潜行するサイバー攻撃（第4回）コインチェック、消えた580億円の仮想通貨

公開日：2018.02.05

　仮想通貨取引所大手のコインチェックから、不正アクセスによって580億円もの多額の仮想通貨が流出する事件が起こった。まずは簡単に事件を振り返ってみよう

　コインチェックは、ビットコインに代表される仮想通貨を売買する取引所の1つだ。コインチェックが提供する仮想通貨取引所サービス「Coincheck」では、ビットコインをはじめとして、今回流出事件が起きたNEM（ネム、通貨単位はXEM）など13種類の仮想通貨を取り扱っている。事件は2018年1月26日に、Coincheckで一部の機能が停止する事象として発覚した。同社が保有している仮想通貨NEMが不正に外部に送金されたのだ。

　金額は、NEMの通貨単位で5億2300万XEM。日本円に換算すると580億円という規模に上る。コインチェックでは、約26万人という同社のNEMの保有者に、総額約460億円を日本円で返金するという補償内容を発表した。事件を問題視した金融庁はコインチェックに対して、「発生原因の究明や顧客への対応、再発防止策などに関し不十分なことが認められた」として業務改善命令を出した。

　仮想通貨を支える技術的な仕組み「ブロックチェーン」の普及推進を図る団体であるブロックチェーン推進協会は、「今回の盗難については、当該ブロックチェーンを含めたブロックチェーン技術全体の技術的な欠陥や脆弱性に起因するものではなく、取引所固有の問題」というコメントを発表している。つまり、「仮想通貨は危険」「ブロックチェーンの欠陥・脆弱性」といった問題ではなく、コインチェックという会社の問題だと指摘した。

セキュリティを最優先にしたと主張

　今回の事件は、大きなくくりで見れば不正アクセスによる情報流出の一種といえる。事件の詳細は調査中で、原因や改善策について公式な発表がなされていない。だが、情報セキュリティを考える上での教訓が読み取れる。

　中でも大きな教訓は、情報セキュリティの確保は最も優先順位の高い経営課題と認識すべき点だろう。実は、コインチェックの経営者は1月26日の記者会見において、「セキュリティ関係に関して何よりも最優先で行っていた」という発言をしている。さらに「我々のセキュリティが低かったから狙われたという認識はない」とも語っている。

　しかし同じ記者会見で、「NEMをホットウォレットで保管していた」「マルチシグを導入していなかった」という問題点があったのも明らかになった。ホットウォレットとは、仮想通貨をオンラインで保管する方法のこと。コインチェックは、NEMについては安全性の高いオフラインのコールドウォレットを採用していなかった。また、銀行口座の暗証番号に該当する「鍵」を分散管理するマルチシグへの対応も遅れていた。

これらができていなかった要因

　その理由として「技術的に難しかった」「それを行うことができる人材の不足」と会見で説明している。そうした状況で、セキュリティを最優先に考えれば、NEMの取り扱いをやめることや、多額の投資を覚悟して開発部隊を増員することが考えられた。だがコインチェックの選択は異なった。

　取り扱いを続ける一方で、有名タレントを使った広告に資金を投じた。コインチェックが本当にセキュリティを最優先していれば、今回のような重大トラブルは回避できたかもしれない。掛け声だけに終わらないセキュリティに関する真摯な姿勢は、企業の命運を握るのがよく分かる。

セキュリティの弱い会社、弱い部分が狙われる

　今回の事件のもう1つの教訓は、自社の情報（今回でいえば投資ビジネスの資金）を取り扱うパートナー選びは、慎重の上にも慎重にということだ。2017年に金融庁は、仮想通貨を取り扱う仮想通貨交換業者を登録する制度を設けた。2018年1月17日の時点、登録業者は16。実はその中にコインチェックは含まれていない。コインチェックは2017年9月に登録申請は済ませたものの、審査中の状況だった。登録が済んでいない要因は、セキュリティの問題とは限らないものの、競合する仮想通貨交換業者よりも遅れているのは事実といえる。今回、被害に遭った投資家は、そのことを知った上でコインチェックを利用していたのだろうか。

　ビジネスリスクを考えたときに、取引先や提携先のチェックは必須だ。情報セキュリティに関しても、取引先や提携先のシステムにセキュリティホールがあれば、そこから重要情報が流出することは大いに考えられる。ネットワーク社会では、セキュリティの弱い部分が狙われ、そこから被害が拡大する。

　コインチェックも、一番メジャーな仮想通貨であるビットコインのセキュリティについては、自社Webサイトで「コールドウォレットによるビットコインの管理」をうたっていた。そこでは、「coincheckでは、お客様からの預り金の内、流動しない分に関しては安全に保管するために、秘密鍵をインターネットから完全に物理的に隔離された状態で保管しています」と説明している。

　それなりに高いセキュリティレベルにあったビットコインでは被害はない。上記のようなコールドウォレットを採用していなかったNEMが狙われた。セキュリティの弱い部分を放置してはいけない。特に経営者は、これを肝に銘じておくべきだ。

執筆＝岩元直久

【MT】

あわせて読みたい記事

強い会社の着眼点（第20回）

「サイバーセキュリティ月間」に改めて考える！対策のポイント

脅威・サイバー攻撃時事潮流

2025.02.03
強い会社の着眼点（第21回）

ハッカーたちは休日がお好き？長期休暇明けは特に注意

脅威・サイバー攻撃時事潮流

2025.02.03
強い会社の着眼点（第22回）

ランサムウエア被害の復旧には1000万円以上も！？対策のポイント

脅威・サイバー攻撃時事潮流

2025.02.03

「脅威・サイバー攻撃」カテゴリーから探す

連載バックナンバー

潜行するサイバー攻撃

潜行するサイバー攻撃（第4回） コインチェック、消えた580億円の仮想通貨