ブロックチェーンではない、コインチェック騒動の「本質」とは

公開日:
仮想通貨取引所はサイバー攻撃の標的になる可能性が高いことはその取引金額の上昇を見れば明らかであった。コインチェック騒動勃発から約1週間経過し、状況が明らかになるにつれてブロックチェーンや仮想通貨そのもののリスクを問う声もあるが、果たしてそうだろうか。
ブロックチェーンではない、コインチェック騒動の「本質」とは

コインチェック騒動の本質的な問題とは

コインチェック問題は、発覚当初はハッカーによるサイバー攻撃で仮想通貨(同社が扱う仮想通貨のうちNEM)が流出したことを報じるメディアが多かった。状況が明らかになるにつれ、注目はブロックチェーンや仮想通貨の技術、ICOのビジネスモデル、取引所の問題に移り、現在は、仮想通貨そのもののリスクと仮想通貨市場の在り方がグローバルで問われている状態だ。

まともに見える組織や人物でも、信じられないような失敗や事件・事故を起こすことがある。原因があり得ない単純ミスだったりすると「〇〇ほどの大企業がそんなはずはない。なにか隠しているのでは?」と、スキャンダルが新たな疑惑を生むことがある。

しかし、一見、複雑な事情や計略がありそうでも、本当の原因は単純で見たままのとおりであることのほうが多い。これは、コインチェック問題にも当てはまるのではないだろうか。

一連の報道で明らかになったのは、まずはコインチェックのNEM仮想通貨の管理のずさんさだ。同社が保有するとされるNEMのほとんどが常時オンラインになったホットウォレットで管理されており、マルチシグネチャ(送金に必要な秘密鍵を複数個にする管理方法。指定された必要数の秘密鍵が揃わないと送金ができない)にも対応していなかった。

コインチェックをはじめとする世界中の仮想通貨の取引所は、犯罪者にとっては格好の攻撃対象である。取引所のウォレットやサーバーは常にサイバー攻撃を受けていると思ってよい。

にもかかわらずホットウォレットに仮想通貨を保管していた理由がよくわからない。コールドウォレットで管理するよりコストがかからないというだけで、大量の仮想通貨をホットウォレットで管理していたとしたら、認識が甘いといわれても反論できない。

また、2日に行われた金融庁の立ち入り検査では、担当者の話として「だれがどんなセキュリティ対策を行っていたか、聞いてもわからないので立ち入り検査に踏み切った」という報道も伝わってきた。業務改善命令と報告書の提出を決めていたにもかかわらず、報告書をまたずしての検査は異例ともいえる。金融庁としては、被害者救済やコインチェックの資産状況の確認、確保が急務と判断したものと予想される。

金融庁の担当者が状況が把握できないのだ。コインチェックに隠ぺいの意図がないとしたら、本当にコインチェック側は状況を正しく把握していない可能性が高い。

前後して、警視庁サイバー課が、コインチェックからの被害届を受け、同社への聞き取り、犯人捜査を始めるというが、この状態では、おそらくコインチェック側に、サイバー課にまともに対応できる人材はいない可能性もあり、捜査が長引く可能性もある。

アカウント保護に気を取られ本体保護が手薄に

そもそも、今回の不正送金は、コインチェックのアドレス(仮想通貨の口座に相当するID)から、犯人と思われるアドレスに繰り返し送金が行われていた。マルチシグネチャに対応していなかったということは、送金処理に必要な秘密鍵はひとつだったことになる。おそらく犯人は、コインチェックが管理していた秘密鍵を入手して処理を行っている。

ビットコインやイーサリアム、被害にあったNEMなど、仮想通貨が採用するブロックチェーンの取引は非常に堅牢で、不正な取引を成立させることは限りなく不可能に近いことを考えると、可能性としては、標的型攻撃、ソーシャルエンジニアリング、あるいは内部犯行によって秘密鍵の情報が犯人に漏えいしている。

一義的には、不正アクセスおよび送金(窃盗)を行った犯人が悪いのであって、コインチェックは被害者だが、NEMウォレットの管理、運営方法や、秘密鍵を外部に漏らしてしまったという点で、管理責任の追及は免れない。すくなくとも、過去の事例や常識に照らして瑕疵がないといえるレベルの証明は求められるだろう。

コインチェックの説明やホームページによれば、ユーザーのアカウント管理(IDや仮想通貨のアドレス情報)は二要素認証を導入するなど一定の対策はみられるが、ウォレットが実装されたシステムや内部の管理体制が手薄になっていた可能性が高い。

ユーザーのアドレスやID情報が守られていても、いわば管理者のパスワード(秘密鍵)が盗まれた状態だ。いまどきの金融機関や関連企業なら、侵入を前提としたシステムの保護は必須である。秘密鍵の二重三重の保護、内部のセグメント化、ログやトラフィックの監視ソリューションなど対策はいくらでもある。

コインチェックの記者会見で役員は「認識はあったが対策が追いついていなかった」と述べている。どこまで対策していたかにもよるが、優先順位や意思決定のミスとしかいいようがない。