coincheck社のハッキング被害

headlines.yahoo.co.jp

 

コインチェック(東京都渋谷区)が運営する仮想通貨取引所「coincheck」は1月26日、取り扱っている仮想通貨「NEM」の一部が消失していたことが分かったと発表した。同社システムが不正アクセスを受け、5億2000万NEM(午前3時時点の同社レートで約580億円相当)が流出したとしている。金融庁、警視庁に報告し、詳しい調査を進めているという。

 

私もcoincheckにアカウントと残高があるのでログインしてみましたが、普段通りログインできて、試しにビットコインの売買も試してみましたが可能でした(2018/1/26 23時ころ)。しかしビットコインめっちゃ下がっている...

APIも動いてるみたいですね。さすがにASK/BIT出して試してみることまではしませんでしたが、Get/Postともレートは普通に取れてます。

今回はNEMのハッキングということですが、仮にこのハッキングで取引所が飛ぶとなれば口座残高が戻ってくる可能性は低くなりますので、事態の推移はNEMホルダー以外にとっても気になるところではあります。

 

NEMはBitcoinを親コードとする多くのアルトコインとは異なりJAVAベースの全く別口のプログラムで、仕組みも異なりますが、今回のケースは多くの取引所ハッキング被害と同様、ホットウォレットの秘密鍵が盗まれてしまったことが原因ということです。

秘密鍵をオンライン上に置くかどうかというのは昔からの問題で、記憶に新しいところだと韓国のユービット(後に破産)や、ロンドンにあるビットスタンプ(こちらは今でも健全に運営しています)の事例など、多くの事例があり、原因も様々です。

btcnews.jp

(Bitstampは秘密鍵をランダムに生成しながらホットウォレットを回していたのですが、その生成パターンを先読みされてしまったために被害に遭いました)

jp.reuters.com

 

分別管理義務はどうなった?

ところで、日本では仮想通貨交換業者に対する様々な行為規制があり、その一つに分別管理義務があります。

これは、会社の資産と顧客の預かり資産を区分して、万一会社が破綻した場合でも、顧客の預かり金は100%返還できる態勢とする義務です。

この規定がある以上、たとえ会社がつぶれようとも、顧客が預けた資金だけは最低限戻ってくるのが当然であるように思われる方も多いと思います。

しかし、分別管理義務は顧客の資産をホットウォレットに入れておくことを禁止するものではありません。単に会社の資産と預り金を混ぜないように管理せよという義務ということに今のところはなっております*1

分別管理監査に関する実務指針も顧客資産をホットウォレットで管理すること自体は否定していません。

仮想通貨交換業者における利用者財産の分別管理に係る合意された手続業務に関する実務指針(日本公認会計士協会)

8.利用者仮想通貨のセキュリティについて、〇〇に以下の事項を質問する。
① ホットウォレットのサイバー・セキュリティリスクに対応するための社内規程が整備されているか。コールドウォレットの暗号鍵等情報の保管方法及び暗号鍵等情報の出力方法について、社内規程が定められているか。
② コールドウォレットの暗号鍵等情報は、ネットワークと遮断され、かつ、社内規程に定められた適切な権限者以外が物理的にアクセスできない方法で保管されているか。
③ コールドウォレットの暗号鍵等情報の権限のない人によるアクセスや盗難を防止するため、防犯組織を整備し防犯責任者を明確にしているか。
④ コールドウォレットの暗号鍵等情報の防災責任者を配置する等十分な防災対策がとられているか。

http://www.hp.jicpa.or.jp/specialized_field/files/2-9-55_4461-2a-20170531.pdf

本来であればFXなどのように信託銀行に信託するのがベストなのですが、仮想通貨の信託など受け入れてくれる信託銀行はありませんから、結局自社で管理するしかありません*2

 

それでも、顧客資産の入出金のためであれば全ての預かりをホットウォレットに入れる必要はありません。通常は出金依頼があった場合は自社資産で立て替えて期間内に振り替え、という形で顧客資産は完全コールドにするか、一部のみ必要に応じてホットウォレットに入れておくとか色々なやり方があるはずです。

今回のハッキング被害額である5.1億NEMが総預かりのうちのどれくらいの割合なのかが気になるところです。もし、預かり資産の大部分をホットウォレットに突っ込んでいたとしたら、、、そりゃ登録も下りないわけだと合点のいくところではあります。

コールドウォレット化は難しいのか

和田社長は、コールドウォレット管理が技術的に困難だ、と記者会見で回答していましたが、正確にはコールドウォレット管理をしつつ出金システムを自動化するのは技術的に困難である、というべきでしょう。出金を承認制にして、マニュアル処理にすれば別段難しいことはありません。しかし、あれだけのユーザーを抱えるに至ってしまった現在では出金まで相当待たされるということになりますし、何より手作業をするための無駄な人件費が発生してしまいます。

コインチェックは取引所の売買手数料は完全無料ですから、仮想通貨の現物については全く商売として成り立っていません。売り上げのほとんどはFXの自己受けと手数料だと思われますので、現物取引は商売上そこまでコストをかけてシステム開発をしていく課題ではなかったのかも知れません。

 

しかしその代償は余りにも高くついてしまいました。

 

logmi.jp

 

追記(2018/1/27 1:51)

ネット上のコメントを色々見てたら、coincheckはNEMをオンライン上においてハーベストしてたんじゃないかという推測もちらほら。それが事実なら顧客の預かりを運用に回していたようなもので、法定通貨なら横領になりえますね。秘密鍵をオンラインサーバーで管理していたというよりも、オンラインウォレット上で顧客資産を管理していたことになり、違う話になってきます。

マルチシグ化していなかった点も突っ込まれていますが、マルチシグ化しても同じサーバー上で鍵を管理していたりしたら全く意味がないので、どういうシステムを組んでいたのかというところが重要なのかなと。

追記(2018/1/27 8:24)

該当アドレスのハーベストはDisabledになっていたらしく、また、喪失したのは顧客からの預かりNEMのほぼ全て、らしいです。NEM触ったことないのですが、こういう管理をしていた理由が良く分からないです???サービス開始時の管理の仕方のまま規模だけ大きくなってしまったということでしょうか?

 

*1:これが良いのかどうかは疑問が多いところです。まあ資金決済法や仮想通貨交換業ガイドラインの多くは妥協の産物のようにも見えますが。

*2:日証金は仮想通貨交換業者向けの信託スキームを導入していますが、法定通貨の信託にしか対応していません。

BITPoint | ビットポイント 日証金信託銀行との信託保全スキームを導入