■深夜の渋谷に響いた「2億円返せ!」の怒号
「2億円返せっ!!」
怒号が飛び交ったのは、1月26日(金)の深夜。東京・渋谷にある大手仮想通貨取引所・コインチェック(Coincheck)の本社前だ。コインチェックから580億円相当の仮想通貨が消失する事件が発生。その一報が伝わると、コインチェック本社前には個人投資家やメディア、それに物見高い野次馬が集まり始めていた。
時系列で振り返ってみよう。
コインチェックのものと思われるウォレットから、5億2300万XEMが不正送金を企図した人物のものと思われるウォレットへ送金されたのは1月26日(金)の午前0時2分。さらに約3時間後には、ほぼ同額が8つのウォレットへ分散される動きが見られた。
このときに動いた金額は、コインチェックの記者会見で明言されていたものと同じであることから、不正送金は1月26日(金)0時2分から始まったと考えてよさそうだ(※)。
その送金額は合計5億2300万XEM。当時のレートで換算して約580億円にものぼる。
(※編集部注:コインチェックの記者会見では午前3時ごろから不正な流出が始まったとされていたが、送金履歴を見ると午前0時すぎから不正な流出は始まっていたように思われる)
その本来の所有者はコインチェックを利用していた個人投資家だ。XEMを保有していたはずの個人投資家のあずかり知らぬところで、不正に送金されてしまったことになる。
なお、NEMはスマートコントラクト(※)などが個人でも容易に可能となったプラットフォームのことであり、そこで基軸通貨として利用されるのがXEMだ。
(※編集部注:「スマートコントラクト」を簡潔明瞭に定義するのは難しいが、これはブロックチェーン上などで履行される自動的な契約のようなもののこと)
■問題に気がついたのは11時間後
コインチェックがこの問題に気がついたのは、不正送金と思われることが起こった11時間後の1月26日(金)午前11時すぎだったという。その約30分後にXEMの入金停止の処置がとられた。SNSがざわつき始めたのは、これがきっかけだった。
上述の送金履歴に気がついた一部のユーザーがコインチェックから多額の不正送金があったのでは…と指摘。一方で、コインチェックでも取引停止や出金停止などの措置が断続的に行われていき、ユーザーたちは問題発生への確信を強めていく。
ビットコイン/円もこの件に対する不安からか、120万円台から110万円割れまで急落していた。
(出所:GMOコイン)
ちなみに筆者がこの一件に気がついたのは、あるメルマガだった。元シティバンクのチーフディーラー西原宏一さんが配信する「西原宏一×ザイFX! FXトレード戦略指令!」だ。
高名な経済学者であり、近年は仮想通貨についても研究している野口悠紀雄さんによるビットコイン先物についての講演を聞きに行った筆者が開始直前、何気なくチェックした西原メルマガの冒頭に「Cincheck中心にNEMがゴックスされ(※)、620億円を不正にひきだされたとの噂がでまわっています。NEMの売買にはご注意を」との文章があったのだ。
(※編集部注:「ゴックスする(GOXする)」とはマウントゴックス事件で起きたような仮想通貨の大規模不正流出のことを指す、仮想通貨の世界における俗語)
■XEMは約30%下落した
その間のXEMの値動きを見ると、26日(金)午前の段階では120円前後で安定して推移していたが午後にかけて急落、30%安となる80円割れまで急落した。
(出所:Zaif)
■歯切れの悪い記者会見で発表されたのは?
問題発生について、コインチェックからの公式なアナウンスがないまま夜となり、情報を求める個人投資家や報道関係者たちがコインチェック本社前に集まり始めた。筆者が現地に到着したのは21時半ごろだ。その時点で数十人が集まっており、徐々に人数は増加。コインチェックが入っている建物前の歩道の通行が困難になるほどだった。
“仮想通貨消失事件”が起こった東京・渋谷、コインチェックの本社前
では、歩道の通行が困難になるほどの人だかりが… 撮影:高城泰
記者会見が行なわれたのは23時半。場所は渋谷のコインチェック本社ではなく、兜町の東京証券取引所だった。
記者会見は代表取締役社長の和田晃一良氏、取締役の大塚雄介氏、それに弁護士の堀天子氏の3名が出席した。「検討中」、「株主と相談して」との言葉が目立つ歯切れの悪い会見となったものの、そこで明かされた事実をまとめると以下のようなことになる。
・5億2300万XEM(約580億円相当)がコインチェックのアドレスから送信された
・送信されたXEMはすべて利用者の資産
・補償については検討中であり、補償するだけの財務的な余裕があるかどうかは確認中
・NEM以外の通貨については何か起こっていることは確認していない(※)
・盗まれたXEMは「ホットウォレット」で保管されていた
・「マルチシグ」は行なっていなかった
(※記者会見前にはリップル(XRP)も不正に引き出されたのでは…とする記事もあった)
歯切れの悪い記者会見を行ったコインチェック。和田晃一良社長(左)はあまりしゃべらず、今にも泣き出しそうな表情をしていたのが印象的だった。大塚雄介取締役(右)が説明するシーンが多かった (C)Kyodo News/Getty Images
■マウントゴックス事件でも問題となった「ホットウォレット」
記者会見の内容からコインチェックが意図しない送金を行われてしまったことが明確になった。そして、そうなった大きな要因として、「ホットウォレット」での保管と、「マルチシグ」をかけていなかったことの2つが挙げられる。
取引所のように多くの仮想通貨を管理する企業はハッカーの標的となりやすい。そのため、取引所が顧客から預かっている仮想通貨をインターネット環境につながった「ホットウォレット」に置いておくと格好のターゲットになってしまう。マウントゴックス事件でも、ビットコインがホットウォレットに置かれていたことが、問題の大きな原因だった。
そのため、取引所など多くの仮想通貨を預かる企業は、仮想通貨の大部分をインターネット環境から切り離された「コールドウォレット」で保管することが望ましい。しかし、コインチェックが管理するXEMはホットウォレットの状態に置かれていた。
■コールドウォレットだったのはビットコインとイーサリウムだけ
それが危険な状態であることは、コインチェックも認識していた。XEM以上の残高があると思われるビットコイン(BTC)やイーサリアム(ETH)はコールドウォレットで保管していることが記者会見で明言されていたからだ。
「ビットコインとイーサリアムに関してはコールドウォレットを利用しておりました。また“マルチシグ”に関しては、イーサリアムにはそもそもマルチシグという機能がないため利用しておりませんでした。ビットコインに関してはマルチシグを利用して、コールドウォレットを作成しておりました」(和田社長)
コインチェック公式サイトで「サービスの安全性」というページを見ると、本文に「coincheckでは、お客様からの預り金の内、流動しない分に関しては安全に保管するために、秘密鍵をインターネットから完全に物理的に隔離された状態で保管しています」と明記されている。
ただ、よくよく見ると、その箇所の小見出しには「コールドウォレットによるビットコインの管理」と書いてある。「コールドウォレットによる仮想通貨の管理」とは書かれていないのだ。
これが落とし穴になろうとは…。結局、コインチェックはXEMについてはホットウォレットに保管していたのだった。これがコインチェックの第一の瑕疵である。
【参考記事】
●30億円分ビットコインを持ってた!? Krakenのジェシー・パウエルCEOに緊急インタビュー
■セキュリティを高める「マルチシグ」は利用せず
2番目の瑕疵は、前述した和田社長の発言にある「マルチシグ」を利用していなかったことだ。
マルチシグとは、送金するにあたって複数の(マルチ)署名(シグネイチャ)を必要とする機能だ。通常だと、自分のプライベートキー(秘密鍵)さえあれば送金が可能だが、マルチシグをかけておくと、複数のプライベートキーがそろわないと送金できない。
もしもハッカーに自分の秘密鍵が漏れてしまっても、もうひとつ(あるいは、それ以上)の秘密鍵がそろわないと送金できないため、セキュリティは格段に向上する。
NEMにもマルチシグの技術は実装されていたが、コインチェックではこれを利用していなかった。記者会見では、「重要性は認識していたが後手になった」としているが、後手にすべきでないことだったのは明らかだろう。
インターネット環境に580億円相当のXEMが入っていたウォレットを置いていたこと、しかもマルチシグをかけていなかったこと、2つの瑕疵が重なって、今回の問題に至ったようだ。
以上がコインチェック側から見た1月27日(土)正午までの動きだ。コインチェックでは1月27日(土)時点で依然としてビットコイン以外の仮想通貨の取引や、入出金が停止されたままとなっている。
■NEM(XEM)とはどんな通貨なのか?
今回、狙われた仮想通貨NEMの大きな特徴はコミュニティの活発さにあり、その特徴が今回も発揮されている。
NEMを管理するのはシンガポールで設立された「NEM.io財団」(ネム財団)であり、そのトップはロン・ウォンという人物だが、NEMの開発には日本企業も大きく関わっている。
それが仮想通貨取引所・Zaifを運営するテックビューロだ。その代表取締役である朝山貴生氏は、NEMを管理するNEM.io財団の理事を務めている。また、テックビューロではNEMの技術を利用した商用ブロックチェーン「mijin」も発売するなど、NEMは日本との関係も密接だ。
NEMユーザーは「ミートアップ」(オフ会)も活発に開催し、NEMグッズの即売会やXEM支払いが可能なNEMバーがオープンするなど、そのコミュニティの活発さは以前から際立っていた。
■NEMコミュニティ有志が投げつけた「カラーボール」
今回もNEMコミュニティの動きは迅速だった。コインチェックの記者会見が行われ、不正送金があったと表明されるよりも6時間前にすでに動き始めている。
XEMが不正送金されたウォレット、つまり、泥棒のものと思われるウォレットに「mosaic」(モザイク)を送信したのだ。mosaicとは、任意の名前をつけたトークンを発行できるNEMならではの技術。有志のひとりが泥棒のものと思われるウォレットに送りつけたモザイクの名前は以下のとおりだ。
coincheck_stolen_funds_do_not_accept_trades:owner_of_this_account_is_hacker
(コインチェックから盗まれた資金だから取引を受け付けないで:このアカウントはハッカーです)
この行為、泥棒が持っている財布にカラーボールを投げつけて目印をつけるようなイメージであり、「色のついた財布には気をつけて!」と注意を喚起して、犯人によるXEMの現金化を困難にする試みだ。
■NEMコミュニティが犯人に仕掛けたトラップ
もう少し詳しく説明しておこう。
不正に入手したXEMを犯人が現金化するには取引所で他の仮想通貨や法定通貨に交換する必要がある。少額であれば、SNSなどで「市場価格より20%割引で売るよー」と相対取引の相手を見つけたり、NEMの使える店舗などで使ったりして消費できようが、今回は金額がケタ違いに大きい。
犯人が不正に入手したXEMは総発行量の6%だ。これだけのXEMを換金しようと思ったら取引所を利用せざるを得ないだろう。しかし、犯人がXEMを取引所へ入金しようとしても、先ほどのモザイクが付されていれば「これは犯人のウォレットだ」と容易に見分けることができる。
犯人はモザイクへの対応を苦慮しているのか、1月27日(土)夕方時点で犯人のウォレットに動きはない。また、犯人追跡への取り組みは有志のボランティアからNEM.io財団へと引き継がれている。
なお、NEM.io財団は今回の件について、ハードフォークによる救済は行わないとのコメントを出している。
■これまでの仮想通貨大規模不正流出事件は?
これまで仮想通貨の世界では、どのような大規模不正流出事件があったのだろうか?
日本人の記憶に刻まれているのはマウントゴックス事件だろうが、それ以外にも仮想通貨の大規模不正流出事件は幾度となく起きている。
【参考記事】
●ビットコインの衝撃(2) マウントゴックスの真の罪とは? 高値1242ドルは自作自演?
●【超初級】 ビットコイン・仮想通貨入門(6) マウントゴックス事件はどんな事件だった?
2017年12月にはクラウドマイニング(設備を持たずにマイニングを行なうインターネット上のサービス)大手のNiceHashで約70億円相当のビットコインが盗まれたばかりだし、韓国では取引所・Youbitからビットコインが盗まれ、閉鎖に追い込まれている。狙われたビットコインはホットウォレットに置かれていた。ちなみに犯人と目されているのは北朝鮮だ。
■香港の大手取引所を襲った大規模不正流出事件
また、2016年8月には香港の大手取引所・Bitfinexで12万BTCが不正流出する事件も起きた。こうした不正流出事件が明るみに出ると市場は動揺し、ビットコイン価格は下落しやすい。ただ、Bitfinexの事例が示すように、「不正流出事件による急落は買い場」となることも多い。
(出所:GMOコイン)
■イーサリアムを襲った「TheDAO」事件
今回のようにアルトコインで大規模なトラブルが起きた事例でいえば、2016年6月の「TheDAO事件」がある。イーサリアム上で発行されたトークン「TheDAO」の脆弱性が狙われ、約52億円相当のイーサリアムが不正に取得された事件だ。
TheDAO事件の場合、Bitfinexでの不正流出と違い、相場が急落後にすぐ戻すことはなく、安値圏での横ばいが続いた。イーサリアムのコミュニティで対応をめぐって意見がわかれ、イーサリアムの未来に不透明感が漂ったためだろう。
(出所:GMOコイン)
■一転、全額返金を発表のサプライズ! しかも自己資金で!
ここでコインチェックに話を戻すと、業界大手の取引所で、あまりにも大規模な不正流出が起きてしまったことで、仮想通貨界隈には暗~いムードが漂っていた。記者会見で見せた、コインチェック和田社長の今にも泣き出しそうな暗い表情も印象的だった。
ところが!
1月28日(日)午前0時46分になって、コインチェックは「不正に送金された仮想通貨NEMの保有者に対する補償方針について」というリリースを出した。これは基本的にはユーザーの失われた資産を全額返金するという、前日までの展開と雰囲気を考えれば、驚くべき内容だった。
そのリリース内容の要点をそのまま引用すると、以下のとおりだ。
総額 : 5億2300万XEM
保有者数 : 約26万人
補償方法 : NEMの保有者全員に、日本円でコインチェックウォレットに返金いたします。
算出方法 : NEMの取扱高が国内外含め最も多いテックビューロ株式会社の運営する仮想通貨取引所ZaifのXEM/JPY (NEM/JPY)を参考にし、出来高の加重平均を使って価格を算出いたします。算出期間は、CoincheckにおけるNEMの売買停止時から本リリース時までの加重平均の価格で、JPYにて返金いたします。
算出期間 : 売買停止時(2018/01/26 12:09 日本時間)~本リリース配信時(2018/01/27 23:00 日本時間)
補償金額 : 88.549円×保有数
補償時期等 : 補償時期や手続きの方法に関しましては、現在検討中です。なお、返金原資については自己資金より実施させていただきます。
このリリース内容には以下のような注意点、問題点もある。
・NEMではなく、日本円で戻ってくるということ
・本件により相場が下がってしまった分も加味された価格になるということ
・強制的に日本円になってしまったことによって利益確定したくない人でも確定されてしまうことになり、税金がかかってしまう可能性があること
・いつ返金されるのか、明記されていないこと
ただ、最悪のケースでは、XEM保有者以外も含め、コインチェックの口座にあった資金は全額戻ってこないかも…と想定する向きもあったことを考えれば、上出来のポジティブサプライズの内容ではないだろうか。
リリース内容から計算すると、返金されるのは日本円で約463億円(88.549円×5億2300万XEM)。そして、返済原資は「自己資金」を充てると書かれていることから、多くの人の想像以上にコインチェックが莫大な利益を上げていたのではないかという話も持ち上がってきている。
歯切れが悪く、財務情報の開示をあれだけこばんだ記者会見は何だったのだろう? 和田社長の泣きそうな顔は何だったのだろう?と感じさせるドラマチックな展開だ。
■「仮想通貨交換業者」ではなかったコインチェック
コインチェックはそもそも金融庁から「仮想通貨交換業者」としての登録をまだ受けていなかった。
コインチェックは無登録での営業を「良し」としていたわけではない。法律で定められた期限である2017年9月末までに登録申請を行なったものの、登録がおりない状態が続き、「みなし仮想通貨交換業者」としての営業が続いていた。
【参考記事】
●仮想通貨交換業者11社が金融庁登録!(3) 徹底比較! 資本金の多い会社はどこ?
当サイト「ザイFX!」では、広告掲載や仮想通貨取引所比較コンテンツへの掲載に関しては金融庁登録があることを最低条件と内部ルールで決めており(※)、コインチェックについては仮想通貨交換業者としての登録がおりていなかったため、バナー広告などは掲載していなかった。
コインチェック以外の金融庁登録がある仮想通貨交換業者については、以下の比較コンテンツをご参考に(ただし、金融庁登録があるからといって、不正流出が絶対起きないとまでは言い切れないが…)。
【参考コンテンツ】
●「ビットコイン・仮想通貨のFX」ができる取引所を比較。上昇も下落も収益チャンスに
●ビットコイン・仮想通貨の取引所/販売所を比較。取引コストが安いのはどこ?
(※編集部注:ザイFX!に現在、掲載しているビットコインのチャートはkrakenからレート提供を受けて生成している。これは仮想通貨交換業者の金融庁登録に関する法律が定められるだいぶ前からのことだ。そして、krakenもコインチェック同様、残念ながらまだ金融庁登録を果たしていないことは付記しておきたい)
■コインチェックはなぜ、金融庁登録ができていないのか?
コインチェックの登録がおりない理由について、これまでコインチェック側は取扱い仮想通貨の種類が多いため時間がかかっていると説明してきた。
また、ネット上などでは、コインチェックが匿名性の高い仮想通貨を取り扱っているから金融庁登録ができないのだろうとの憶測が流れていたが、それに加えて、コインチェックがセキュリティ面に不安を抱えていることを金融庁は見抜いていたのだろうか?
それについてはわからないが、今回の事件によって、コインチェックの金融庁登録への道のりが一層厳しくなった可能性はありそうだ。仮にユーザーへの全額返金が完了して、一件落着となったとしても、大規模な仮想通貨の不正流出があった事実に変わりはないからだ。
今回のコインチェック事件は金額的にも「過去最大の仮想通貨不正流出事件」だった。また、コインチェックはお笑いタレントの出川哲朗を起用したCMを大々的に流し始めて間もない状況にあり、「出川組」とも揶揄される新規参入者が相次いだ直後でもあった。
そんなさなかでの事件でもあり、今後、仮想通貨交換業者に対しては、とくにセキュリティ面や資金保全などの面で、法令や自主規制による縛りが厳しくなる可能性がありそうだ。
(取材・文/ミドルマン・高城泰&ザイFX!編集長・井口稔 編集担当/井口稔)
株主:株式会社ダイヤモンド社(100%)
加入協会:一般社団法人日本暗号資産ビジネス協会(JCBA)