コインチェックがハッキング被害を受けた事件についてまとめました。

2018年1月26日、仮想通貨取引所大手である「コインチェック」にて、仮想通貨NEMが560億円相当が海外のハッカーより盗み取られました。

560億円・・・。
とんでもない金額です。
どうやら人類の歴史における強盗事件としては、歴代1位の金額とのこと。

10位 「ハリー・ウィンストン」パリ店の強盗・・・約108億円(1億800万ドル) 2008年
9位 アントワープダイヤモンドセンターの強盗・・・100億円以上(1億ドル以上) 2003年
8位 ユナイテッド・カリフォルニア銀行強盗・・・現在の価値にして100億円以上(3000万ドル) 1972年
7位 アムステルダムのスキポール空港でのダイヤモンド強盗・・・約118億円相当(約1億1800万ドル) 2005年
6位 PLOの一部によるレバノンの中東イギリス銀行襲撃・・・現在の価値にして100億円以上(2500万ポンド) 1976年
5位 ナイツブリッジ貸金庫強盗・・・約174億円相当(約1億7400万ドル) 1987年
4位 バグダッドの銀行強盗・・・約282億円(約2億8200万ドル) 2007年
3位 ボストンのガードナー美術館での絵画盗難・・・約300億円相当(約3億ドル) 1990年
2位 ロンドンの債券強奪・・・約600億円相当(約2億9200万ポンド) 1990年
1位 チェックコイン盗難事件・・・不正アクセスにより600億円〜数千億円 2018年

今回の記事では、「コインチェック事件」についてわかりやすくまとめてみました。

事件の発覚は1月26日

1月26日の深夜から早朝にかけて、コインチェックより1億NEMずつ5つのアカウントへ送金されている事が発覚しました。

これを受けて、コインチェックがNEMの取引や入出金を一時停止、さらにはビットコインを除くアルトコインの売買と出金を停止しました。

この時点で「コインチェックがハッキングを受けたのでは?」
とツイッターやネット掲示板では色々な憶測が飛び交いました。

1月26日深夜に記者会見

大量のNEMが流出してしまった件について、コインチェックは1月26日深夜に記者会見を行いました。詳しい会見内容については以下の動画をご覧ください。

かなり長い会見でしたので、要点をまとめます。

会見内容
  • ハッキングにあったのは事実。
  • 被害者の数は調査中
  • ネム以外の通貨はハッキングされていない
  • 顧客情報の流出は確認されていない
  • 被害者への補償は検討中
  • ハードフォークについてはNEM財団に断られた
  • ネムについてはマルチシグに未対応だった
  • ネムはコールドウォレットの管理をしていなかった
  • セキュリティについては開発が追いつかなかった
  • 手元資金やプライマリーバランスの開示については株主に相談しないといけない

私もリアルタイムで会見を見ていましたが、混乱の最中で当事者達もどうなっているのか分からない状況なのか、かなり酷い会見でした。

発言は不明瞭。「検討中です」ばかりの大塚CCOの発言と、横の方で口をつぐんでいるだけの和田代表。記者の中には実際に損を出したと思われる人もいて、厳しい質問もありました。

例えば・・・・

「何でセキュリティ開発よりもCMばかり出してたの?」といった経営に対する批判。

他にも、

コインチェック側の「プライマリーバランス等の公開については株主の判断仰ぎたい」という発言に対して、

記者「筆頭株主は誰ですか?」

CC「和田です(社長)」

記者「経営者側で過半数持っているんですか?」

CC「そうです」

記者「それなら、あなたたちがここで決められるじゃないですか!(失笑)」

といった、しどろもどろの酷い会見でした。

事件の原因はセキュリティ対策不足

今回、コインチェックがハッキング被害に遭った原因は、明らかにコインチェック側のセキュリティ対策不足です。

ネムについてはマルチシグ未対応、顧客のネムはホットウォレットで管理、と非常にずさんな状況だったことが明らかになりました。

「ハッキングされた」という点で見れば、コインチェックも被害者ではありますが、顧客の資産を預かっている以上は、セキュリティ対策を最大限にすべきでした。

CMをバンバン出すよりもやるべき事があったのに、それをやっていなかった訳ですね。

今回の事件を予測していた人たちがいた?

今回のコインチェックハッキング事件を予測していたような発言がありましたのでご紹介します。

ひろゆき氏

元祖2ちゃんねるの創始者である「ひろゆき」氏は動画の中でこう述べています。

7分20秒くらいからの彼の発言を抜粋します。

「ビットコインの取引所には色んな人が預けているわけで、そのサーバーに侵入することが出来れば、下手したら数億円手に入るわけですよ。
そうすると、普通の銀行と同じくらいのセキュリティが必要なわけですよ。

 

で、普通の銀行は、機関システムをインターネットに繋げてないじゃん、危ないから。
でも、銀行のシステムがインターネットに繋がっていて世界中からハッキングしてください、どうぞ!ってなってたら、そりゃもう世界中から攻撃されるじゃん。

 

ワンチャン、一億円とか手に入るわけでさ。
ロシアのハッカーとかでで、どうせ暇だしマウントゴックスに入ってみっかなぁ、みたいなことをガンガンやる人が世界中にいるわけですよ。

ていうのと(ハッカーたちと)毎日闘うわけになるでしょ。無理無理。」

 

5ちゃんねるでもコインチェックの事態を予想している人もいた!

275 風吹けば名無し 2017/12/26(火) 21:15:17.34 ID:ry865ru+M
コインチェックなんていう脆弱取引所使うとか頭わいてんのか?
取引所の資金パンクしても終わりだしシステムエラー突かれてテロされても全て終わり。
この中でコインチェックについてしっかり調べてる奴一人でもおるんか?
27歳のガキが数人の部下と運営してる取引所なんてよく使う気になるわ。
断言してやるけど近い将来なにかやらかすわ。

287 風吹けば名無し 2017/12/26(火) 23:18:17.34 ID:h4hk35Fa0
>>275
負け組やなぁ(笑)そうやって一生言い訳してチャンスを逃しなさい(笑)

ひろゆき氏は仮想通貨取引業者自体のリスクについて指摘し、5ちゃんねるの人はコインチェックのシステムの脆弱性について指摘していました。

コインチェックの顧客への対応は?

1月27日に、コインチェックはネムの不正流出について、すべての保有者に対して日本円で返金すると発表しました。

その総額は460億円!
会見では補償についても「検討中」となっていましたが、どうやら補償する方針のようです。

しかし、いつ返金されるのかについては明言されていません。
1月29日現在の情報では、コインチェック側には返金する資金はあるとのことですが、金融庁によると返金の説明について納得できる内容ではなかったとのことです。

コインチェックの杜撰な管理体系を見ると、本当に返金されるのかどうかはまだ信用できないと思う人が多いようです。

今後も事業を継続するようですが、これだけ大きな事件を引き起こし、酷い記者会見をし、最低限のセキュリティ対策すらしていなかったことが明らかになってしまった事を考えると、顧客離れを避けることは不可能でしょう。

個人的には他の取引所に買収されるのではないかな?と思っています。

関東財務局からの行政処分

本日1月29日に関東財務局よりコインチェックに行政処分が下りました。

詳しくは以下の通りです。

1.コインチェック株式会社(本店:東京都渋谷区、法人番号1010001148860、資金決済に関する法律(平成21年法律第59号)附則第8条に基づく仮想通貨交換業者)(以下、「当社」という。)においては、平成30年1月26日(金)に当社が保有していた仮想通貨(NEM)が不正に外部へ送信され、顧客からの預かり資産5億2,300万XEMが流出するという事故が発生した。
 これを踏まえ、同日(26日(金))、同法第63条の15第1項の規定に基づく報告を求めたところ、発生原因の究明や顧客への対応、再発防止策等に関し、不十分なことが認められた。

2.このため、本日、同社に対し、同法第63条の16の規定に基づき、下記の内容の業務改善命令を発出した。

(1) 本事案の事実関係及び原因の究明
(2) 顧客への適切な対応
(3) システムリスク管理態勢にかかる経営管理態勢の強化及び責任の所在の明確化
(4) 実効性あるシステムリスク管理態勢の構築及び再発防止策の策定等
(5) 上記(1)から(4)までについて、平成30年2月13日(火)までに、書面で報告すること。

http://kantou.mof.go.jp/rizai/pagekthp0130000001_00004.html

営業停止処分ではないのが少し意外ですね。
しかし、財務局が納得する報告書が提出されなければ、さらなる行政処置があるかも知れません。