■流出したのはビットコインなど5銘柄、35億円分
仮想通貨取引所大手・ビットポイントジャパン(以下、ビットポイント)は、2019年7月12日(金)、35億円分(2019年7月11日 16時時点の換算レート)の仮想通貨が流出したと発表した。
発表によれば、流出したのは「ホットウォレット」(インターネットに接続されたウォレット)で管理していたビットコイン、イーサリアム、リップル、ビットコインキャッシュ、ライトコインの5銘柄。ビットポイントが扱っていたすべての仮想通貨だ。
流出した35億円相当の仮想通貨のうち、顧客からの預かり分が25億円、残り10億円はビットポイントが自社で保有していた分になるという。
親会社であるリミックスポイントの決算説明資料を見ると、ビットポイントの預かり仮想通貨は2018年3月末時点で81.8億円だった。
(出所:リミックスポイント 2019年3月期 決算説明資料)
原因についてリミックスポイントが発表した「当社子会社における仮想通貨の不正流出に関するお知らせとお詫び(第一報)」(以下、第一報)では言及されていないものの、日本経済新聞は「不正アクセスとみられるハッキング」と報じている。
2018年に起きたコインチェックやZaifでの不正流出事件と同様、不正アクセスによる流出との見方が、今のところ濃厚のようだ。
【参考記事】
●ザイFX!で2018年を振り返ろう!(3)仮想通貨流出事件&暴落。暗黒時代到来かよ!?
■親会社リミックスポイントは東証2部上場企業
ビットポイントは、2017年9月に仮想通貨交換業登録を完了していた。ビットフライヤーやZaif、ビットバンクなどとともに、もっとも早く登録された、いわば老舗の仮想通貨取引所だ。
【参考記事】
●仮想通貨交換業者11社が金融庁登録!(1) “記者会見合戦”が行われた歴史的瞬間
メタトレーダー4(MT4)を取引ツールとして採用する国内唯一の取引所でもあり、FXトレーダーにもなじみ深い業者でもある。
さらに、親会社であるリミックスポイントが東証2部へ上場しているため、一定の安心感もあった。
※リミックスポイントのウェブサイトを参考に筆者が作成
なお、今回の不正流出事件を受けて、リミックスポイントの株価は後場から急落し、ストップ安となっている。
(出所:TradingView)
■深夜3時の緊急会議、その1時間後には不正送金を完了か
発表された第一報と、ブロックチェーンに残された送金の記録をもとに今回の事件を時系列で追いかけてみよう。
ビットポイントのホットウォレットとされるアドレスから885BTCが送金されたのは7月11日(木)21時30分前後だった。第一報によれば、それから約40分後にビットポイントがリップルの送金エラーを検知している。リップルの不正流出を確認したのが22時39分頃。
ビットポイントが緊急会議を開催している間にも、ビットコインは着々と送金され、早朝4時頃には2200BTC近くがひとつのアドレスへと集約された。
ビットポイントでは7月12日(金)朝6時30分からすべての仮想通貨の送受金を停止したが、この段階ではまだ取引が可能だった。全サービスを停止したのは10時30分。特に理由はアナウンスされていない。
ツイッターなどSNSが「何かおかしい……?」と、ザワつき始めたのは12時過ぎころからだ。
巨額の送金などが話題となって、「ビットポイントで不正流出が起きたのでは?」との声が増え始め、日本経済新聞が「仮想通貨資金 数十億円流出か ビットポイント」と報じたことで確信に変わり、13時30分にリミックスポイントが第一報を適時開示した。
※第一報などを参考に筆者が作成
■日本で相次ぐ仮想通貨の大規模流出事件
何が今回の不正流出を招いたのか。ビットポイントには気になる点もあった。
仮想通貨取引所へのハッキングによる盗難は珍しいことではないが、金額の大きな事例は多くが日本の取引所だ。今回の一報を聞いた欧米勢からは「また日本か」との声も聞かれる。
※筆者作成
※被害額は発生当時の報道ベース
■狙われる日本の仮想通貨取引所
こうした状況にあって、日本の取引所、特にビットポイントが狙われていた可能性もある。ある取引所関係者によれば、2カ月ほど前からビットポイントが攻撃されていた形跡があるという。
また、同社では楽天証券で役員を務めた人物をCTOとして招き、「入り口から出口まで」万全の盗難対策を実施しているとしていた。しかし、このCTOは2019年6月末で退任していたようで、会社概要にある役員の一覧から名前が消えている。これが混乱を招いた可能性もあろう。
人員面でも2018年3月には18名だった社員数が1年後には112名へと急増しており、セキュリティ意識が浸透していなかったのかもしれない。
(出所:リミックスポイント 2019年3月期 決算説明資料)
■2020年4月には顧客資産の保護体制が強化される
2020年4月には、仮想通貨の取引所などに対する規制強化策を盛り込んだ改正資金決済法と改正金融商品取引法が施行される予定だ。
利用者から預かった仮想通貨は、原則的にコールドウォレット(インターネットから切り離したウォレット)で保管することとし、ホットウォレットで管理する場合には「同種・同量」の仮想通貨の保管を義務付ける内容だ。
顧客保護体制が強化された法律の施行を前にして起こってしまった今回の事件だが、ビットポイントはどう対応するのだろうか。
第一報では、「お客様からの預かり資産に被害が生じないように、BPJにおいて補償するなど、責任をもって対応する方針」(BPJは、ビットポイントジャパンのこと)としている。
コインチェックやZaifでの不正流出事件と同様、利用者には被害が生じない方向で動いてくれることを期待したい。
(編集担当/向井友代【ザイFX!副編集長】)
株主:株式会社ダイヤモンド社(100%)
加入協会:一般社団法人日本暗号資産ビジネス協会(JCBA)