時事問題ニュース

政治から事件やら話題の情報まで、とにかく頑張ってやっていきたいと思います。

セキュリティ対策がずさんだったコインチェック 580億円流出

仮想通貨

 こんばんは、TRエンタテインメントです。

 仮想通貨も一般層に知れ渡ってきたこの頃ですが、とんでもない事案が発生しました。ハフポストに会見の全文が書き起こされています。冒頭にも解説があるため見てみようと思います。

 仮想通貨の国内大手取引所「コインチェック」(東京・渋谷区)は1月26日、顧客から預かった580億円相当の仮想通貨が不正アクセスによって流出したと発表した。

 同社によると26日午前3時ごろから、仮想通貨の一つ「NEMネム)」の「ほぼ全て」が、外部に不正送金されたという。

 現在、コインチェックはサービスの一部を停止しており、再開の見通しは立っていない。

出典; コインチェック経営陣、しどろもどろの謝罪会見。社長が筆頭株主なのに「株主と相談します」(全文)

 まずは流出した通貨について、仮想通貨はビットコインのほかに複数ありますが、その中で「NEM」と呼ばれるものがほぼすべて流出したということです。

 さて、ここで疑問を挙げてみようと思います。

  1. まず、そもそも外部からの攻撃にさらされるようなことがあったのか。
  2. 何度かに分かれて多くの出金があったにもかかわらず、すぐに検知できなかったのか。

 大体はこの2つだと思われます。まずは外部の攻撃が可能だった点について。会見中の質問で分かったことがいくつかあります。まずは1から見てみましょう。

 

――NEMはとられたが、まだ残っている他の仮想通貨のウォレットに「マルチシグ」はかかってないのか。

 和田氏:はい、一部の通貨にはかかっております。

――「かかっているもの」とか「かっていないもの」があるのか。

 和田氏:かかっていないものも、通貨の性質上ございます。

 

 マルチシグとは簡単に言うと暗号キーが複数あり、指定された個数の暗号キーで認証が必要なシステムです。bitFlyerの解説ページが相当詳しく載っていますのでご覧いただけたらと思います。https://bitflyer.com/ja-jp/glossary/multisig

 コインチェックは少なくとも「NEM」には導入していなかったようです。また、かかっていないものもあるようで、ほかの通貨についても非常にリスクが高い状態となっています。

 いずれにせよ、簡単に突破出来てしまったようです。

 

――顧客資産の管理について。「コールドウォレット」で管理してたのかどうか。

 大塚氏:今回に関しては「ホットウォレット」に入っていました。

 

 ホットウォレットは常時インターネットに接続された、いわゆる口座情報であり、普通は取引量ギリギリまで入れておき、コールドウォレット、インターネットに接続していない口座情報にあとの預り金を入れておくことで、万が一攻撃され、引き出されたとしても最低限の被害に食い止められます。

 しかし、どういう訳かコインチェックはホットウォレットに接続されていたようです。

 「ほぼ全て」が流出したという事ですから、「ほぼ全て」ホットウォレットに入っていたとみてまず間違いないでしょう。

 

 以上のことから、セキュリティ対策があまりにもずさんで攻撃され放題の状態であったといえます。

 

 次に、複数に分かれていたとしても、短時間で巨額の出金があったにもかかわらずすぐに検知できなかったのかについて見てみましょう。

 

――大きく残高が減った場合、アラートを出すようなシステムはなかったのか。

 大塚氏:そちらのほうがございまして気づいたということです。

――それでも、気付くのに時間がかかったのか。例えば、100億円とか200億円が減った段階ではアラートは鳴らなかったのか。

 大塚氏:ちょっとそれは、このところでどういうことが起こったかというところも、いま事象の確認をさせていただいておりますので、そこらへんがわかり次第、詳しくご説明をさせていただければと思っております。

――例えば500億円分とかだったとしたら、どの時点でアラートが鳴ったかというのはわかるのか。

 大塚氏:ちょっとそれも、私の手元のところではわかりかねるので、今は確認次第というかたちになっております。

 

 大問題は短時間に580億円相当のNEMが減っているにもかかわらず、入出金の停止までに30分強掛かっていることです。

 アラートのほかに自動的に入出金を止めるシステムがあればここまで流出することはなかったのではないかと思いますが、コインチェックはこのシステムを導入していたのか疑問が生じます。

 セキュリティが突破されたとしても、流出を最小限に食い止めるシステムを構築していればここまでの被害拡大はなかったのではないでしょうか。

 

 仮想通貨を取り扱う事業者として、あまりにも「ずさん」であったという言葉以外、他に表現しようがないのが現状です。

 

1月31日追記

結びに書いてある30分強掛かった入出金の停止の件で自動的に停止するシステムはあったのか、コインチェック社に問い合わせました。広報担当者から「現在確認中につき、確実な情報は弊社コーポレートサイトに開示する」との回答がありました。