潜行するサイバー攻撃（第4回）コインチェック、消えた580億円の仮想通貨

　仮想通貨取引所大手のコインチェックから、不正アクセスによって580億円もの多額の仮想通貨が流出する事件が起こった。まずは簡単に事件を振り返ってみよう

　コインチェックは、ビットコインに代表される仮想通貨を売買する取引所の1つだ。コインチェックが提供する仮想通貨取引所サービス「Coincheck」では、ビットコインをはじめとして、今回流出事件が起きたNEM（ネム、通貨単位はXEM）など13種類の仮想通貨を取り扱っている。事件は2018年1月26日に、Coincheckで一部の機能が停止する事象として発覚した。同社が保有している仮想通貨NEMが不正に外部に送金されたのだ。

　金額は、NEMの通貨単位で5億2300万XEM。日本円に換算すると580億円という規模に上る。コインチェックでは、約26万人という同社のNEMの保有者に、総額約460億円を日本円で返金するという補償内容を発表した。事件を問題視した金融庁はコインチェックに対して、「発生原因の究明や顧客への対応、再発防止策などに関し不十分なことが認められた」として業務改善命令を出した。

　仮想通貨を支える技術的な仕組み「ブロックチェーン」の普及推進を図る団体であるブロックチェーン推進協会は、「今回の盗難については、当該ブロックチェーンを含めたブロックチェーン技術全体の技術的な欠陥や脆弱性に起因するものではなく、取引所固有の問題」というコメントを発表している。つまり、「仮想通貨は危険」「ブロックチェーンの欠陥・脆弱性」といった問題ではなく、コインチェックという会社の問題だと指摘した。

セキュリティを最優先にしたと主張

　今回の事件は、大きなくくりで見れば不正アクセスによる情報流出の一種といえる。事件の詳細は調査中で、原因や改善策について公式な発表がなされていない。だが、情報セキュリティを考える上での教訓が読み取れる。

　中でも大きな教訓は、情報セキュリティの確保は最も優先順位の高い経営課題と認識すべき点だろう。実は、コインチェックの経営者は1月26日の記者会見において、「セキュリティ関係に関して何よりも最優先で行っていた」という発言をしている。さらに「我々のセキュリティが低かったから狙われたという認識はない」とも語っている。

　しかし同じ記者会見で、「NEMをホットウォレットで保管していた」「マルチシグを導入していなかった」という問題点があったのも明らかになった。ホットウォレットとは、仮想通貨をオンラインで保管する方法のこと。コインチェックは、NEMについては安全性の高いオフラインのコールドウォレットを採用していなかった。また、銀行口座の暗証番号に該当する「鍵」を分散管理するマルチシグへの対応も遅れていた。

これらができていなかった要因…