なぜコインチェック(Coincheck)から580億円分の顧客のNEM(ネム)が盗まれたのか?

2018年1月26日、国内最大級の仮想通貨取引所の「コインチェック」で顧客から預かっている約580億円分のNEM(ネム)が流出しました。

コインチェックは現在、BTC以外の入出金が停止しており、預けている資金を引き出すことができない状態になっています。

深夜に緊急記者会見を実施

1月26日の23:30から、AbemaTVとニコニコ生放送でコインチェックの緊急記者会見が開かれました。

  • 被害は約580億円、コインチェックにあるほぼすべてのXEM
  • コールドウォレットやマルチシグなどのセキュリティ対策が不十分だった
  • 補償などの具体的な対応は未定、検討中
  • XEM以外の通貨も保証できるとは限らない
  • 取引、入出金の再開は未定
  • 最悪の場合、利用者の資産を毀損する可能性もある
ざっくりとまとめるとこんな感じの内容でした。

NEM(ネム)はなぜ盗まれた?

今回のコインチェックのNEM(ネム)流出を受け、「コインチェックのセキュリティは十分ではなかった」と批判の声が上がっています。

NEM(ネム)はホットウォレットに管理

仮想通貨取引所は通常、不正アクセス対策として顧客の口座の「ウォレット」をコールドウォレットで管理することが多いのです。

コールドウォレット

インターネットに接続していないコンピュータで管理するウォレット。紙に書き出すペーパーウォレットやハードウォレットを指す。オフライン環境で管理することで、不正アクセスによって外部から仮想通貨が盗まれることがなくなる。

bitFlyer(ビットフライヤー)では顧客資産の8割をコールドウォレット化しており、残りの2割をホットウォレットの中で流動資金として扱っています。

残りの2割をホットウォレット管理する理由

コールドウォレットで一度保管すると、取り出すのに手間と時間がかかります。

取引所では常に売買が行われているため、ある程度必要な分の仮想通貨はホットウォレットで管理しています。

しかしながら、コインチェックは会見で「ほぼすべてのNEM(ネム)をホットウォレットに管理」していたと説明、「(コールドウォレットは)技術的に難しく、対応できる人材が不足していた」と釈明しています。

コインチェックは「コールドウォレットによる管理」を謳っていた

システム開発には着手していたけど、今回の事件には間に合わなかったとのことなのですが、コインチェックは公式サイトにてこういう記述をしています。

 

当時、Mt.GOX(マウントゴックス)のコールドウォレットの管理は完全なオフライン状態で行われていなかったため、安全性が確保されていませんでした。

coincheckでは、お客様からの預り金の内、流動しない分に関しては安全に保管するために、秘密鍵をインターネットから完全に物理的に隔離された状態で保管しています。

マウントゴックス事件

2014年3月、東京の取引所「マウントゴックス」で115億円相当のビットコインを消失した事件。

カズト

マウントゴックスの教訓を活かしてコールドウォレットで管理しているよ!

と説明していながらも、実際は顧客から預かっていたNEM(ネム)のほとんどは常時ネットにつながっている状態で管理していました。

ハッキングの不正アクセスへの対策が十分でなかったことが分かります。

取引所は「顧客の資産を預かる」意味では銀行と同じ

大切なのは、今回の事件は「仮想通貨が悪い」わけではないということ。

取引所の仮想通貨の管理方法に問題があったわけで、盗まれたNEM(ネム)に脆弱性があったのではありません。

日本円(JPY)だって、銀行のセキュリティが甘々でカンタンに盗むことができる状態であれば、ハッキングによって奪われてしまう可能性があります。

本来、仮想通貨の取引所は銀行と同じ「顧客の大切な資産を預かる」立場ですから、セキュリティに関しては最優先で取り組まなければならないはずです。

取引所リスクは常に考えておく

もちろん仮想通貨の投資は自己責任ですので、こういったリスクを想定しておかなければなりません。

取引所を複数登録して資産を分散したり、長期保有する仮想通貨はハードウォレットなどに移しておくなどの対応が必要です。

今回の事件で、国内大手の「コインチェック」ですら、安心して資産を預けられる状態ではないということが改めて分かりました。

改めて資産管理について考えることができた良い機会だと思います。みなさんも、仮想通貨の管理を見直してみてください。