コインチェックのNEM不正流出について、ざっとまとめてみる
この週末から世間を騒がせている例の事件ですが、私も多少巻き込まれましたので、個人的にまとめておきます。
事件概要
2018/1/26、仮想通貨取引所大手のコインチェック(以下CC社)は、利用者から預かっている仮想通貨NEM(ネム)(580億円相当)が外部からの不正アクセスによって流出したと発表しました。
私の立場
この事件では、私はCCユーザーですが、非NEM保有者です。
(正しい呼び方は知りませんが、ここではそう呼びます)
この記事は、仮想通貨も投資もシロウトの私から見た、2018/1/29夜時点の事件の推移と関連情報をまとめたものになります。それ以上でもそれ以下でもありません。 事態が収束していないこともあり、正確性・厳密性を求める方は、ご自身でお調べください。コメントは歓迎。
あと、今回の記事に貼ってあるリンクに日経新聞が多いのは、単に記事執筆のための情報探しをラクしたいからで、特別な意図はありません。
CC社からの公式連絡(メール)
異常検知後のCC社の対応は報道を見てもらうとして、CC社からユーザー(私含む)への公式連絡(メール)は、現時点で以下が全てです。
【重要】NEMの入金について
https://coincheck.com/blog/4671
現在、NEMの入金について制限をさせていただいております。入金を行いました場合、残高に反映がされませんため、入金を行わないようお願い申し上げます。
2018/1/26, Fri 16:29
これだけを見ても何があったかわからないし、私NEM持ってないし、まぁいいか、と放置してしまいました。
【Coincheck payment】一部機能の停止について
https://coincheck.com/blog/4675
停止日時:2018年1月27日 17:00頃〜
停止機能:日本円出金、及び新規支払いの受付再開の見込みについては未定となっております。また、ログイン及び管理画面へのアクセスは可能です。
2018/1/27, Sat 16:00
1時間前に連絡とは。。。
ここが(私にとって)最後の回避チャンスでした。しかし、私はクルマ運転中だったので、リアルタイムでは気づかず。ぐぬぬ。
不正に送金された仮想通貨NEMの保有者に対する補償方針について
コインチェック株式会社(代表取締役社長:和田晃一良、以下:当社)が運営する仮想通貨取引所サービス「Coincheck」において発生した仮想通貨NEMの不正送金に伴い、対象となる約26万人のNEMの保有者に対し、以下の通り、補償方針を決定いたしましたので、お知らせいたします。
1月26日に不正送金されたNEMの補償について
http://corporate.coincheck.com/2018/01/28/30.html
補償方法 : NEMの保有者全員に、日本円でコインチェックウォレットに返金いたします。
算出方法 : NEMの取扱高が国内外含め最も多いテックビューロ株式会社の運営する仮想通貨取引所ZaifのXEM/JPY (NEM/JPY)を参考にし、出来高の加重平均を使って価格を算出いたします。算出期間は、CoincheckにおけるNEMの売買停止時から本リリース時までの加重平均の価格で、JPYにて返金いたします。
算出期間 : 売買停止時(2018/01/26 12:09 日本時間)〜本リリース配信時(2018/01/27 23:00 日本時間)補償金額 : 88.549円×保有数
補償時期等 : 補償時期や手続きの方法に関しましては、現在検討中です。なお、返金原資については自己資金より実施させていただきます。2018/1/28, Sun 01:47
後述。
【アフィリエイトプログラム】一時停止について
2018年1月28日15:00ごろより、Coincheckアフィリエイトプログラムの一部機能が停止いたしますことをお知らせいたします。
停止日時:2018年1月28日15:00頃
停止機能:アフィリエイト報酬の承認停止日時より前に発生した報酬については通常通り支払の対象となります。また、停止後も管理画面上に報酬の速報値は表示されますが、停止開始から再開するまでに発生したアフィリエイト報酬は全て対象外となります。
2018/1/28, Sun 15:38
まぁこれはどうでもいい。
当社に対する金融庁の業務改善命令について
コインチェック株式会社は、このほど発生した不正アクセスによる仮想通貨NEMの不正送金に関連し、本日、金融庁から資金決済に関する法律第63条の16に基づく業務改善命令を受けましたことをお知らせいたします。
http://corporate.coincheck.com/2018/01/29/32.html
当社では、今回の措置を厳粛かつ真摯に受け止め、深く反省するとともに、早期に、事案の事実関係と原因究明、お客様の保護、システムリスク管理態勢にかかる経営管理態勢の強化ならびに、実効性あるシステムリスク管理態勢の構築及び再発防止策の策定を進めていく所存です。 改めまして、お客様をはじめとする関係者の皆様に、多大なご迷惑、ご心配をおかけしましたことを心よりお詫び申し上げます。また、今後、策定する改善策を着実に実施することにより、お客様の信頼回復に向け、最善の努力をしてまいります。
記
Ⅰ.業務改善命令の内容
- 本事案の事実関係及び原因の究明
- 顧客への対応
- システムリスク管理態勢にかかる経営管理態勢の強化 4 . 実効性あるシステムリスク管理態勢の構築及び再発防止策の策定等
- 上記1から4までについて、平成30年2月13日(火)までに、書面で報告すること。
以上
2018/01/29, Mon 17:56
業務改善命令の対応はもちろんのこと、まずは今起きている問題の対処を早急にお願いしたいところ。
現時点(1/29)、CC社からの連絡は以上です。
1/29, 19:00時点の現状
いまだに全仮想通貨の取引と日本円出金は停止されています。
1/28日、CC社は日本円入金だけ制限解除しましたが(ユーザーへの連絡は無し)、どういうつもりなのか…。 仮想通貨全体は今日になって値上がりしているとはいえ、この事態で入金だけする人っているのでしょうか?
関係者・ユーザー別にざっとまとめてみる
この数日、報道を追っていましたが、このまとめ方している記事を見たことがないので。
(1) CC社
結果論ですが、CC社、調べれば調べるほどグダグダですねー。
NEMを取り扱うにあたっての最低限のセキュリティを実施していなかったと言われています。
そもそも仮想通貨取引所は、仮想通貨を保有・管理するためのサイフとして「ウォレット」をもっています。 他の取引所ではウォレットをいくつかに分散させてもっていたのですが(そのため、もし盗まれても被害は小さい)、CC社は1つの大きなウォレットしか持っていませんでした。
しかもCC社の場合、それがネットワークから切り離された比較的安全なコールドウォレットではなく、オンラインのホットウォレットでした。
ハッカーが最も悪いのは言うまでもなく、それでも今回の事件が過去最大の被害額に達したことの要因として、CC社が日常業務としてセキュリティ対策の優先度を相対的に下げていたことが大きく作用したことは、ほぼ間違いないようです。
「コインチェックは手数料収入が○○○億円あるから返金も大丈夫」みたいな擁護発言。それはそれで一理あるんだけど、だとしたら、なんでそんな儲かってるのにセキュリティ対策にお金と人材を掛けていなかったんだ?
— ǝunsʇo ıɯnɟɐsɐɯ (@otsune) 2018年1月28日
(2) CCユーザー && NEM保有者
今回の一番の被害者。
彼らがCC社に預けていたNEMは、すべて失われました。
(そもそもCCを使っていた時点で…とかいう意見はここでは触れません)
ところが、CC社から公式発表があり、被害にあったユーザーに対しては、CC社によってNEM相当額が補償されるようです。
しかもCC社の自己資金で。 手数料なのか、関係者の仮想通貨を売却したのか、憶測は飛び交っていますが、CC社儲かってたんですね。
コインチェックがめちゃくちゃ儲かってる事実が露呈したことにより、株式市場でビットコイン関連銘柄が高騰してるな。ありがてぇ🙏🏼
— 田中😇Daisuke Shosaki (@tanaka_bot_1) 2018年1月29日
どうかと思うのが、返還はNEMではなく日本円で行われること。
全員88.549 JPY/ZEM
で利確されてしまうわけです。
税金計算とかどうなるんだろ。。。
(2018/01/30追記) 国税庁の方針についての記事リンクを追加。
(3) CCユーザー && 非NEM保有者
私はここです。
CC社の対応のうち、この人々(私含む)に影響するものは以下です。
- 全仮想通貨の取引停止
- 日本円の入出金停止
CCを使った全仮想通貨取引が停止されている状態です。
CC社のウォレットに入っている資産は事実上凍結されてますが、(まだ)具体的被害が出たわけではありません。
(今日になって仮想通貨全体が値上がりしているため、ウォレット上の資産は少し増えています)
結局のところ、一切の売買・出金ができませんので、推移を眺めながら凍結解除を待つしかない状態です。
(4) 非CCユーザー && NEM保有者
今回の事件(とCC社によるNEM補償)をきっかけに、CCに限らずNEM全体では「不正資金流出が発覚した直後に比べて2割強上昇し、急落前の水準を回復し」ました。
市場がCCの問題とNEMの技術を切り離して判断したという報道です。 これは仮想通貨全体の普及のためには良い傾向だと思います。
上がってよかったね、チクショウ!
ただし、今回の価格上昇については投資家の自己演出という噂もあり。 CC社の件が収束したとしても、まだまだ混乱は続きそうです。
なんというか、分かってる人だけが儲かる仕組み全ての仮想通貨の価格は自己演出で市場価格ではないのが米当局見解。発行者や初期大量取得者の保有数が流通量に比で圧倒的に多いから。中国もそれで取引所閉鎖した。コインチェックの補償発表に合わせてXEM価格が急上昇したのも大量保有者による複数口座経由の自己買いの可能性がある。金融庁は要調査
— 苫米地英人 (@DrTomabechi) 2018年1月28日
(5) 非CCユーザー && 非NEM保有者
まぁここは無関係な人々なので別に言うことはありません。 CCを嫌いになっても仮想通貨を嫌いにならないでくださぁい!
コインチェックが580億円盗まれたけど、俺は桃鉄で49兆9999億円盗まれたことがあります! pic.twitter.com/JR6SMiMo32
— 破壊屋ギッチョ (@hakaiya) 2018年1月27日
イトーヨーカドーのレジでおばあちゃんが「nanacoも仮想通貨なの?入ってるお金は何かあった時どうなるの?」と店員さんに質問ぜめしていて、店員さんしどろもどろ。
— NAOKO T (@toyodana) 2018年1月28日
そもそもNEMってなに?
ここからは、今回の事件とは直接関係ないです。 NEMについて、少し調べたのでメモ。
仮想通貨の一種。 NEMは仮想通貨名で、XEM(ゼム)はNEMの単位名。 ビットコイン(BTC)やイーサリアム(ETH)などとくらべて、優れた技術的な仕組みを採用しています。
もともとNEMは、仮想通貨の中でも比較的安全性が高いと言われています。
そもそも現存の多くの仮想通貨は、通貨発行・取引承認のためにマイニングという計算処理が必要です。 BTCなど多くの仮想通貨(1.0)は、マイニングを頑張った人ほど(報酬として)多く通貨を得ることができる仕組みであり、実質的に「札束で殴り合うルール」となっています。
NEM(仮想通貨2.0)は、マイニングではなくハーベスティング(収穫)と呼ばれるしくみで運用されています。 通貨として「使う」ことを求めており、報酬に通貨使用量を反映した仮想通貨であるため、札束が力をもつ他の仮想通貨と一線を画するものとして注目されています。
盗まれたNEMはどこへ行ったのか?
今回の不正流出については、送金先アドレスがわかっているので技術的には追跡は可能ですが、そのアドレスに対応する個人の特定は難しいです。
匿名性が仮想通貨の特徴なので当然といえば当然。
もう少し技術的に言えば、アドレスは暗号化済みデータであるため、アドレスから元のデータを復元することは事実上不可能だからです。
独自解析:コインチェック580億円流出は「わずか5分」の犯行と判明、データ解析で探る巨額のゆくえ | BUSINESS INSIDER JAPAN
NEMの技術的特徴として、アポスティーユがあります。
現存の法的認証と公証の制度は、世界中の政府や伝統的な機関により支援されており、ある対象の状態を検証するという作業には様々な使用用途があります。財産所有の証明、例えば自動車の所有証明、業績の証明、例えば卒業証書、証人の検証、例えば公証人の認定、商品の品質の検証、例えばA級品として認証することなどです。
こうした既存のシステムは、その証明に以下のような質を与えます。それは検証可能であり、証明されていて、第二者・第三者により品質の管理が行われていて、公的な機関に登録されており、譲渡と更新が可能であるということです。
アポスティーユはこのような以前はブロックチェーンの外部にだけ存在していた性質を、ブロックチェーンのエコシステムの内部に導入しようと試みています。
つまり、ブロックチェーンだけに頼るのでなく、公的機関の認証と連携しようという取組み(と実装)です。 音楽などコンテンツの著作権管理にも応用される話もあります。 NEMの特徴のひとつであり、CC社が対応していなかった、マルチシグへ繋がる話です。
これを応用し、今回不正流出したNEMを追跡するトークンが発行されているようです。
1. 盗まれたNEMのマーキングについて理解したので、やさしく解説します。NEMでは、ETHでいうトークンにあたるような独自のトークンを誰もが自由に作ることができます。たとえば「盗難マークトークン」というのをつくって、これを、犯人のコインのアドレスにかってにエアドロップで送りつける
— 大石哲之(Bitcoin,Blockchain) (@bigstonebtc) 2018年1月28日
2. 犯人のアドレスにはこの「盗難マーク」トークンが存在することになります。犯人としてはかってに送られてくるものなので拒否できない!また、ブロックチェーンでこのトークンを保持していることを隠すこともできません。
— 大石哲之(Bitcoin,Blockchain) (@bigstonebtc) 2018年1月28日
かくして、アドレスにマーキングのようなものをつけることができるわけです
3. 次にポイントとなうのがNEMならでわの機能。NEMのトークンは、なんと作成したオーナーしか移動権限がない、という設定ができるらしい。つまり、犯人はかってにこのトークンを別のアドレスに送ったりバーンしたりおくり返したりということができない!
— 大石哲之(Bitcoin,Blockchain) (@bigstonebtc) 2018年1月28日
4. しかし、トークンを送りつけるのはNEMのブロックチェーンの機能ではないので、誰かが手動で行うひつようがある(bot化の予定)。つまり犯人がXEMを他のアドレスに送金したらそれをブロックチェーン上で検知して、送金先アドレスににもマーキングトークンを送る。
— 大石哲之(Bitcoin,Blockchain) (@bigstonebtc) 2018年1月28日
5. これで、XEMを受け取るときには、送金元にトラックトークンがあるかどうかで、盗難XEMかどうかをユーザーが判断できる(機能をつくる)ようにするとのこと。取引所などもこれを判断して、入金などの可否を個別に検討されたしとのことです。
— 大石哲之(Bitcoin,Blockchain) (@bigstonebtc) 2018年1月28日
6. 気になるのはコレ自体はNEMに実装された機能ではないが実質外部監査機関がNEMのFungibilityをコントロールできる点。コレについては思想的な面もあるので、深くは議論しない。
— 大石哲之(Bitcoin,Blockchain) (@bigstonebtc) 2018年1月28日
こんなコメントも。7.もうひとつはNEMはUTXOベースのシステムであるので、細かい分割や、ミキシングみたいなこともできるとおもうのだが、そういうのも含め、トラッキングがどこまでやる続けられるのかという点。
— 大石哲之(Bitcoin,Blockchain) (@bigstonebtc) 2018年1月28日
んー、そゆことじゃなくて、全て追跡されることを逆手にとって
— とろろ@仮想通貨 (@Lo1993L) 2018年1月29日
例えば保有数上位1000件に1〜1万ネムとかを犯人が適当に送りつけたらどうなるかわかります? 全部モザイクがついて取引所はそのアドレスからの入金を拒否しますよね。これが上位10万件のアドレスだったら? 愉快犯ならまずこれやるよね
このあたりは推測が交じるのでこれ以上は踏み込みません。
仮想通貨は国家という枠組みを超えた新しい時代の通貨であり国や既存のルールに縛られる奴はうんことか言ってた人が何らかの損害を受けた時に助けてポリスメーン助けて法律ーとか言い出したらだいぶアレな気がするんだけどどうなんだろうなとか思いながら新しい風とそれに乗るリスクについて考えます
— xenodako3 (@xenodako3) 2018年1月27日
まとめと私見
私の場合は、お試しで仮想通貨を購入しただけで、お小遣い程度の少額投資でした。 前述のとおり、この事件発生時点、私はNEMは保持していません。
凍結された資産が丸ごと失われる可能性もあるという報道もありましたが、ここに関しては私はあえて楽観的にとらえていて、これはポジショントーク(あるいは報道のミスリード)だと思っています。
なぜなら、もしNEMに直接関係ない資産まで失われるのなら、そのときはCC社はもう仮想通貨取引所としてはやっていけなくなるから。しかし現段階では、CC社はNEMホルダーへの補償が自己資金でできるくらいの余裕はあるわけで(調達方法に関わらず)、私は楽観的な見方をしています。
というか、そう思わないと(小遣い程度とはいえ)やってられないじゃないですか…
まぁ、私は今回の件ですでに嫁に怒られ済みだから怖いものはない、というのも楽観視の大きな理由。 (でも、仮想通貨やめろとは言わなかった嫁ナイス)
仮想通貨取引所の選定については、私はまず仮想通貨取引を始めることが目的だったので、当初、取引所をあまりちゃんと調べていませんでした。 取引所ごとの基本機能やUI、手数料なんかは数社調べて比較しましたが、セキュリティの実態やら認証やらは調べ始めたらキリがないので後回しにしていました。
こういうのはまず始めてみないと分からないのも事実、という言い訳も一応用意しました。
今回の事件はいい勉強になりました(なってます)。
まとまらないけど、こんなところです。 なにか動きがあれば、随時追記するかもしれないし、しないかもしれない。