子を見せます。
金融庁への仮想通貨交換所登録が未了であることについて
金融庁への登録が未了とはいえ、営業を続ける上でセキュリティ体制に問題はなかったと大塚取締役は繰り返します。
また、同社顧問弁護士から
「既に登録申請は終了しており、みなし交換所として2018年9月までは営業を許可されている。交換所として活動する上では法に抵触していない」
と説明されました。
顧客への資産補填について
ここで「検討中」という回答を繰り返します。
株主やネム財団と協議を行いながら進める旨を繰り返し、具体的な案は一切回答せずに会見終了時間を迎えます。
コインチェック(coincheck)の会見動画
コインチェックの会見動画はこちらでご覧いただけます。
ネム(NEM)流出ハッキング事件が起きた原因・理由
ハッキングによりコインチェックからネムが大量流出する直接的原因となったことについて、ネム財団・日本メディアの双方から、以下の2点を指摘されています。
- ホットウォレット管理であったこと
- 「マルチシグ」と呼ばれる技術を採用しなかったこと
コインチェックの580億円流出の問題点
コールドウォレットで保管していなかった
マルチシグに対応していなかった— シロクマ@仮想通貨・FX・株 (@ToushiKuma) 2018年1月27日
会見でも報道陣から指摘がされていますが、技術的に難しい部分があったとはいえ、これらを怠っていたことが理由となって今回のハッキング事件は起きたものとみられています。
とはいえ、専門用語でわからないという方もいると思いますので、仮想通貨で重要視されている暗号化通信とともに、詳細を解説します。
ホットウォレット/コールドウォレットとは?
ホットウォレット/コールドウォレットとは、
- ホット=オンライン
- コールド=オフライン
という意味です。
ウォレットという名称から「仮想通貨そのものを管理しているもの」とイメージしがちですが、実際には「仮想通貨へのアクセス権限を得るためのパスワード」を管理しているものになります。
ホットウォレットの場合、常時オンライン接続をしているため、外部からウォレット内のパスワードを見られてしまう危険性があります。
そこで、ほぼすべての仮想通貨取引所でオフライン管理、つまりコールドウォレットを採用しています。
コインチェックでも、公式サイトで「コールドウォレット採用」を明示していました。
しかし実際には、コールドウォレット管理を実現できているのはビットコインであり、
今回流出したネム(NEM)は全てホットウォレットで管理されていた
ということが、記者会見で述べられたのです。
技術的に難しい部分があったとのことですが、このことがハッキングを招いてしまった1つの要因となります。
公開鍵/秘密鍵とは?
取引所をハッキングして仮想通貨の出金操作を行おうとする者は、まずアクセス権限を得る必要があります。
これを防ぐために全ての仮想通貨で採用しているのが、公開鍵/秘密鍵というセキュリティシステムです。
通貨へのアクセス方法として、2つの暗号を用意します。
そのうち片方は、これから仮想通貨で取引しようとする人すべてに”公開”されます。
これを公開鍵と呼びます。
しかし、これだけだと出金操作はできません。
操作を行うには、通貨の所有者しか知らない”秘密”の暗号が必要となります。
これを秘密鍵と呼びます。
外部からハッキングする者は、ここに挙げた2種類の暗号を知る必要があります。
これらはそれぞれ別のコンピュータで管理されているため、ハッキングは非常に困難となります。
ところが、これを破る者も出てきました。
そこで、ビットコインを筆頭に採用されたのが「マルチシグ」という技術です。
マルチシグとは?
マルチシグとは、前述した「秘密鍵」を複数作成するというものです。
ビットコインの大手ウォレットサービス・取引所で採用されているのは、”2-of-2”または”2-of-3”という方式です。
それぞれ、秘密鍵がいくつ作成されており・そのうちいくつ揃えなければならないというアクセス権限の規定を指します。
“2-of-2”は2つあるうちの2つ、”2-of-3”は3つあるうちの2つ、秘密鍵を揃えなければいけません。
マルチシグにおいて、秘密鍵はそれぞれ別のコンピュータで作成されます。
しかも、同時に作成されたものしか使用できません。
通常のセキュリティ方式だと、秘密鍵を知るには該当のコンピュータ1台だけをハッキングするだけで十分です。
ところがマルチシグの場合、複数台のコンピュータに同時に攻撃をしかけるという、非常に困難な試みをしなければなりません。
コインチェックは、ネムをこのマルチシグに対応させていなかったために、セキュリティが脆弱となりハッキングされる原因となってしまったのです。
ネム財団による事件原因の指摘と対応
NEMに精通している海外Twitterユーザーが、いち早くネム財団の見解をまとめています。
Multi-sig would have helped the Coincheck team against the hack of 500 million XEM being stolen. This loss had nothing to do with NEM but rather Coincheck’s lack of strong security measures. Please use multi-sig, friends. https://t.co/oWrKAFsaXU
— Inside NEM (@Inside_NEM) 2018年1月26日
意訳すると、以下のようになります。
「マルチシグを利用していたなら、コインチェックの50億ネム以上の盗難被害は防げただろう。この被害はネムの強力なセキュリティ機能(マルチシグ)を使わなかったコインチェック側の落ち度と見ている」
また、海外のIT技術系メディアのインタビューに答えたネム財団代表も、以下のように述べています(意訳)。
「今回の事件でネムの信頼性が揺らぐことはない。また、被害に対するフォーク(被害分のNEMを補填すること)はできない。我々は全ての取引所に対して、最高のセキュリティ(マルチシグ)の導入を推奨してきた。コインチェックがそれに従わなかったため、今回のハッキングが起きた。コインチェック側の怠慢である」
ネム財団は、
”コインチェックが暗号化技術(マルチシグ)を導入しなかったことがハッキングの原因である”
と強調しています。
確かに、ここまでの内容を見る限り、今回の事件はネム自体の脆弱性を突かれて起きたものには見えません。
仮想通貨取引所『coincheck』が招いてしまった極めてイレギュラーな事件だと考えられます。
事件後は、当然ながらネムの価格は大暴落しましたが、通貨自体に問題が見つからなければじきに値は戻していくものと見られます。
コインチェックはネム保有者に日本円での補償対応
現在、コインチェック社の元にはほとんどのネム(NEM)の余力がない状態とのことでした。
そのことから消失してしまったネムの補償はどうなるのかに注目が集まっていましたが、2018年1月27日深夜にコインチェック社のプレスリリースにより対応が発表されています。
コインチェック補償方針決定
https://t.co/XvhktoDIfn— シロクマ@仮想通貨・FX・株 (@ToushiKuma) 2018年1月27日
その内容は以下の通りです。
- 1月26日に不正送金されたNEMの補償について
総額 : 5億2300万XEM
保有者数 : 約26万人
補償方法 : NEMの保有者全員に、日本円でコインチェックウォレットに返金いたします。
算出方法 : NEMの取扱高が国内外含め最も多いテックビューロ株式会社の運営する仮想通貨取引所ZaifのXEM/JPY (NEM/JPY)を参考にし、出来高の加重平均を使って価格を算出いたします。算出期間は、CoincheckにおけるNEMの売買停止時から本リリース時までの加重平均の価格で、JPYにて返金いたします。
算出期間 : 売買停止時(2018/01/26 12:09 日本時間)〜本リリース配信時(2018/01/27 23:00 日本時間)
補償金額 : 88.549円×保有数
補償時期等 : 補償時期や手続きの方法に関しましては、現在検討中です。なお、返金原資については自己資金より実施させていただきます。
つまり、同じくNEMを取り扱う仮想通貨『Zaif(ザイフ)』での値段を元にして、日本円で返金対応を行うということのようですね。
具体的には、1NEM/88.549円で返金してもらえるとのこと。
今回の事件の規模の大きさからいえば、返金してもらえるだけ有り難いですが、それでも一時期は200万円も超えていた通貨なだけに、事件で大暴落したことを考えると、損をしてしまった人は多そうです。
コインチェック社は今後も取引所事業を継続
またコインチェック社の同プレスリリースを見てみると、
原因究明、セキュリティ体制の強化などを含めたサービスの再開に尽力するとともに、金融庁への仮想通貨交換業者の登録申請の継続的な取り組みも併せて、今後も事業を継続して参りますので、引き続き、宜しくお願い申し上げます。
との記載があります。
580億円ものお金が無くなったわけですから、一部では破綻の可能性も囁かれていましたが、コインチェック社は今後も事業を続けていく言葉を述べられています。
今回事件が起きてしまったわけですが、コインチェックのアルトコインの取り扱い銘柄の豊富さやスマホアプリの使いやすさは多くの人が重宝すると思ったはず。
今後もきちっとした補償対応をした上で事業を継続していくということで、個人的にも嬉しい限りです。
この事件を経験したからこそ今後2度起こさないと全力を尽くすでしょうし、世に送り出せるものもあると思います。
起きてしまったことは仕方ないですし、今後の運営にしっかり活かしていっていければ・・・とプラスの方向に捉えていきたいですね。
安心してビットコインが購入できる仮想通貨取引所は?
今回の事件を知って、
「今暴落中だから少し買ってみようと思うんだけど、安心してビットコインや仮想通貨が購入できる取引所はどこなの?」
などと思われている初心者の方もいらっしゃると思います。
そういった方は、金融庁への仮想通貨交換所登録を済ませている取引所で、資金力のあるところから選ぶようにするのがオススメです。
コインチェックの事件でも「金融庁への登録が未了であったこと」が問題視されていましたね。
具体的に、国内の仮想通貨取引所で安心感が抜群に高いのは、日本で初めて設立された仮想通貨取引所である
になります。
bitFlyer(ビットフライヤー)
金融庁への仮想通貨交換業社登録を済ませているのはもちろんのこと、株主に
- 三菱UFJキャピタル
- リクルート
- みずほフィナンシャルグループ
- 電通デジタルホールディングス
など錚々たる大企業が名を連ねていますので、資本力はずば抜けて持っています。
2段階認証した上で不正ログインされた際の盗難補償も最大500万円までは補償してくれます。
ビットフライヤーは初心者がまず最初に開く口座としてもオススメされますので、安全第一ならビットフライヤーで取引を行うと良いでしょう。
一方で安心と同時に取引の手数料の安さも優先するならば、
の方がオススメ。
Zaif(ザイフ)
ビットコイン以外の取り扱い通貨にも取引所があり手数料が安い
ネム(XEM)などアルトコインのほか、独自トークンの取り扱いもあり
ビットコインをクレジットカードで購入することも可能
毎月1000円からのZaifコイン積立が可能
Zaifは全ての取り扱い通貨が取引所で売買できる為、手数料が安く、また今回の騒動で大暴落したXEMなど豊富な種類の通貨を取り扱っています。
もちろん金融庁への仮想通貨交換業社登録も済ませています。
初心者がまず始めるなら、ビットフライヤー、ザイフから口座開設していくのがオススメですよ。
なお、金融庁への仮想通貨交換業社登録を済ませている国内の仮想通貨取引所は他にも、
などがあり、それぞれ優れている点・劣っている点がありますので、あわせてチェックして見ると良いでしょう。
ちなみに私は全部の口座を開いて、それぞれ良いところどりして利用しています。
ただし、今回の事件を受けて一層気をつけたいのは、どこの取引所を利用するにしても取引所に預けるのはリスキーだということです。
投資は最終的に自己責任なので、取引所ではなく、ソフトウェアウォレット・ハードウェアウォレットに移すなりして、自分のお金は自分で守るようにしましょう。
コインチェック580億円盗難事件まとめ
今回は2018年1月26日に仮想通貨取引所コインチェック(coincheck)で起きた580億円相当のネム(NEM/XEM)がハッキングにより流出した事件について、流れと原因・理由についてまとめました。
2018年が始まったばかりのところで起きた仮想通貨業界の歴史に残る大事件ですが、今後どうなっていくのか要注目ですね。