仮想通貨関連ブログ PC版イメージ 仮想通貨関連ブログ スマホ版イメージ

コインチェックでネム(XEM)盗難事件発生

コインチェック(coincheck)は、自社内で保管していた仮想通貨ネム(XEM)が何者かに盗まれたことを公表し、記者会見を開きました(2018年1月26日)。

そこで、何があったのか、何が問題だったのかを確認しましょう。

コインチェックからネムが盗まれた

多くの仮想通貨の特徴の一つに、「どのアドレスからどのアドレスに送金されたか、全て公開されている」があります。そこで、下の画像をご覧ください。あるアドレスの送受信記録です。

ネム(XEM)のトランザクション

赤枠部分で、コインチェック(coincheck)が保有していた5億ネム(XEM)が、5回にわたって外部アドレスに送金されていることが分かります。

どのアドレスからどのアドレスに送金されたかを調べるのは、比較的容易です。しかし、そのアドレスを所有しているのは誰か?を特定するのは、極めて困難です。銀行口座を開設するときのように、自分の住所氏名を登録しなくてもアドレスを持てるからです。

よって、誰がネムを盗んだのか、この記事を公開した時点で特定できていません。

盗まれたネム(XEM)を売却するのは困難

ただし、このネム(XEM)を盗んだグループは、このネムを売却するのが困難です。というのは、上の画像の青枠部分にありますとおり、「このアドレスの所有者はハッカーです」と明記されてしまったからです。

全世界の取引所は、このアドレス経由でのネム売買を拒否するでしょう。

このアドレスから別のアドレスに送金しても、送金先のアドレスがハッカー所有と認識されます。よって、取引所で売却するのは困難です。では、個人間で売買するか?ですが、そんなネムを買っても、自由に売却できないなら意味がありません。

ということは、個人間売買も困難だと予想できます。

よって、ネムを盗んだグループは、盗んだけれども売るに売れない状態に置かれることになります(現金化する手段を何か持っていれば別ですが)。

この問題への世の中の関心が薄れた後に、「実勢価格よりも割安で売るよ」と個人をだまして現金化することは、できるかもしれません。

なぜコインチェックは盗まれたか

では、なぜコインチェック(coincheck)はネムを盗まれたのでしょうか。2018年1月26日深夜に行われた会見から、以下のことが分かります。

  • マルチシグを採用していなかった
  • コールドウォレットを採用していなかった
  • 1つのアドレスにネムを保管していた

この3つは、かなり致命的と言えるでしょう。マルチシグとは、送金するために必要な暗号(秘密鍵)の種類を複数にする、というものです。個人の場合、秘密鍵は1つだけで管理することが多いかもしれません。

しかし、1つだけでは、ハッキングで外部に流出したら終わりです。盗まれてしまいます。そこで、秘密鍵を複数に分けて保管するのですが、コインチェックはこの手法を採用していませんでした。

なお、マルチシグを採用していなくても、コールドウォレットを使っていれば、盗むのは困難です。コールドウォレットとは、インターネットと隔離した場所で保管することです。

インターネットに接続されていなければ、技術力が高い集団でも盗むのは難しいです。

しかし、全てのネム(XEM)をインターネット上で保管し(ホットウォレットと言います)、そしてマルチシグも採用していませんでした。どのアドレスにどれだけのネムがあるかというのは、全世界に公開されています。

よって、5億XEMもの大金を1つのアドレスに保管していたコインチェックが、狙われてしまった可能性があります。
仮に、10個のアドレスに分散保管されていれば、1つのアドレスが盗難に遭った時点で他の9アドレスを保護できたかもしれません。

失われた顧客資産は戻るか

2018年1月28日のリリース及び顧客向けメールによりますと、ネム(XEM)保有者26万人に対し、日本円で返金されます。

  • 補償金額:88.549円×保有数
  • 補償時期等:補償時期や手続きの方法については、検討中。

単価の計算方法については、ネム(XEM)取引最大手のザイフでの取引価格及び取引数量を基準としています。

なお、トレード資産を全てコインチェックに入れていた場合、資産が自分の手に戻る前にトレードチャンスが来ても、売買できません。

よって、仮想通貨に限らず株でも何でもそうですが、口座は複数保有し、資金を分けて入金しておくことが必要です。こうすれば、何かの事件・事故で1つの口座が使えなくなっても、もう一つ(または複数)の口座で取引を継続できます。

当サイトでのコインチェック紹介を停止

当サイトの取引所紹介方針は、「安全度の高い取引所を紹介する」です。このため、金融庁に登録済み、または、登録申請中の取引所(みなし取引所)のみを紹介してきました。世界的に有名であっても、登録申請していない取引所は紹介していません。

コインチェックは、金融庁登録申請中(みなし取引所)です。しかし、この事態を受けて、当サイト「仮想通貨のやさしい始め方」では、コインチェックの紹介を停止します。これは、盗難に遭ったから停止するのではありません。

インターネット上で活動する以上、情報漏えいを100%防ぐのは難しいです。個人情報漏えい事件が後を絶たないのは、インターネット上のセキュリティ確保がいかに難しいかを物語っています。

そうではなく、「コインチェックはやるべきことをしていなかった」と判断できるためです。

コインチェックのホームページには、以下の文言があります。

coincheckでは、お客様からの預り金の内、流動しない分に関しては安全に保管するために、秘密鍵をインターネットから完全に物理的に隔離された状態で保管しています。

AES-256 の規格を持ってコールドウォレットは暗号化されており、第三者が盗むことはできません。

下の画像は、coincheckホームページからの引用です。下の文章はビットコインに限った文章のように読めます。しかし、意図してかどうかは不明ですが、結果として、虚偽情報と受け取られても仕方がない情報を公開していたことになります。

coincheckの声明(HP)

よって、コインチェックがセキュリティについて高い水準を満たし、金融庁への登録が完了した後に、再度のご案内を検討していこうと思います。

日本ではバブル崩壊後「失われた20年」などと呼ばれ、経済の先行きも見通しづらい状況が続いています。そんな中、仮想通貨分野において、日本は世界に先駆けて法整備を整え、世界の先駆者として走っています。

今回の事件は残念でしたが、コインチェックの復活を期待しています。また、この事件が日本における仮想通貨(及びブロックチェーン技術)の発展を阻害しないことを期待しています。

取引所等企業動向 記事一覧

ブログトップ
×
仮想通貨チャート一覧&価格一覧(リアルタイムレート)
×