【完全解説】コインチェックの「財布」は、どこが抜け穴だったのか
2018/1/29
日本最大手の仮想通貨取引所のコインチェックから、たった一夜にして580億円相当の仮想通貨が盗まれたという、前代未聞のハッキング事件。
すでに同社は、盗まれた仮想通貨ネム(XEM)を保有していたユーザーに対して、自己資金から補償する方針を発表。具体的なロードマップは明らかではないが、市場のパニックはやや落ち着いている。
しかし日本人の仮想通貨への「投資熱」に、一気に冷水をぶっかけたこの大騒動は、どのよう背景から起きたのだろうか。
金融業界のプロフェッショナルらを経営メンバーに迎えて、仮想通貨取引所を運営しているQUOINE社の栢森加里矢CEOが、NewsPicksの緊急インタビューに応じた。
巨額の仮想通貨を取り扱っている取引所トップとして、今回の事件をどのように見ているのか。また個人はどのように自分の資産を守るべきか。その「本音」を語ってもらった。
栢森加里矢(かやもり・かりや)/東京大学法学部卒業、米ハーバード大学MBA取得。三菱商事、Globespan CapitalPartnersを経て、ソフトバンクグループにてアジア地域の企業買収・ベンチャー投資などを担当。2014年11月にQUOINEを共同創業、2016年4月より同社CEOを務める
「あり得ない」保管方法
──最も人気のある仮想通貨取引所のひとつから、580億円相当の仮想通貨が盗み出されました。
まずはセキュリティについての認識が極めて甘い。甘すぎる。それが第一印象です。
このような言い方が適切なのか分かりませんが、コインチェック創業者はインターネット業界の出身者であるが故に、安全をどこまで本気で考えていたのか疑問です。
日本円にして580億円分という巨額の仮想通貨「ネム(XEM)」は、インターネットに常時接続されており、セキュリティ的には高い警戒が必要となる①「ホットウォレット」に全額まとめて保管されていました。
この事実だけで、ハッキングされたり、盗難されるリスクを明らかに軽視しています。
私たちも仮想通貨の取引所「QUOINEX(コイネックス)」を運営していますが、こうした資産管理の仕方はまずあり得ません。
巨額資産のすべてを、たったひとつの「お財布」に入れていたのです。
──それは同業者から見ても、異常なことでしょうか。
仮想通貨の取引所によって、預かっている仮想通貨のどれ位をインターネットに繋がっている「ホットウォレット」に、どのくらいをオフラインの「コールドウォレット」に保管するか、その比率はまちまちです。
よく言われるのは、お客さんが当日に出し入れする程度の資産は「ホットウォレット」に入れておくこと。一般的には保管資産の10%ほどを「ホットウォレット」に入れておき、残りの90%は「コールドウォレット」に入れます。
これは仮想通貨取引所のオペレーション上の危機管理の問題です。まだ情報がすべて明らかになっていませんが、一つ一つ、なぜこんなリスクを放置していたのか驚きました。
私の推測にすぎませんが、おそらくネム以外の仮想通貨でも、全額まとめて「ホットウォレット」に保管していたケースがあるのではないかと考えます。
盗難事件が起きた「遠因」
──なぜハッカーらに狙われやすい「ホットウォレット」を使うのでしょう。
実は取引所を運営する立場からすると、仮想通貨を「コールドウォレット」に入れてしまうと、ユーザー向けのサービスの利便性が落ちるんです。
たとえばアプリ上から、自分の持っている仮想通貨を送金しようとしても、即時性がなくなってしまう。取引所の内部では、お客さんから送金したいというリクエストを大量に受けて、オペレーション業務が発生します。
だから時間がかかる。そうすると、お客さんによっては「遅い!」とクレームを入れてきます。
──投資熱にかられたユーザーは、確かにスピードを重視しそうです。
これは、話題になっている「マルチシグ(マルチシグニチャー:複数署名)」についても同じことがいえます。
安全性を上げるほど、取引所の手続きが増えるためにサービスには制約がかかってしまう。つまり両者は②トレードオフの関係になります。
その日に用意した「ホットウォレット」の中身が足りなくなったら、また新たに資産を追加して移しかえる手続きが必要です。セキュリティを上げるほど、加速度的に手間が増えるんです。
コインチェックは、おそらく「送金」などの手続きを自動化していたはずです。だから、ユーザーからすると素早くいろいろな機能が使えますし、取引所からすれば人手をかけずにオペレーションが進められます。
コインチェックの経営として、それが理にかなっていたように映ったのかもしれません。
「技術的に難しい」は事実
──深夜の記者会見で、コインチェック創業者らは技術的なハードルがあったとも言及しています。
はい。実は「コールドウォレット」の開発は、言うほど簡単ではありません。
それぞれ仮想通貨の種類ごとに、専用の開発作業が必要になります。それだけではなくて、定期的にアップグレードも必要です。つまり、定期的に人手をかけてオペレーションをしなくてはいけません。
記者会見で、コインチェックの経営者が③技術的に難しいと話したのは事実です。
──技術的なハードルだけなら、逆にクリアできそうですが。
コインチェックでは、価格が大きく上下するアルトコイン(ビットコイン以外の仮想通貨)が売り買いされています。
そのように仮想通過を保有しているユーザーからすれば、短時間で、こうした出金や資産移動を繰り返したいというニーズは高いのです。
そういう需要も後押しして、おそらく「ホットウォレット」で運用することになっていたのだと思いますね。言葉を返すと、それはセキュリティ面は度外視で、サービスを使いやすくしていたのでしょう。
──確かにコインチェックのアプリは、デザインも良くて使い易い印象です。
もちろん、国内外のほとんどの仮想通貨取引所は、多かれ少なかれ、この「ホットウォレット」と「コールドウォレット」を使い分けながら混合でオペレーションをしています。
同業者として言いにくいのですが、多かれ少なかれ、同じようなリスクは他の取引所にもあります。
おそらく100%近くを「コールドウォレット」で運用していると公言できるのは、私たちQUOINEだけではないでしょうか。ハードウェアのデバイスに、わざわざ仮想通貨を移動させて、そこで認証作業をやっています。
その替わりに、利便性には影響が出ます。
そんな私たちですら、最近は「ホットウォレット」を使いたいと思うくらいですから。ユーザーが増えて、取り引きの出来高が増えるほど、取引所の経営者はそうした判断を迫られることになります。
「盗難事件」は他でも発生
──仮想通貨を持つこと自体が、怖いと思われそうですね。
実は取引所としてやれることは、まだまだ沢山あるんです。
例えば本人確認のための「二段階認証」という仕組みがありますが、仮想通貨の取り引きをするために、このプロセスは必須にするべきです。
ところが、有名な取引所でもこのプロセスを必須条件にしていない企業があります。コインチェックもそうです。これは、あり得ません。
コインチェック以外の取引所でも、実は仮想通貨の「盗難事件」は起きています。
──そうした仮想通貨取引所で起きた「盗難事件」をめぐる訴訟も起きていると。
はい。金額にして580億円という規模ではありません。
しかし盗難事件は、ユーザーのIDやパスワードが漏れたり、先程の二段階認証を「未設定」にしていたり、さらにはホットウォレットでの運用時に起きることも多いのです。
つまり、取引所としてできることは沢山ありますが、現実はそうなっていると言い難い。
──コインチェックとは金額は違えど、盗難事件は起きているんですね。
また別の取引所でも、最近になって資産が盗まれた事案も浮上しています。つまり仮想通貨の盗難事件は、すでに日本の取引所でも起きているのが現実です。
しかも「盗難事件」では、かならずしも取引所が自主的に公開するとは言い切れません。中には盗まれたユーザーが気付いて、問い合わせて、初めて発覚することもあります。
それぞれ具体的なケースの内容は異なるものですが、ユーザーのリテラシーも重要になってきます。
安全を巡る「トレードオフ」
──安全な取引所の見分け方を教えてください。
これはもう大企業だから、ベンチャー企業だから、という規模の問題だけでは推し量れません。私たちは、経営陣の「DNA」がそれを左右すると思っています。
本当に安全さを追求したら、時にはサービスの利便性が落ちる。こういう判断は、経営陣たちのカルチャーが最後は大事になります。
既に申し上げたように、一般ユーザーによる二段階認証というのは、最低限のセキュリティ策です。これをしなくても取り引きができるようにしているのは、非常に疑問です。
またユーザーが持っている仮想通貨を「送金」する際には、あらかじめ決められた、特定の宛先にしか送れないようにする。これを送金先アドレスの「ホワイトリスト化」といいますが、そうした仕組みを導入することも可能です。
──なるほど。すでに実現しているのでしょうか。
私たちは、すでに導入しています。つまりユーザーが決めた特定の送金先を除いては、仮想通貨を簡単には送れないようになっている。必要時には、カスタマーサポートで電話で確認までしています。
しかし、常にトレードオフが発生します。
コインチェックのように、仮想通貨で「決済」がスマートにできるようにすると、いつでもどこでもビットコインを送金できるようにしたい。そうするとホワイトリスト化をしてしまうと、簡単に決済ができなくなります。
他にも、見るべきポイントはあります。取引所のサーバーは、ちゃんと安全なプライベートサーバーを使っているかも気にしていいでしょう。
仮想通貨を売り買いしているユーザーは、機会損失をすると怒ります。しかし一方で、そこにはセキュリティの問題があることを、よく理解するべきでしょう。
追跡できても「戻らない」
──今回の盗難事件では、ハッキング発生から検知まで半日かかっています。
こういうハッキングは、やはり深夜に発生しますよね。
外部からの攻撃だろうが、内部犯行だろうが、およそ深夜や早朝に起きます。コインチェックさんは④ネムの大量送金を見つけて、時間は経過していますが、きちんと公表している点はまだ誠実です。
国内外の取引所では、ハッキング事案をそのまま黙って、本人が気付くまで公表しないケースもあると耳にしています。
ある日、自分の取引用のサイトにログインしたら、コインがないと。もちろん100億円単位というのはないでしょうが、自分の大事な資産がなくなっている。そこで問い合わせして、やっと確認できることもあると。
──もし気づかなかったら、そのままになるリスクも。
それが取引所が感知できなかったのか、そうでないのかは定かではありません。ただし、トラブルの一因となることは間違いなさそうです
盗まれた仮想通貨というのは、ブロックチェーン上にその取り引きは記録されますから、追跡することはできます。すでにネム財団などが追跡をしているようですが、どの仮想通貨も追跡はできます。
問題は、取り戻せないということ。盗まれた仮想通貨を換金させないように努力しても、取引所は無数にありますし、たとえば時価の半分の値段で売り出せば、飛びつく人だっているでしょう。
そうしたら終わりです。
返済という「ミラクル」
──コインチェックは26万人の保有者に対して、自己資金で“補償”すると発表しました。過去にもそうした事例はあるのでしょうか。
過去にも、いろいろな仮想通貨の取引所でハッキング事件が起きました。
その後、どのようにユーザーを守るかという対応は、それぞれです。まだ業界としてのスタンダードというものはありません。
例えば、2016年に香港のビットフィネックス(BITFINEX)で起きた事件では、この取引所に仮想通貨を預けていた人たちすべてが、総額700億円以上の損害を「分担」しました。
これはソーシャルロスというやり方です。
現金でもビットコインでも、強制的に一律30%以上をカット。その代わりに取引所がこれから得ていく収益から、すこしづつ返済するスキームを整えました。最終的にこのやり方は成功しています。
すべて返済できたのです。ただし体力のない取引所では、ハッキングされた後で閉鎖して「ごめんなさい」というパターンもあります。
──コインチェックの場合はどうでしょうか。
ベンチャー企業が、盗まれた580億円相当を内部留保として持っているとは、あまり考えられることではありません。もしかしたら、大量の利益を上げていたのかもしれません。
いくつか返済していくやり方はあるかと思いますが、まだ不透明です。
また取引所によって、仕入れた仮想通貨を販売するビジネスから、単純に取り引きの仲介料をもらうところまで、収益モデルがいろいろと異なります。
その点は、これからコインチェックが株主と相談しながら、説明していくところになると思います。何よりも「補償」のアナウンスで終わりにするのではなく、何が原因だったのかを調べて、きちんと公開することが求められます。
「大増殖」する取引所
──今回の事件は、2018年の仮想通貨の動向にどこまで影響するでしょうか。
今回の大騒動を受けて、日本にある仮想通貨の取引所には、金融庁などによる立入り検査などが行われることになるでしょう。
そして、どこまでやれば安全かという議論も起きるはずです。
問題となった「ウォレット」を扱うべきか、ヒアリングもするでしょう。例えば「コールドウォレット」を必須にして、それが実装されるまでは、その種類の仮想通貨の取り引きはペンディングになるかもしれません。
まだコインチェックの盗難が発生してから、わずかしか日数が経っていません。
本当にどのような手口でハッキングされたのか。外部犯行なのか、内部も関わっているのか。そして、流出は完全に止まっているのか。まだ予断を許しません。
北朝鮮によるアタックかもしれませんし、内部関係者が海外VPNを使って関わっているかもしれません。そういうフェーズにおいては、まず取引所の資産の出し入れを止めるのは、安全のため合理的だと言えます。
──バブルと言われる仮想通貨投資も、縮小するでしょうか。
グローバルの視点で見ると、ビットコインなど仮想通貨への価格的な影響はそこまで出ていません。思ったより軽微です。
影響があるとすれば、それは日本国内でしょう。すでに金融庁には仮想通貨を売買できる事業者登録に⑤ 90社以上が「順番待ち」をしている状態です。でもそんな数の取引所、必要ないんですよ。
一方で、既存の取引所に対する当局のグリップは強くなるでしょう。
仮想通貨の売買の取引量はやはり落ちると思いますし、ICO(イニシャル・コイン・オファリング)によって資金調達をしようとしている企業にも、影響はあるでしょう。
多くの人が、やはり「怖い」と感じたのは間違いありません。私たちの取引所に対しても、株主たちも含めて大量の問い合わせが来ていますから。
最後は「企業カルチャー」
──栢森さんがQUOINEは安全だと言える根拠はなんでしょう。
最後は、企業のカルチャーだと思います。
例えばQUOINEは、マネジメントチームから開発者まで、銀行出身者で構成されています。銀行員としての遺伝子を持っているから、例えコストがかかっても、安全性にリソースを投じます。
インターネット業界のカルチャーは、少し違いますよね。
コインチェックについて言えば、まだ金融庁からの正式な事業者登録を受けていない「みなし事業者」であるのに⑥テレビCMを流していたのは違和感がありました。そういう手法を取っているのは、彼らだけではありません。
だから大手企業の名前が安全かというと、そうでもありません。FX(外国為替取り引き)であったり、オンライン証券とは、また少しことなるテクノロジーによって安全を担保しないといけない分野です。
そういう意味では、まだ仮想通貨の市場は黎明期なのでしょう。
──コインチェックの創業者らには、今後も社会と向き合う責任があります。
コインチェックの創業者たちは、非常に精力的な起業家です。
私たちは仮想通貨による決済サービスをやっていないので、そういう問い合わせがきたら、彼らをおすすめしていたことがある程です。
しかし、今回の一件については同情の余地はありません。
彼らが今後、どこまで補償をすることができるのか、返済をすることができるのかは分かりません。もし乗り越えた時に、もう一度チャンスを与えるのか、寄ってたかって潰そうとするのか、その点は注視しています。
仮想通貨が広まるということは、取引所がこのような問題解決を迫られ、多くの人のナレッジ(知識)を高めることが求められます。
ショッキングな話も「補償して終わり」でなく、むしろ、徹底した原因究明(第三者機関入れて)と、再発防止策とかを早めに発表して欲しい。それが全てです。
(取材:後藤直義、写真:加藤昌人、デザイン:砂田優花)
