ホームページ制作等のお問い合わせはこちら

CoincheckのNEM/XEMハッキング・盗難事件に関する情報まとめ

NEM-image-0

どうも。もやし(@moyashi3333)です。

 

仮想通貨界隈における歴史的な事件が起こりましたね。

1月26日、Coincheckの預かり資産であるNEM(XEM)5億2300万分(日本円にして580億円相当)が不正アクセスによって盗難されました。

 

僕もCoincheckに資産を置いていた身ですので、自分のためにも情報をまとめます。今後も情報は追っていこうと思います。

本記事公開時点ではCoincheck側は詳細の調査中であり、顧客資産をどうするかという明確な方向性は検討中に留まるため、続報を待つしかありません。

 

【1/28追記】

Coincheckより、NEM保有者に対する日本円での補償を行う方針が出されました。
[Coincheck Press]不正に送金された仮想通貨NEMの保有者に対する補償方針について

 

【2/4追記】

出金停止となっている日本円は金融機関の顧客専用口座、NEM以外の通貨についてはコールドウォレット等に退避済みとのこと。出金の再開時期はまだ未定。
[Coincheck Press]日本円出金の再開の見通しについて

事件の概要:巨額のNEMが外部へ不正送金

事件の内容としては、Coincheckの保有していた5億2300万のNEM(XEM)が不正アクセスによって盗難されてしまったというもの。

日本円にて580億円相当です。とんでもない金額ですね。。

 

事件当日の深夜には緊急の記者会見も開かれました。

事件翌日にCoincheckから出された公式プレスは次の通り。

Coincheckサービスにおける一部機能の停止について

2018.1.27

2018年1月26日、コインチェック株式会社(代表取締役社長:和田晃一良、以下:当社)が運営する仮想通貨取引所サービス「Coincheck」におきまして、一部機能の停止に至る事象が発生致しました。本事象に伴い、お客様、取引先、関係者の皆様にご迷惑をおかけしておりますことをお詫び申し上げます。

発生事象

1月26日 02:57頃 :事象の発生
1月26日 11:25頃 :当社にて異常を検知
1月26日 12:07頃 :NEMの入金一時停止について告知 

1月26日 12:38頃 :NEMの売買一時停止について告知 
1月26日 12:52頃 :NEMの出金一時停止について告知 
1月26日 16:33頃 :JPYを含め、全ての取扱通貨の出金一時停止について告知 
1月26日 17:23頃 :BTC以外(オルトコイン)の売買の一時停止について告知 
1月26日 18:50頃 :クレジットカード、ペイジー、コンビニ入金一時停止について告

事象・原因

当社にて保有しているNEMが不正に外部へ送金されたものでございます。原因に関しましては、現在究明中でございます。また、日本円を含めその他の通貨に同様の事象は確認されておりません。

再発防止策

現在、原因究明を最優先としております。原因が判明次第、早急に再発防止策を講じて参ります。

Coincheck公式 Press

セキュリティ対策に不備ありか

外部からのハッキングを許し、巨額のNEMを不正送金されてしまった今回の事件ですが、Coincheck側のセキュリティ対策にも問題があったように見受けられます。

ホットウォレットに保管していた

不正送金されたNEM(ネム)ですが、全てホットウォレットに保管されていたようです。

ちなみに、ビットコインとイーサリアムはコールドウォレットに保管されているとのこと。

補足:ホットウォレットとコールドウォレットとは

ホットウォレットは、インターネットに接続された環境下にあるウォレットを指します。

メリット:利便性が高い(送金・出金の移動が簡単に行える)
デメリット:安全性が低い(外部による不正アクセスの危険性に晒される。侵入されれば即盗難となる)

取引所のアプリのウォレットなんかはホットウォレットに該当します。

 

一方、コールドウォレットは、インターネット環境とは隔離した環境下にあるウォレットです。

メリット:利便性が低い(送金・出金の移動が手間、鍵の管理が必要。)
デメリット:安全性が高い(ハッカーに狙われない。)

ハードウェアウォレットはペーパーウォレット(QRコードのやつ)はコールドウォレットに該当します。

マルチシグ対応もなし

また、マルチシグ対応も行っていなかったようです。

補足:マルチシグとは

1つではなく複数の秘密鍵(署名)を合わせなければアクセスできないようにする仕組みです(マルチ=複数、シグ=シグネチャ・署名)。

マルチシグにすることで、ハッカーによる盗難のリスクを下げることができます。

金庫の鍵が1つだけより、複数の鍵を破らないと盗めない状態の方が安全であると考えればイメージしやすいと思います。

Coincheckの今後の対応

記事公開時点では詳細の調査中であり、顧客資産がどうなるか明確な方向性が決まっていません。

そのため、事態を見守りつつ待つしかない状態です。

「顧客資産の保護を最優先」

Coincheckとしては、「事件の詳細・原因の究明」および「顧客資産の保護」を最優先に取り組んでいるとのことです。

今は各種通貨の取引や日本円の出金までも止められているので、続報を待ちましょう。

【1/28追記】NEM保有者に日本円での補償を行う方針を発表

事件発生から2日後の1月28日深夜、Coincheckから新たな方針が発表されました。

それはNEM保有者に対する日本円での補償を行うというもの。

不正に送金された仮想通貨NEMの保有者に対する補償方針について

2018.1.28

コインチェック株式会社(代表取締役社長:和田晃一良、以下:当社)が運営する仮想通貨取引所サービス「Coincheck」において発生した仮想通貨NEMの不正送金に伴い、対象となる約26万人のNEMの保有者に対し、以下の通り、補償方針を決定いたしましたので、お知らせいたします。

1月26日に不正送金されたNEMの補償について

総額 : 5億2300万XEM 
保有者数 : 約26万人 
補償方法 : NEMの保有者全員に、日本円でコインチェックウォレットに返金いたします。 
算出方法 : NEMの取扱高が国内外含め最も多いテックビューロ株式会社の運営する仮想通貨取引所ZaifのXEM/JPY (NEM/JPY)を参考にし、出来高の加重平均を使って価格を算出いたします。算出期間は、CoincheckにおけるNEMの売買停止時から本リリース時までの加重平均の価格で、JPYにて返金いたします。 
算出期間  : 売買停止時(2018/01/26 12:09 日本時間)〜本リリース配信時(2018/01/27 23:00 日本時間) 
補償金額  : 88.549円×保有数 
補償時期等 : 補償時期や手続きの方法に関しましては、現在検討中です。なお、返金原資については自己資金より実施させていただきます。   

今般の不正送金に伴い、一部サービスの停止などお客様、取引先、関係者の皆様にご迷惑をおかけしており、重ねてお詫び申し上げます。原因究明、セキュリティ体制の強化などを含めたサービスの再開に尽力するとともに、金融庁への仮想通貨交換業者の登録申請の継続的な取り組みも併せて、今後も事業を継続して参りますので、引き続き、宜しくお願い申し上げます。

[Coincheck Press]不正に送金された仮想通貨NEMの保有者に対する補償方針について

返金に充てる資金は自己資金からのようですね。

お金持ってるなCoincheck…。

補償金額のNEM/XEMの単価は88.549円

日本円での返金ということで、XEM(NEM上で使用される通貨)のXEM/JPY単価を算出する必要があります。

その算出期間が「売買停止時~今回のリリース配信時」ということで、必然的に単価は低くなりますよね。。

底値で強制的に利確されるのと同じ効果なので、NEMを多量に保有していた人ほどやはりダメージは残ります。
このリリースを受けてNEMの価格は一時高騰すると思われますし。

 

補償金額算出の前提となるXEMのJPY単価は88.549円とのこと。

そこに保有していたXEMの枚数を掛けた値が補償金額となります。

補償実施の時期は検討中

補償の時期は今回のプレス公開時点では「現在検討中」とのことで、未定です。

1か月~数か月後くらいでしょうか。
さすがに1年後、もっと後とかそんな遅い時期にはならないとは思いますが。。

NEM以外の資産も問題なさそうか

NEM以外の資産は流出していない様子ですので、消失などせずに済みそうですね。

現在は全通貨の出金停止、BTC以外の通貨の売買停止がされたままですが、そのうち解除されるでしょう。

 

というわけで、とりあえず安堵ですね…!

引き続き続報を待ちます。情報を入手次第、随時更新していきます。

【1/29追記】金融庁がCoincheckに対して業務改善命令

今回のハッキング事件を受けて、金融庁からCoincheckに対して業務改善命令が出されたようです。

[Coincheck Press]当社に対する金融庁の業務改善命令について

業務改善命令の内容としては、以下の4つ。

1. 本事案の事実関係及び原因の究明 
2. 顧客への適切な対応 
3. システムリスク管理態勢にかかる経営管理態勢の強化及び責任の所在の明確化 
4. 実効性あるシステムリスク管理態勢の構築及び再発防止策の策定等 
5. 上記1から4までについて、平成30年2月13日(火)までに、書面で報告すること。 

「早く事件の詳細を明らかにして、対策を講じてくださいね。顧客保護や経営管理もしっかりしてね。あと、報告書面を2週間後までにちょうだいね」とのこと。

ちょっと気になるのは、プレス公開時には上記太字部分がなかったことですね。
20:00頃に修正・加筆を行ったようです。

明らかに入力ミスじゃないですもんね。。うーん、信用したいところですが。

【2/4追記】日本円の出金再開について

2/4時点で日本円の出金停止、アルトコインの売買停止の状態が続いています。

日本円の出金再開およびNEM以外の通貨の保管状況について、公式プレスが出されました。

日本円出金の再開の見通しについて

2018.2.3

2018年1月30日付のリリースでご案内をしております通り、当社では現在、日本円出金に伴う技術的な安全性等について、確認・検証中であり、再開に向けた準備を進めております。外部専門家の協力も得つつ行っている確認・検証を踏まえ、皆様には日本円出金の再開時期をお知らせいたします。 

なお、お客様がアカウントに保有している日本円につきましては、金融機関の顧客専用口座に保全されております。また、お客様がアカウントに保有している仮想通貨(BTC/ETH/ETC/LSK/FCT/XMR/REP/XRP/ZEC/LTC/DASH/BCH)につきましても、ホットウォレットから退避し、コールドウォレット等に保管しております。 

今しばらくご迷惑をおかけいたしますが、何卒、よろしくお願い申し上げます。 

[Coincheck Press]日本円出金の再開の見通しについて

日本円の出金再開については、まだ準備を進めている段階とのこと。
明確な再開時期は、まだ明らかにされていません。

また、コインチェックに預けている日本円は金融機関の顧客専用口座に、NEM以外の仮想通貨はコールドウォレット等に退避済みのようですね。

NEM以外の資産は無事に帰ってきそうな気配ですが、どうなりますかね。

 

その他 事件に関連する情報

NEMのハードフォークはしない

NEM財団としてはハードフォークはしないという意向とのこと。

今回の事件はNEMの脆弱性に問題がなく、Coincheck側に難ありと判断された故かと思います。

補足:マウントゴックス事件について

仮想通貨の消失事件としては、『マウントゴックス事件』が挙げられます。

これは2014年2月に、東京を拠点に置く、当時世界最大級のビットコイン取引所であった「マウントゴックス社(Mt. Gox)」が経営破綻した事件です。

ハッキングによって85万ビットコイン(当時の時価で45億ドル相当)が消えてなくなったと言われています。
ただ、諸説あり、社長が自ら使ってしまったのではないかとも。

今回の事件は時価でいうとマウントゴックス事件の規模を超えていますね。

補足:The DAO事件とイーサリアムのハードフォーク

過去の仮想通貨のハッキング事件では、ダオ・ハッキング事件とイーサリアムの分裂も有名です。

2016年6月に『The DAO(ダオ)』がハッキングされ、総額3600万ETH(イーサー。イーサリアムの内部通貨)が失われた事件です。

75億円規模が失われたのはイーサリアム自身にも問題があったのではということで、イーサリアム運営元の話し合いの元、禁じ手である「ハードフォーク」を実施。

ハードフォークは「その取引をなかったことにする」ことです。
つまり、問題のある取引の直前で時間を止めて、それ以前の状況に戻すということです。

ハードフォークは何が問題なのでしょうか。

ブロックチェーンは取引履歴が一続きのチェーンになっており、改ざんが不可能であることが信用につながっています。
その本来枝分かれしないはずのブロックチェーンが、ハードフォークによって枝分かれしてしまうことになります。
つまり、ハードフォークはブロックチェーンの思想とは真逆の行為にあたります。

このイーサリアムのハードフォークの結果、現在はイーサリアムが2つに分裂・並存しています。

  • イーサリアム(ETH):ハードフォーク後、後から書き換えられたブロックチェーン。
  • イーサリアム・クラシック(ETC):書き換えられる前のブロックチェーン。

先述の通り、今回のNEM盗難事件の処理としては、ハードフォークを実施しない方針です。
NEMの脆弱性というより、Coincheckの体制に難ありと判断された故かもしれません。

蛇足

以下は蛇足です。

もやし個人の被害額

ぼく個人としてはCoincheckに置いていた資産額は給料1-2か月分でした。

まだ預けていた資産がどうなるか決定はしていませんが、戻ってこないことも覚悟しておきます。
外部のウォレットに資産を移しておかなかったことが個人としての反省点ですね。

今回の件は勉強代と考えることにします。

まあ被害額が少ないからこそこんなふうに思えるんでしょうけど。。
それでも僕にとっては充分気落ちする金額ですが。笑

記者会見について思ったこと

事件当日の記者会見を見ていて、モヤモヤした気持ちになりました。

今に始まったことではないですが、「叩いてやろう」「悪い部分をあぶり出す」「とにかく世間のネタになるような質問をしよう」という記者側の意識が感じられて、なんだかなあと。

なんでそんな上から目線の人が多いんだろうか。。

Coincheck側のセキュリティ対策に課題があったことは否めないですし、誠心誠意の対応をしてほしいです。
そのために今後どうするかとかその辺りのことをもっと深堀してほしかったですね。

まあCoincheck側の回答も「検討します」ばかりだったので、もどしさもあったのかもしれません。記者の中にはCoincheckを利用していた人もいるでしょうし。

仮想通貨に対する不安が広がる

今回の事件で、仮想通貨に対する不安はしばらく広がるでしょう。

メディアが必要以上に不安を煽らなければいいなと思いますが、それは無理でしょうね。
「仮想通貨は危険なもの」というよくわからない不安が世間に蔓延しそうです。

それが日本の仮想通貨の発展を妨げないことを願います。

取引所を利用しない取引が発達する

Coincheck等の取引所を利用した中央集権型の仮想通貨のやり取りは、今後縮小していく流れになりそうです。

代わりに、取引所を介さないDEX(分散型取引所)のようなものが浸透していくのではないかと思っています。

 

引き続き情報を集めつつ、続報を待ちたい思います!