2018年1月26日にコインチェックが不正アクセスに遭い、多額のNEMが流出してしまいました。
コインチェックの被害額は580億円にも上り、2014年のマウントゴックス事件の470億円をはるかに超える事態となっています。

このことを受け、金融庁は1月29日にコインチェックに対して、業務改善命令を出しました。
また、今回の流出事件を受け、現在2つある仮想通貨業界団体は統合して新たな自主規制団体を発足させる方向で合意しました。

(参考元:http://tsublog.info/wadakouichirou-koukou-keireki/ より一部加工)


3行まとめ


  • コインチェックの不完全なセキュリティにより、580億円相当のNEMが不正出金
  • 金融庁はコインチェックに業務改善命令を出す
  • 仮想通貨の2業界団体も、自主規制へ向けて統合の動きへ

コインチェックNEM流出の全体像

1月26日午前0時ごろ、コインチェックのアドレスから「NC4C6PSUW5CLTDT5SXAGJDQJGZNESKFK5MCN77OG」というアドレス宛に、多額のNEMが送金されました。

はじめに10XEMがテスト送金として送られ、その後5分間に計5回、上記のアドレスへと送金が行われました。

1回につき1億XEMが送金されていたので、この5分の間で被害額の大半である5億XEMが不正出金されてしまったことになります。

その後も5回分の送金が行われ、最終的なコインチェックからの送金総額は5億2630万10XEMになりました。

こうしてコインチェックは保有していたほとんどのNEMを、不正出金により流出してしまいました。

送金されたNEMの送金先アドレスからは、さらに9つのアドレスへ向けてNEMの送金が行われていたことが確認されています。


コインチェックが、自社の保有しているNEMの残高が大きく減っていることに気づいたのは1月26日11時25分ごろ、NEMの不正送金が完了してから、すでに半日が経過したのちでした。

その後、NEMの入金制限から売買の一時停止、入出金停止、さらにはJPYを含むコインチェックで取扱いのある全通貨の出金が一時停止されました。



(参考元:http://corporate.coincheck.com/2018/01/26/29.html

26日深夜時点でのコインチェックの記者会見には、コインチェックの和田晃一良社長大塚雄介最高執行責任者(COO)が出席し、記者からの質問に答えました。

しかし、原因やNEMの保有人数については「確認中」とし、被害補償についても「検討中」など、全体を通して曖昧な返答が多く見られました。



(参考元:https://www.shikoku-np.co.jp/national/economy/photo.aspx?id=20180128000182&no=1

さらにセキュリティへの着手は「間に合わなかった」と返答しました。

通常、取引所では仮想通貨の保有者を証明する秘密鍵を、コールドウォレットというネットワークから切り離された状態で保管します。

秘密鍵を紙に書いたペーパーウォレットや、メモリースティックのような記録装置に保管するハードウェアウォレットが、代表的なコールドウォレットです。





コインチェックでは秘密鍵をコールドウォレットに移し替えることなく、オンライン上に保管していました。

また、秘密鍵は一旦漏れてしまうと誰でもログインできてしまうので、通常は秘密鍵を分割して、ばらばらの保管場所に保管する「マルチシグ」という保管方法により、セキュリティを高めています。
しかし、コインチェックではマルチシグが実装されていなかったそうです。
今回判明したコインチェックにおける仮想通貨の管理方法は、多くのユーザーをさらに不安にさせました。


コインチェックでの不正出金が発覚したのち、NEM財団代表のLon Wong氏はコインチェックへ協力する意向を表明しました。
またNEM財団の素早い対応により、今回流出したNEMを追跡し、盗まれたコインを取得したすべてのアカウントに自動タグをつけるシステムを開発しました。

その後、各取引所に対して、タグ付けされたアカウントの確認方法を公開することで、盗まれたNEMを売却できないようにしました。
つまり、今回はNEMそのものの問題ではなく、コインチェックのセキュリティの問題であったため、NEMのハードフォークは行わず、盗まれたNEMを無効化することはできないものの、流出したNEMを追跡し、NEMを売却できないような状態にすることが出来ました。


さらにコインチェックは1月28日に、盗まれてしまったNEMの保有者に対する補償方針を表明しました。



(参考元:http://corporate.coincheck.com/2018/01/28/30.html

コインチェックの発表内容によると、

  • 総額:5億2300万XEM
  • 保有人数:約26万人
  • 補償方法:NEMの保有者全員に、日本円でコインチェックウォレットに返金
  • 補償金額:88.549円×保有数
  • 返金原資については自己資金より実施

とのことで、算出に際しては、国内外でのXEM取引高が最多のZaifが、コインチェックからの打診に応えて、XEMの参照レート情報を提供されたようです。


1月29日現在、日本円の入金は可能になっていますが、いまだ日本円の出金はできず、取扱仮想通貨はすべて入出金が停止されている状態です。

今回、外部からの不正アクセスに対する不十分な対策により顧客の資産が多く奪われてしまった事態を重くみた金融庁から、コインチェックに対して行政処分が下され、業務改善命令が出されました



(参考元:http://kantou.mof.go.jp/rizai/pagekthp0130000001_00004.html

菅義偉官房長官は記者会見で、「原因究明と必要な対策を講じたうえで、関係省庁でさらにどのような対応をするか早急に検討したい」と述べたそうです。

コインチェックの被害を受けて、仮想通貨業界団体が統合へ

今回のコインチェックでのNEM不正出金を受けて、仮想通貨業界の2つの団体は統合して、新たな自主規制団体を発足させる方針に決まりました。
現在、仮想通貨の業界団体はビットフライヤーが中心となって設立した日本ブロックチェーン協会と、Zaifを運営するテックビューロなどが参加する日本仮想通貨事業者協会があります。



(参考元:https://prtimes.jp/main/html/rd/p/000000149.000003955.html


(参考元:https://goodway.co.jp/fip/htdocs/jom54seit-3242/

2017年4月の改正資金決済法施行により、金融庁からは自主規制団体を一本化するように要請されていましたが、なかなか一本化できずにいました。
しかし今回の事態を受けて、統合によって顧客の資産の補償やセキュリティ体制の自主規制ルールを設けることで、仮想通貨業界の信頼回復を目指すようです。

資産の自己防衛は必須!備えあれば憂いなし

今回は不正出金は、NEMそのものの問題ではなく、取引所の脆弱性を狙って行われたものでした。
韓国の仮想通貨取引所「ユービット」の例を見るまでもなく、仮想通貨取引所が今後ハッキングにさらされる危険性は以前よりも多くなるでしょう


もちろん、取引所によるセキュリティ技術の向上、補償制度の拡充は必須になると考えられます。
しかし、取引所を利用する私たちも、各取引所のセキュリティをよく考えて選ぶ必要があります。

そこまでしても、今回のように取引所がハッキングされ、GOXしてしまう事態は十分に考えられることです。
これに対して、私たちはどのような対策をとるべきなのでしょうか?


もっとも確実に資産を守る方法として、コールドウォレットがあげられるでしょう。

仮想通貨をネット上に置いてある限り、ハッキングによってネット経由で不正出金されてしまう可能性がゼロになることは絶対にありません。

ネット上の資産を守るには、まずネットから切り離したところで保管することが重要です。

もちろん、コールドウォレットにしても、紛失や盗難の危険性はあるので、100%確実に安全であるとは言えませんが、適切な管理・保管方法を心掛ければ、ネットに置いているよりも格段に安全性は上がります。


コールドウォレットには、紙を使ったペーパーウォレットや、メモリースティックを使ったハードウェアウォレットがあります。

ペーパーウォレットは燃える・濡れる・破れるなどの心配があるので、ハードウェアウォレットのほうがおすすめかもしれません。
ただし、ハードウェアウォレットごとに対応している仮想通貨は決まっているので、よく調べてから購入しましょう。



ビットコインウォレットTREZOR(トレザー) (ホワイト)



Ledger Nano S (レジャー・ナノS)ビットコイン&イーサリアムハードウェアウォレット【正規品】



また、複数取引所のアカウントを開設しておき、今回のような事態が起こった際には、すぐに他の口座へ資金を移動できるように体制を整えておく方がいいでしょう。

ネットの反応

人型

NEMだけで26万アカウントもあったってことが凄いよね。完全にキャズム超えたと思う、

人型(2)

コインチェックを擁護するバカな連中がいて、やっぱり博打は胴元じゃなきゃダメだなと思いましたね。

人型

コインチェック 現預金が「偶然」NEM暴落後の463億円分だけありました、なんてことないだろう
現預金で元の580億円補償すべきだと思うが 金融庁はそこちゃんと指示すべき 顧客に落ち度はないわけだから

人型(2)

コインチェック騒動の裏でずっとホワイトハッカーが犯人の盗んだ仮想通貨を追跡・監視してたってもう何の映画。。

人型

コインチェックが出金可能になった時のことを経営者目線で考えると震える。

人型(2)

「仮想通貨もう終わったな」「コインチェックな」って話が聞こえて来た訳ですが(カフェで近くの席の学生?ぽい若者達から)って事はもう一段下げ待たずロング第一弾のタイミングかも。

人型

「セキュリティの安全性を考えると大手の取引所を選んでおく方が間違いがなさそうです。その中でも、「使い勝手のよさ」「取り扱い通貨の多さ」など総合的に考えると、現状ではコインチェックがもっともおすすめという結論です。」 と書かれていた記事が削除されているのを観測してしまった

人型(2)

CC置きっ放し民、ワイの他におるんか?

人型

CCは本来はNEM流出時の価値で被害者に賠償すべきだが,あえてこれより低い流出後平均価値での賠償を提案し,弁済時期も明示していないことから,本当は既に債務超過になっているが会社の継続価値を前提にした増資等の金策で対応するつもりじゃないか,ってマックで女子高生が言っていたよ。

人型(2)

CCやるじゃないか(笑) 手数料ボッタクしてたからか?

人型

ccは金融庁未登録ながら「みなし」のおかげで、いわゆるホワイトリストに載ってないアルトの日本市場で独占状態。
アルトの利益が高いからセキュアな開発が間に合ってなかったけど取り扱い辞めたくなかった、ってのが本音だと思う。
NEMだけ特別セキュアではなかった、、とは考えにくい。

人型(2)

油断大敵はNEM事件も同じ、一か所に大量に置いている方は複数に分散しましょう。
何かあった時の被害を少なくするため。