580億円分のXEMがCoincheckから不正出金！？

Coincheckがハッキングされ、580億円分のXEM（NEM）が不正に出金される事件が発生しました。

• コインチェック、不正流出の疑い調査　数百億円規模か – 日本経済新聞
• コインチェック、仮想通貨５８０億円流出＝不正アクセス、出金を停止 – 時事通信
• コインチェック：５８０億円相当不正流出　サイバー攻撃か – 毎日新聞

Coincheckは警察に被害届を提出、金融庁に連絡をした上で即日記者会見を開き、盗難事件の経緯をマスコミに説明しました。

そして、Coincheckはこれまでの経緯を公式サイト上で次のように説明しています。

発生事象
1月26日　02:57頃　：事象の発生　（正確な発生時刻を特定するため、現在調査を継続しております。　※1/27 10:35頃追記）
1月26日　11:25頃　：当社にて異常を検知
1月26日　12:07頃　：NEMの入金一時停止について告知
1月26日　12:38頃　：NEMの売買一時停止について告知
1月26日　12:52頃　：NEMの出金一時停止について告知
1月26日　16:33頃　：JPYを含め、全ての取扱通貨の出金一時停止について告知
1月26日　17:23頃　：BTC以外（オルトコイン）の売買の一時停止について告知
1月26日　18:50頃　：クレジットカード、ペイジー、コンビニ入金一時停止について告知

『Coincheckサービスにおける一部機能の停止について』より

 

XEM以外の資産は盗難されていない

まず気になるのはXEM以外の資産が盗まれていないかどうかですが、Coincheckの説明によると今回の事件で不正送金が行われたのはXEMだけだったとのことです。そして、XEMに関しては顧客からの預かり資産の全てが盗難されたとのことです。会見での説明を聞く限り、原因は３つあったようです。

1. システムの脆弱性により不正なアクセスが行われた
2. XEMの預かり資産をホットウォレットに保管していた
3. ホットウォレットでマルチシグを利用していなかった

「どうしてXEMだけ？」という疑問が直ぐに頭をよぎりますが、上記３つの中で２番目の「XEMをホットウォレットに保管していた」というのが何とも奇妙で、これがXEMだけ盗まれた原因なのではないかと思いました。私達個人ユーザーですら暗号通貨の残高は複数のコールドウォレットに分けて保管しています。コールドウォレットはネットワークから遮断されており、ネットワークから侵入してくるハッカーの手が届かないため、そのような方法では盗難が不可能だからです。そして、推測ですが盗難されていないところを見ると他の通貨はコールドウォレットに保管されていたのではないでしょうか。

※せっかく記者会見が開かれたにも関わらず、「他の通貨はコールドウォレットに保管されていたのか？」という大事な質問をする記者は居ませんでした。

Coincheckと提携しているリップル社では、XRPの盗難がされていないことを既に確認したとのことです。

XRP Ledger上で確認できる大量のXRPの移動は外部への不正流出ではないと確認が取れました。 https://t.co/Tn4esve33N

— Emi Yoshikawa (@emy_wng) 2018年1月26日

念のために書いておきますが、Liskからも公式に影響がないことがアナウンスされています。

According to the press statement from @coincheckjp, #Lisk was not affected in the hack that took place this morning. We will continue to monitor the situation very closely.#blockchain #crypto

— Lisk (@LiskHQ) January 26, 2018

 

入出金と取引の停止

Coincheckは盗難の発覚後、直ぐに顧客資産の入出金と取引機能を停止しました。これは他の盗難されなかった資産を保護することが目的で、それ以外にCoincheckには選択肢はなかったのでしょう。もし脆弱性があるシステムを稼働させ続けて被害が拡大すれば、全ての顧客資産が盗まれるという最悪の事態も考えられるからです。ビットコインの取引だけがしばらく継続されていた理由は、今回の盗難が起きたXEMなどを取り扱う販売所（店頭取引）のシステムとビットコインの取引所（取引所取引）のシステムが別々のシステムだったからのようです。

• コインチェックが取引を一時停止　仮想通貨取引所大手 – 日本経済新聞

 

利用者が今知りたいこと

利用者が主に知りたいと思っているのは次の２点でしょう。

1. 入出金と取引は再開されるのか
2. Coincheckに損失を穴埋めできる体力があるのか

まず１の取引と入出金の再開に関しては、盗難の原因となったシステムの脆弱性が特定できないことには再開できないでしょう。おそらくCoincheckはシステムを再稼働させるために現在全力で原因の究明とセキュリティホールへの対策を行っていると思います。同社は会見で「安全にお客様に提供できることを確認でき次第再開する。」と説明しています。そして再開にあたっては、仮想通貨交換業の監督を行っている金融庁への十分な説明も求められるのではないでしょうか。

次に２のCoincheckに盗難された約580億円分のXEMを穴埋めできるだけの資産があるかどうかに関しては、客観的なデータに基づいて推測することしかできません。まず、Coincheckにおけるビットコインの取引高の推移を見てみましょう。

このデータを見る限り、Coincheckでの過去のビットコイン取引高の合計は約8.3兆円で、2017年1月から12月だけでも8.2兆円を超えていることが分かります。仮に昨年のビットコインの取引高を8.2兆円、手数料収入を0.3%と考えると昨年一年間のビットコイン取引だけで246億円の利益を得られたことになります。

これに加え、CoincheckではXRPなどの他の仮想通貨の販売所ビジネスからの収益もあることになります。@moyashiさんのブログによると、同社は販売所ビジネスでかなりの手数料（数パーセント？）を取っていることが分かるそうです。

• 暗号通貨取引所Coincheckのスプレッドを可視化する

さらに入出金手数料や決済サービスからの利益を考えれば、同社に数百億円の資産があってもおかしくはないでしょう。

 

まとめ

XEM以外の盗難被害が無いことから、おそらくXEM以外の入出金と取引はかなり早い段階で再開されるのではないでしょうか。そして約580億円の被害の補償に関しても、Coincheckのキャッシュフローを考慮すれば不可能ではないと思います。何よりこれだけの収益を上げられる仮想通貨ビジネスですから、仮に自力での再建が出来ないとしてもホワイトナイトが現れて救済される可能性も十分に考えられます。（「5%の利子を付けて返します。」とCoincheckに言われれば貸したい人もいるでしょう。）

私は今回の事件が起こったことで仮想通貨交換業のビジネスモデルについていろいろと考えさせられました。これまでは漠然と儲かっている（月間数億円～数十億円の利益を上げている）という印象を持っていましたが、その裏で動いている仕組みについても考える良い機会になりました。

Coincheckの事業存続については私はどちらかといえば楽観的です。私は破綻した一部上場企業の管財人から事業の切り売りの手続きを扱う業務にも従事したことがあり、その事業に紐づいた顧客ごとビジネスを買収することでサービスを継続できることを知っているからです。ですから、仮にCoincheckが事業を存続できなかったり金融庁の認可が得られないとしても、同業他社（例えばGMOなど）が同社の顧客ごとサービスを買い取ってしまえば良いだけだと単純に考えています。

1. 自力で事業を継続
2. ホワイトナイトによる救済
3. 同業他社による買収

といったように選択肢は様々ですが、どのような選択をするにしても現在提供されているサービス自体が存続できるだけの十分な根拠はあるのではないでしょうか。

 

（追記）XEMはコールドウォレットからオフラインで出金できない！？

XEMのコールドウォレットについてカレンシーポートCEOの杉井氏が興味深いコメントをしています。

ビットコインなどは、この辺のノウハウは比較的確立されてきていますが、コインの種類によってはその設計思想などの違いもあり、完全なオフラインのコールドウォレット運用が難しいものがあります。

NEMもそのひとつで、標準的なユーティリティは、トランザクションの作成から署名まで、オンラインに提供されるAPIを利用してできるようになっています。

ビットコインや Ripple は、コールドウォレットから出金する際にウォレットをオンラインにする必要がありません。トランザクションの作成から署名までをオフラインで出来るからです。つまり、NEMの場合は基本的にコールドウォレットからの出金はオンラインで行う仕組みになっているようです。また、Coincheckが「技術的に難しい」と言っていたことに関して同氏は次のようにコメントしています。

すくなくとも、トランザクションの様式を低レベルで理解して、オフラインで署名するシステムを構築できる技術者がいないとならず、それがこの事象の発生までに、人材確保までの対応を含めて「間に合わなかった」と、いう事だろうと思います。

正直言ってこのハードルはかなり高いです。取引所のようなNEMの利用者がオフラインで署名するためのシステム（仕組み）が欲しければ自分でコーディングしてくださいということです。オフラインで署名するだけのために新たにシステムを構築しなければいけないわけです。個人ユーザーであれば残高を移動するときだけウォレットをオンラインにすれば済む話ですが、利便性を追求する企業のシステムではそういうわけにはいきません。これについては杉井氏も次のように述べています。

コインチェック社は、他の取引所と比べてもコインの対応が早く「自動入金」や「自動出金（即時送金）」など利用者への利便性の提供が充実していました。

この点は、他の追従を許さない水準にあり、評価されるべき点です。

しかし、サービス安全性に振ると即時自動出金はあきらめる方向にならざるを得ません。

利便性と安全性がトレードオフの関係にあるという説明は的を射ています。そしてこれはNEMだけに限った話ではないと思います。

 

（追記）CoincheckがNEMの保有者に対する補償方針を発表

1月26日に不正送金されたNEMについて、Coincheckが28日0時過ぎに補償方針を発表しました。

発表された補償内容は次の通りです。

総額 ： 5億2300万XEM
保有者数 ： 約26万人
補償方法 ： NEMの保有者全員に、日本円でコインチェックウォレットに返金いたします。
算出方法 ： NEMの取扱高が国内外含め最も多いテックビューロ株式会社の運営する仮想通貨取引所ZaifのXEM/JPY (NEM/JPY)を参考にし、出来高の加重平均を使って価格を算出いたします。算出期間は、CoincheckにおけるNEMの売買停止時から本リリース時までの加重平均の価格で、JPYにて返金いたします。
算出期間　　： 売買停止時（2018/01/26 12:09 日本時間）〜本リリース配信時（2018/01/27 23:00 日本時間）
補償金額　　： 88.549円×保有数
補償時期等 ： 補償時期や手続きの方法に関しましては、現在検討中です。なお、返金原資については自己資金より実施させていただきます。