26日に行われた記者会見でコインチェックは、約580億円相当の仮想通貨「NEM(ネム)」が流出したと発表しました。
過去最大級の仮想通貨の流出問題で大きな話題となりました。
マウント・ゴックス社の事件を思い出す
2014年2月24日のマウント・ゴックス社(Mt. Gox)のビットコインが不正アクセスにより盗まれた事件を思い出します。
その時の被害総額は約115億円相当とも言われ、これによって日本中が仮想通貨に対して不信感を持ちました。
その時の記者会見です。
https://www.youtube.com/watch?v=NeuCuM9CkBc
今回のコインチェックでの被害総額はアルトコインであるNEMが約580億円相当流出したということで過去最大級です。しかも、2017年は仮想通貨元年とも言われ、一般の主婦などでも仮想通貨を始める人が一斉に増えたこともあり、騒動の大きさはマウント・ゴックスのときよりも何倍も大きいものです。
コインチェックは自己資本で返済
この対応としてコインチェックは28日に「NEM(ネム)」を保有する約26万人全員に日本円で返金する事を発表しました。金額としては総額約460億円にもなります。
凄いのは、返済原資は自己資本を使うということです。
コインチェック、相当儲かっていたと思われます。本当に凄い。。。
ちなみに、被害総額は580億円で返済額は460億円だったら120億円くらい差があるじゃん!
と思った方、実は、この騒動からNEM含め殆どの仮想通貨は一斉に値下がりが起きたためです。
NEMがそもそも流出した理由は
ちなみに何故今回、NEMが流出したのか。
この理由として会見では2つの原因が挙げられました。
1、マルチシグを利用していなかった
通常のカギは端末やパスワードに依存しており、PCがウイルス感染などでハッキングされるとビットコイン・アルトコインを失う可能性がありますが、マルチシグの場合、複数に分かれて居ることで、1つの端末がハッキングされたとしてもパスワードが流出することは無く、盗難を防ぐ事が出来るという仕組みです。
2、ホットウォレットで管理していた
今回、コインチェックで盗まれたNEMはホットワレットで管理されていました。ホットウォレットとは、業務効率をあげるためサーバー上で秘密鍵を管理している状態です。その為、ハッキングされやすいリスクがあります。このホットウォレットは外部からの指示でいつでも手軽にビットコインを引き出せるのですが、デメリットは外部から侵入された際にすぐに盗まれてしまう事です。
このホットウォレットの反対にコールドウォレットがあります。
このコールドウォレットはネットワークから切り離された環境に秘密鍵を保存しておくということ。例えば。秘密鍵をUSBに入れ、それを社内やセキュリティがしっかりしている保管所にしまっておくということ。
こうすると、サーバ上で片方のカギが盗まれたとしても、もう片方は金庫の中ですから物理的に盗まなければカギは空きません。
マルチシグとコールドウォレットのこの2つは併用してこそセキュリティを高める事が出来るということで、コインチェック自身も当然分かっていました。
しかし行えてなかったのは、NEMのコールドウォレットに着手したが、開発が間に合わなかった為、とのことです。
確かにコインチェック公式でもコールドウォレットの導入を表記しています。
コールドウォレットによるビットコインの管理
当時、Mt.GOX(マウントゴックス)のコールドウォレットの管理は完全なオフライン状態で行われていなかったため、安全性が確保されていませんでした。
coincheckでは、お客様からの預り金の内、流動しない分に関しては安全に保管するために、秘密鍵をインターネットから完全に物理的に隔離された状態で保管しています。コールドウォレットの冗長化と暗号化
コールドウォレットは冗長化され複数の場所に分散されて保管されているため、万が一、災害等で一部失われたとしても問題ありません。
また、AES-256 の規格を持ってコールドウォレットは暗号化されており、第三者が盗むことはできません。
AESとは、Advanced Encryption Standard の略称で米国商務省標準技術局(NIST)によって制定された、米国政府の新世代標準暗号化方式です。AESの後に付与されている数字は暗号アルゴリズム強度指数を表しており、256が最大のものとなっています。
開発が間に合っていれば・・・
【画像解説】マルチシグとコールドウォレット併用
言葉で説明してもマルチシグとコールドウォレットは少しむずかしいのでイメージだけでも掴んでもらうため、簡単な図にしてみました。
マルチシグとはパスワードをバラバラにするだけです。セキュリティ的に意味を成すのは、このマルチシグでバラバラにしたパスワードをどのように管理しているかが要になります。
全てをサーバやPCなどデジタル機器内だけで完結させるのではなく、物理的なセキュリティを組み込みこむ事が大切ですね。
金融庁がコインチェックに「業務改善命令」
28日遂に、金融庁が動き出します。
「コインチェック」に対し、週内にも管理体制や安全対策の抜本的な強化を求める業務改善命令を出す方針で検討しているようです。
また、不正アクセス禁止法違反などの容疑で操作にも着手するとのことです。
コールドウォレットを導入している取引所
有名所の取引所はほぼ、コールドウォレットを導入していますが、それをしっかり明記している取引所にビットフライヤーがあります。
ビットフライヤーをまだ始めていない方はこちらから登録可能です。
これからの仮想通貨取引所の選択肢の1つにどのようなセキュリティ対策をこうじているか。これらが重要な選択肢の1つになりそうです。
また、それとともに、売買を行うユーザー自身がセキュリティに対する知識を身に着け、本当に安全な取引所はどこなのかを自分自身の目で選択することが必要となります。
また、取引所は、自社の仮想通貨の安全性をしっかりとユーザーに伝わる形でのPR施策は重要になってくるでしょう。
まとめ
最後にですが、コインチェックの社長って1991年11月1日生まれでまだ27歳だそうです。今回の騒動で初めてこの年齢を知ったのですが、本当にこの年齢で凄すぎます。
https://www.youtube.com/watch?v=ayPHnd6-eCA
今回のこの騒動でよく分からないまま叩くだけ叩く人も多いようですが、本当に恥ずかしくないのかって個人的には思ってしまう。。。
勿論、被害者が叩くのは分かります。
ただ、コインチェックから何も被害を受けていない人が、あまり仕組みのことも流れの事もよくわかっていないまま、単にメディアの影響だけをイメージで捉えて叩く人って、、、
「痛い」の一言です。。。
また、和田社長は27歳です。今回の騒動で絶対に強くなるでしょうし、また這い上がった時、凄そう。。。
メディアの声や叩く声を退けて、これからも頑張って欲しいですね。。。と言うか、年齢的に私の1つ下です。
本当に自分に劣等性を感じてしまうほど、彼は凄い人だと尊敬します。m(_ _)m