今夜の酒場の話題をちょっと知的に。NEM流出事件のカラクリ
仮想通貨取引所「コインチェック」から仮想通貨NEM5.23億XEM(「NEMは通貨の名称、XEMは通貨単位)=当時のレートで約580億円相当が流出した事件から半月ほど経ちました。
未だに犯人は分からず(北朝鮮説もありますが)、取引所も閉鎖状態、コインチェックから顧客への補償も不明・・・と状況はなにひとつ進展していないようです。
一応、金融庁がコインチェック本社に立ち入り検査を行い、警視庁も不正アクセス禁止法容疑で捜査を開始、保有者の一部も提訴の準備を始めたりしていますが、そもそもなぜコインチェックのNEMは流出し、更にはその流出先がわかっているにも関わらずなぜとりもどせないのか?を知りたい方は多いかと思います。
今回の事件の影響か、ビットコインが節目の1BTC=100万円を割り込むなど、仮想通貨市場は冷や水を浴びせられたようになっていますが、長期的に見れば今後も仮想通貨の市場はますます大きくなっていくはずです。
だいたい、580億円という損失規模も仮想通貨以外の金融事件の歴史の中じゃ驚くような数字じゃありませんし、むしろ、こんなときこそ仕入れ時!と考えるチャレンジャーな方もいるはずです。
また、これから仮想通貨取引を始めようと考えている人も、今回の事件の概要を知っておくことは取引所や仮想通貨を選ぶ際のポイントになるかと思います。
仮想通貨に興味がない人も、ネットで話題になっているニュースですので、話のネタにはなるかと思いますので事件の概要を知っておくのもソンにはならないでしょう。
コインチェックは闇取引所?
まず、今回の主役(?)コインチェック仮想通貨取引所は国の認可を受けていない業者です。
2017年4月施行の「改正資金決済法」により「仮想通貨⇔法定通貨」の交換事業を行うには金融庁への登録が必要になりました。
第一陣としてはビットフライヤーや”Zaif”のテックビューロなど16社が登録されました。
もっとも、施行前から営業していた取引所もあったので、金融庁に登録を申請していれば仮想通貨交換業者とみなし、登録はされていなくても営業はできる状態だったのです。
コインチェックはこの「みなし業者」にあたり、金融庁未登録でありながら、国内最大手として大手を振って営業できていたんですね。
小見出しでは闇取引所とかディスりましたが、ま、グレー取引所といったところでしょうか。
で、次に浮かんでくる疑問が「登録を申請してすぐOKになったトコもあんのに、なんでコインチェックはまだNGなの?」だと思います。
これは「コインチェックが国内最大の取引所」だということが逆にアダになっている点です。
コインチェックの取引量(金額)が多いことの最大の要因は、取引できる仮想通貨の種類が国内では最多だというストロングポイントがあることですが、しかし、そのなかに「Monero(モネロ)」、「Z(ジー)キャッシュ」、「ダッシュ」という3種類の匿名コインが入っており、これが金融庁から認可をもらう点でネックになっているのです。
ビットコインなど通常の仮想通貨はネット上に取引の履歴が残るのですが、匿名コインは誰が誰に送金したのかが分かりません。
第三者に取引内容が知られない利点がある半面、犯罪やテロなどの資金洗浄や税金逃れなどに悪用もされやすいんですね。
匿名コイン
(主なコイン)モネロ・Zキャッシュ・ダッシュ
(長所)コインの送り手・受け手が匿名なのでプライバシーを保護できる
(短所)資金洗浄や税金逃れに使われる恐れがある
非匿名コイン
(主なコイン)ビットコイン・イーサリアム・ネム
(長所)コインの送り手・受けてのアドレスがわかるので取引履歴を追跡できる
(短所)第三者に取引内容が知られてしまう
取引規模が大きいことがいいことではないことも
取引規模では仮想通貨業界最大手だったコインチェックですが、セキュリティ面ではいろいろと不備があったようです。
登録を受けた仮想通貨業者ではネットから隔離した「コールドウォレット」で顧客から預かった仮想通貨を管理していたのですが、コインチェックはネットワークに常時接続している「ホットウォレット」での管理でした。
記者会見で コインチェックの和田晃一良社長は「技術的な難しさと人材不足から対応できていなかった」と説明しています。
会社が急激に成長していく中で、直接儲けに貢献しない部門が後回しになってたっぽいですね。
要するに、単なる怠慢です。
加えて、仮想通貨には秘密鍵と呼ぶ暗証コードがあるのですが、単体ではハッキングの恐れがあるので「マルチシグ」という多重チェックシステムで厳重に管理していたのですが、コインチェックはその仕組みを採用していなかったようです。
事件後に多くの取引所から、自社のセキュリティシステムや今後の対策について、メールやホームページで報告されていますのが、総合するとビットフライヤーのセキュリティは信用しても良さそうです(いまのところ、ですが)。
追記:ZaifとGMOコインには2月8日、金融庁が立ち入り検査に入ったようです。
(参考:仮想通貨取引所GMOコイン、ザイフ運営会社に金融庁が立入検査)
また、これはコインチェックというか、仮想通貨業界全体の問題なのですが、多くの金融団体にある自主規制団体が存在せず(現在は、東西2つの団体がそれぞれ独立して存在している)、投資家保護の統一ルールを作りにくい状態なのです。
今回の問題をきっかけに、ビットフライヤー(東京・港)が中心の日本ブロックチェーン協会と、テックビューロ(大阪市)が中心の日本仮想通貨事業者協会が協議し、どちらかの団体に統一するのか、新たな団体を設立するのか議論が進展するでしょうが、いまのところ先行きは不透明です。
盗まれたNEMの保管口座は特定。でも取り戻せないその理由とは
ネムの管理・普及に関わる国際団体「NEM財団」は、コインチェックから盗まれたネムに「タグ」と呼ばれる目印をつけているので、盗難ネムが振り込まれた口座は、タグ検索をすればすぐに分かります。
口座が分かっても、ネムを保管しているのは正確には口座ではなく「ウォレット(財布)」なのです。
銀行口座などは身分を証明できるものがないと開設できませんが、ウォレットはリアルもデジタルなものも入手するのに本人確認は不要なのです。
ですから、盗難されたネムを保管するウォレットが分かっても、誰が持ち主なのかまでは分かりません。
仮想通貨の基礎をなす「ブロックチェーン」をNEM財団が書き換え、盗難ネムを強制的にコインチェックに返還することは技術的には可能だそうです。
ただNEM財団はブロックチェーンを書き換えない方針を明確に発表しています。
過去に「イーサリアム」がそれをやって「イーサリアム」と「イーサリアム・クラシック」に分裂したことがあるので、二の舞は避けたいようです。
その後、盗難ネムは世界中の40以上の口座に分散され、一部では換金された形跡もあるようです。(参考:盗んだ仮想通貨、NZで入出金 他の通貨との交換狙う?)
犯人が少額を時間をかけて換金すれば、身元が分かる可能性もあるとは言われていますが、さてどうでしょうか。
まとめ
仮想通貨業界、なかでもコインチェックのセキュリティはお粗末だったといわざるをえません。
しかし、急成長する業界に不備があるのはある意味仕方のないこと。
人間だって、はじめから大人だったわけではありません。
大人になる過程で様々な失敗を経験し、だんだんと成長していくのですから、誕生してからたかだか10年程度の業界に未熟な点があるのは当たり前です。
だからといって、収益優先の経営で利用者保護をおざなりにしたコインチェックの体制も仕方なかったことで済むわけはなく、ミスの償いはきっちりすべきです。
コインチェックは不正流出したネム、460億円分を自己資金を使って返金すると1月28日に表明しています。
「そんなにおカネ持ってんの?」と思われそうですが、たぶん持ってます。
コインチェックは顧客の買い注文に対しては自社で保有する仮想通貨を売り、売り注文には自己資金で買い向かうことの出来る「マーケットメーク方式」を採用しているからです。
FXの店頭取引みたいなものですね。
たとえば、新たな仮想通貨の取り扱いを始めるときに、事前に海外の業者などから安い価格で仕入れて「在庫」を積み上げておいて、価格が上昇すればその差分が儲けになります。
また、売り注文を受けても値が下がらないと予想するなら、買い取った仮想通貨を保有し続けて値上がり益を狙ってもOKです。
この点で、仮想通貨業者はそういった自己勘定でとれるリスク量の規制がなかったようです。
また、アルトコインの多くはユーザー同士の売り買いをマッチングして手数料を取る「取引所」ではなく、業者に注文を出す(値段は業者の言い値)「販売所」形式で扱っていました。
この手数料が結構なもので「高ぇよ・・・」と思っていたユーザーが多数でしょう。
コインチェックは扱っている仮想通貨の種類も豊富だったので、取引所での手数料収入もかなりあったと思われます。
参考までに、コインチェックの昨年12月のビットコインを取引額は3.2兆円でした。
関係者によると、その1%程が純利益だったらしいので、単純計算で12月だけでも320億円の利益があったことになります。
ビットコイン取引高はこちらを参照⇒Bticoin日本語情報サイト
と、いう理由で、カネは持っていると思います。
もっとも、それをどこまで使えるのか、使えるとして本当に使う気があるのかまでは分かりませんが。
金融庁がコインチェックに出した「業務改善命令」の回答日が来週火曜日(13日)
コメントを残す