仮想通貨取引所コインチェックのネム流出事件の全貌を解説！原因と真相を検証

2014年の「マウントゴックス事件」が契機となって、仮想通貨取引のセキュリティ対策は格段の進歩を遂げました。

もはやほとんどの投資家が、再び同様の事件が起こるとは想像もしなかったことでしょう。

しかしそれから4年で、マウントゴックス事件を超えるような、大規模な仮想通貨の盗難事件「コインチェックのネム流出事件」が現実のものになってしまったのです。

仮想通貨界の関係者からすると、これほど多額の仮想通貨が流出してしまうことは、現在のシステムの技術からすればあり得ないことだと考えられています。

今後仮想通貨の歴史に長くその名を刻むであろう「コインチェック事件」はなぜ起こったのか、その教訓を生かすためにも、詳しい原因と事件の真相を検証していきます。

取引所としてのコインチェック（Coincheck）

コインチェック株式会社は2012年8月に、和田晃一良氏と大塚雄介氏が創業しました。東京の渋谷に本社を置き、社員数は約100名。

その後2014年に仮想通貨取引所を開設してから急成長を遂げ、国内ではトップクラスの取引量を誇る取引所となりました。

初心者でも簡単に取引が始められる

コインチェックには、他の取引所に比べて登録手続きが簡単で、スマートフォンでのアプリが使いやすく、しかも取り扱う仮想通貨の種類が豊富というメリットがあります。

その点が初心者を含めて、幅広いユーザーを獲得できた理由の一つだったのでしょう。

コインチェックはビットコイン以外にも、国内の取引所としては最も豊富な種類のアルトコインを扱っています。コインの盗難事件が起きた当時は、ビットコインも含めて13種類の仮想通貨が取引可能でした。

コインチェックの事業規模

試算によると2018年1月のコインチェックによる仮想通貨取引額は、ビットフライヤーに次いで国内では第2位にランクしていました。

その直前の2017年12月、日本国内での仮想通貨取引額が過去最高を記録した年には、コインチェックのビットコイン取引額は3.2兆円にまで達していました。

事件後に公開されたデータによると、2017年4月～2018年3月の1年間でのコインチェックの売上高は、およそ600億円程度と見積もられています。

それまでも順調に取引額と売り上げを伸ばしてきたので、2018年にはさらに事業を拡大していたと考えられます。

しかし仮想通貨取引所としては現在も金融庁に登録を申請中で、今のところ「みなし業者」として運営を続けている状態です。

登録の許可が下りなかったというのは、コインチェックの運営体制に何らかの問題があったのかもしれません。

盗難されたネムという仮想通貨

「ネム（NEM）」は2015年に発行された仮想通貨で、通貨単位は「ゼム（XEM）」と言い、既に約90億XEMぶんの発行上限まで市場で流通しています。

以前は時価総額でトップ10に入る人気の仮想通貨でしたが、盗難事件以降はやや価値を下げて、トップ10の圏外にまで順位を落としています。

しかし仮想通貨としての仕組みは非常に評価が高く、ビットコインなど他の仮想通貨にはない特徴を備えています。

仮想通貨ネムの特徴

ネムも他の仮想通貨と同様に、ブロックチェーンをベースにしたシステムになっていますが、積極的に新しい機能を採り入れて仮想通貨としての価値を高めています。

その主な特徴を確認しておきましょう。

こうした特徴の中には非常に興味深い機能もありますが、今回の盗難事件とは直接的に関わっていないので、ここでの詳しい説明は省きます。

仮想通貨としてのネムについての詳細は「ネムとは？」で詳しく説明しています。

ネムのセキュリティ対策

ネムの特徴の1つに、セキュリティ対策に優れているという点がありますが、単一の仕組みではなく複数のシステムで構成されていることがそのポイントです。

仮想通貨の取引では違法な取引を行うユーザーやハッカーが、取引所にアクセスする危険性が常にあります。

そのためネムには「Eigen Trust++」という技術が使われていて、アクセスしてくる相手側のパソコンを常時監視しています。これによって危険な相手からのアクセスをブロックできるのです。

また通常取引所に導入されている「マルチシグ」という技術を、仮想通貨のネムそのものにも搭載することで、出金時のリスクを大幅に低減しています。

マルチシグは簡単に言うと、複数の合鍵を設定するようなイメージで、ネムの出金や送金時には、1つだけではなく複数の合鍵がないと処理を行う許可が下りません。

さらにネムの公式ページでは、「ナノ・ウォレット（NANO WALLET）」の設定を推奨しています。

これは資産としてのネムを取引所に預けたままにせず、自分専用の「ウォレット（財布）」にしまっておくような仕組みです。

これだけ厳重なセキュリティ対策が施されていたはずのネムが、なぜ大量盗難のターゲットにされたのでしょうか？

その理由を検証するためにも、今回の盗難事件の流れをつかんでおく必要がありそうです。

コインチェック盗難事件の概要と流れ

事件当日の状況は、コインチェックのプレスリリースでも発表されているので、それらの情報をもとに事件の経過を確認してみましょう。

事件当日の一連の動き

仮想通貨取引所のコインチェックでネムの大量盗難が起こったのは、2018年1月26日のことでした。

当初は午前2:57頃に不正アクセスが発生したと発表されましたが、後の調査を経て午前0:02頃に修正されました。

不正アクセスに最初に気づいたのはコインチェックではなく、ネムの開発やサポートを担当する「ネム財団」でした。

午前3:57頃にネム財団代表が自身のツイッターで、コインチェックがハッキングの被害に遭ったことを公表したのが事件の始まりです。

実際にコインチェックのサーバーが異常を検知したのは、それからさらに7時間以上経過した11:25頃のこと。

その後午後12:07～12:52頃にかけて、順次ネムの入金・売買・出金がストップされ、コインチェックでのネムの取引は全て停止しました。

さらに16:33頃から1時間弱の間には、まず日本円とアルトコインの出金が停止され、続いてそれらの売買も停止されました。しかしこの時点では、まだ日本円とアルトコインの入金は停止されていません。

18:50頃になってやっと入金の停止措置がとられ、クレジットカード・ペイジー・コンビニ入金も全て停止されました。

そしてコインチェック代表者による記者会見が開かれたのは、不正アクセスが行われたと推測された時間から、ほぼ丸1日経った1月26日の23:30過ぎのことでした。

最終的にはおよそ5億2300万XEMがコインチェックから流出、当日の相場での被害総額は約580億円と公表されました。

コインチェック側の危機意識

コインチェックの創業者の1人である大塚雄介氏は、自著の「いまさら聞けないビットコインとブロックチェーン」の中で、マウントゴックス事件を例に挙げながら、仮想通貨の盗難事件について自身の見解を明確に述べています。

それによれば、現在の取引所は何重にもセキュリティ対策が施されているため、大量盗難事件はまずあり得ないということです。

マウントゴックスのような初期の取引所だからこそ、社内の運用ルールや体制が未整備で、その結果不幸にも仮想通貨が消えてなくなる事件が起きたと語っています。

なお、マウントゴックス事件について詳しくは「仮想通貨が消失したマウントゴックス事件とは？その真相を徹底解明！」で説明しています。

ネム財団はコインチェックの記者会見からさかのぼること6時間前、既に外部からのハッキングについて言及していました。

しかしコインチェックによる記者会見では、盗難の経緯については調査中と答えるのみ。

セキュリティ対策に関する質問に対しても、「万全の体制だった」と説明しましたが、その後コインチェックのセキュリティ対策に致命的なミスがあったことが明らかになります。

その詳細については後ほど説明します。

事件後のコインチェック周辺の動き

盗難事件翌日の1月27日には、早速ユーザーへの補償内容が発表されました。この対応の早さは評価できるでしょう。

補償の方法については約580億円分の被害額全額を、コインチェックの自己資産でまかなうというもので、ネムではなく日本円での返金となることも発表されました。

ただしこの時点では、補償開始の時期については検討中とのことでした。

コインチェックの営業そのものは実質停止状態となり、入金は日本円のみが受け入れ可能で、それ以外の通貨や仮想通貨での入金は停止。出金は全通貨で完全にストップという状態が続きます。

その間1月29日には金融庁から業務改善命令が出され、2月2日には金融庁によるコインチェックへの立ち入り調査も行われました。

ここで同社の財務状況・資金管理の状況・セキュリティ対策などについてひと通り調査された模様ですが、調査結果についての発表はなされていません。

被害者側では2月3日に被害者団体を結成して、「仮想通貨での返金」を求めて集団提訴に踏み切りました。また事件当時からの通貨価値下落による損害についても、同時に賠償を求める方針です。

賠償については3月に入って順次行われ、およそ26万人に対して約460億円が日本円で補償されたようです。

その後コインチェックの管理体制や、盗難事件の原因についてさまざまな検証がなされますが、未だ解明には至っていません。

営業に関しては2月13日に日本円の出金が開始、しかしその他の通貨は依然として出金停止が続いています。

そんな中で、コインチェックは3月8日に記者会見を開き、今後の業務改善内容について発表しました。

さらに4月6日には、日本に本社のある金融商品取引会社「マネックス・グループ」が、コインチェックを買収して100%子会社化することを発表しました。

今後はマネックス・グループによって、再度コインチェックの名前で金融庁に申請を行い、取引所としての認可を受けてから営業を再開するようです。

しかし現状の流れでは盗難事件に至った原因や、当時の経営陣の責任追及は全く行われることなく、補償問題に終始する可能性があります。

このままでは今回の事件の教訓が生かされることなく、再び仮想通貨の流出事件が繰り返されるかもしれません。

それを防ぐためにも、分かり得る範囲で今回の事件の原因と、今後注意すべき点などを確認しておくことにします。

盗難事件が起こった原因

今回の盗難事件の原因を究明すると、仮想通貨ネムのセキュリティ・レベルよりも、コインチェックという取引所の管理体制に問題があったようです。

どうしてこれだけ多額の仮想通貨が、一度に盗難に遭ってしまったのか。その原因は大きく3つが考えられます。

マルチシグ対応の問題

現在仮想通貨の送金処理には、「マルチシグ（マルチ・シグネチャー：Multi-signature ）」という技術が使われています。この技術の導入によって、不正な送金処理が行われる危険性が格段に低下しました。

それまでの送金処理では、1つの「公開鍵」に対して1つの「秘密鍵」が準備され、その2つが正しく対応すれば送金処理が許可されていました。

いわば通常の鍵穴と鍵との関係で、この1対1で対応するセキュリティ・システムは「シングルシグ」と呼ばれています。

それに対してマルチシグの場合には、複数の「公開鍵」に対して複数の「秘密鍵」が設定されています。

これは鍵を開ける時に、複数の鍵を同時に使わないと開かない鍵のようなもの。タイプによって違いますが、秘密鍵3本の内2本が揃わないと取引が成立しないシステムが一般的なようです。

詳しくは「仮想通貨のマルチシグの仕組みとは？」で説明しています。

マルチシグを備えることで、ハッカーによって秘密鍵が悪用される危険性が大幅に低下したのです。

ところがコインチェックでは、このマルチシグへの対応がなされていませんでした。依然としてシングルシグ対応だったため、比較的容易にハッカーが秘密鍵を手に入れてしまった可能性が高いと言われています。

ウォレット管理の問題

もう一つの決定的なミスは、ウォレットの管理方法にありました。

仮想通貨はイメージとして、財布を意味するウォレットというシステムの中で管理されています。現在は個人の投資家も、自身のウォレットで仮想通貨を管理するケースがほとんどで、取引所そのものにもウォレットが存在します。

実際にはウォレットの中に仮想通貨が保存されているわけではなく、ウォレットは仮想通貨にアクセスする権限を管理しています。

このウォレットにもいくつかのタイプがありますが、取引所での管理に関わるのは「ホット・ウォレット」と「コールド・ウォレット」との2つです。

極めて大まかな説明ですが、オンライン環境に接続した状態で管理するのがホット・ウォレットで、インターネットからアクセスできない、オフライン環境で管理するのがコールド・ウォレットだと言えます。

セキュリティ対策がしっかりした取引所であれば、ユーザーの資産などの大部分はコールド・ウォレットで管理して、取引に必要な仮想通貨だけホット・ウォレットで管理しています。

そのため万が一ハッカーによる侵入が起きても、コールド・ウォレットにある資産には被害が及びません。

なお、ウォレットについて詳しくは「仮想通貨のウォレットとは？」で説明しています。

コインチェックでも仮想通貨の管理には、コールド・ウォレットを採用していると、公式サイトで説明されていました。

しかし後の調査により、コールド・ウォレットで管理されていたのはビットコインだけで、盗難に遭ったネムは全てがホット・ウォレットで管理されていたことが発覚したのです。

これが今回の大量盗難事件の、最大の原因だと言っても良いでしょう。

経営体質の甘さの問題

今回の事件では、ネム財団による対応の速さと原因の究明が高く評価されています。そのネム財団は、コインチェックのセキュリティ対策の甘さが盗難事件につながったと厳しく指摘しています。

上に挙げた2つの原因以外にも、今回の事件はコインチェックの経営体質の甘さが招いたとする意見が、仮想通貨関係者や投資関係者の間で高まっています。

同社が取引する仮想通貨は、不自然に大きな変動がないかを常にチェックするシステム下にあったとされていますが、実際には1日に2度しかチェックされていなかったそうです。

1月26日の事件当日も、不正アクセスが起きたと推定される時間から、11時間以上経過してからようやくコインチェックのシステムが異常に気付いたくらいです。

最終的には、盗難されたネムはほぼ全額が既に別の仮想通貨に換金されたと推測されています。また、今後その仮想通貨を取り返せる可能性も、ほぼゼロだと言われています。

この教訓を今後に生かすために

仮想通貨の取引をしている皆さんと、これから取引を始めようとしている皆さんにとって、今回の盗難事件は決して対岸の火事では済まされません。

今後二度と同様の事件が起きないとは、誰にも保証できません。ですから自分が被害に遭う前に、安全に仮想通貨の取引をする方法を自分なりに確立しておいてください。
最後にそのヒントをいくつかまとめておきます。

取引所は慎重に選ぶこと

現在日本国内では、仮想通貨の取引所は金融庁の監督下にあり、業務内容に不備が見つかった場合は改善命令も出されます。

取引所を選ぶ時には、金融庁に登録された国内の取引所から選ぶことをおすすめします。

他にも取引所の経営規模や資金力、万一の場合の損失補償制度など、多角的な視点で慎重に安全な取引所を選びましょう。

詳しくは「仮想通貨取引所は安全性で選ぶ時代！仮想通貨のセキュリティを総チェック！」で説明しています。

パスワード管理を厳重にする

個人でもセキュリティ対策対策を強化する方法は色々あります。簡単にできて効果が高いのは、パスワードの強度を可能な限り上げておくことです。

他のサービスとの共用は絶対に避けて、なるべく複雑で強度の高いパスワードを設定しましょう。

また最近では、取引所にアクセスする時に「二段階認証システム」の設定を求められるようになってきました。

この設定手続きをしておくことも、セキュリティ対策の強化には非常に高い効果があります。取引所を選ぶ段階で、二段階認証システムが義務化されている所を選ぶことをおすすめします。

ウォレットの管理を厳重にする

個人で仮想通貨を管理する場合にも、最近ではさまざまなタイプのウォレットが準備されています。主なタイプのウォレットは以下の通りです。

• 取引所のウォレット（オンライン・オフライン）
• 取引所以外のオンライン・ウォレット
• ローカル・ウォレット（完全型・簡易型）
• ユーザー版コールド・ウォレット（ペーパー・ウォレット・ハードウェア・ウォレット）

こうしたウォレットを上手に使い分けて、資産として保管する場合はオンライン環境から外しておくなど、自ら危険を回避する方法を確立しておくと良いでしょう。

コインチェック事件を教訓に仮想通貨の管理をしよう

マウントゴックス事件の衝撃から4年、再び起こり得ないと思われていた仮想通貨の大量盗難事件が再発してしまいました。

仮想通貨の種類や事件の経緯は違うものの、この2つの事件には重大な共通点があります。
それは取引所の管理体制の甘さという問題です。

どれほど仮想通貨を取り巻く環境が整備されて、セキュリティ・システムが進化しても、そこに人の手が関わると必ずミスの可能性が生まれます。

仮想通貨に投資する皆さんにとって、今回のコインチェック事件は他人事ではありません。自分の大切な資産を守るためにも、今回の事件を教訓として今後の投資に生かしてださい。