コインチェック巨額流出問題で語られていない問題

コインチェック巨額流出問題で語られていない問題

2018年1月26日に発覚したコインチェックからの仮想通貨巨額流出事件。被害額は580億円以上となり、過去最大の被害額となりました。

2017年は、日本でも仮想通貨元年なんて呼ばれたりして、今まで見向きもしなかった人が仮想通貨に熱くなったこともあるでしょう。一瞬にして億単位の資産に増えてしまった人もいるらしいとも聞きます。

コインチェックは、日本にある仮想通貨取引所の中で、最大の取引高を誇り、他の取引所よりもはるかにシェアを取っていたということなんで、被害額が巨額になったのにも納得です。

まあ、そんなこんなでしたが、事件の内容や、その後の一連の議論や問題点の指摘を記事なんかで読んでまして、なんとなく腑に落ちない点があります。

その点について、ちょっと書いてみようと思います。

いまさらおさらい・コインチェック流出事件

仮想通貨ってホントはよく分かんないって人も分かるようにおさらいしてみましょう。

自分も「こういうことかな」という理解なんで、もし間違いがあったらご連絡ください。

仮想通貨取引所とは

そもそも仮想通貨は、所有者間での直接交換をすることができるものです。仮想通貨で支払いができたり、仮想通貨を受け取ったりできますよね。また、新しく仮想通貨を欲しい人も出てきます。世界中の仮想通貨を持っている人を探して「売ってください」って訳にもいきませんので、売りたい人と買いたい人をマッチングしてくれる「取引所」が必要なんです。

世界中にたくさんの仮想通貨取引所があり、過去にやはり巨額流出事件を起こして破産したマウントゴックスもその一つ。

コインチェックは、日本最大の仮想通貨取引所でした。

何が起こったのか簡単にまとめると

仮想通貨は、実態のないお金。つまり、デジタルで台帳管理をしているわけです。

仮想通貨にもいろいろと種類があり、皆さん一番知っているのはビットコイン(Bitcoin)かと思いますが、それ以外にもアルトコインと呼ばれるビットコイン以外の仮想通貨があり、今のところ全部で1000種類ほどもある、と言われてます。

今回流出したNEMもアルトコインの1種で、そのNEMを保管していたコインチェック取引所のサーバーから、外部からの不正アクセスによって一斉に引き出されてしまったということ。

ハッキングされちゃった訳ですね。最近、犯人は「北朝鮮じゃないか?」と言われてますが。

いきなりNEMの保有残高がガクっと下がって、システムがアラートでも出したんでしょうね。それで発覚したわけです。

原因は何だと言われているのか?

よく言われている原因は大きく二つあって、

  • ホットウォレット管理だったからダメなんだよ
  • マルチシグじゃなかったからダメなんだよ

と言われてます。

なんでホットウォレットにしていたの?

ホットウォレットは、オンラインってことで、ネット接続しっぱなしということです。これに対して、コールドウォレットというオフライン管理の方法もあります。

ホットウォレットはネット接続しっぱなし、つまり、常にハッキングの脅威にさらされています。だから、本当ならコールドウォレットでオフライン管理しておいた方が安全です。

誰もがそれは分かっているけれど、なんでホットウォレットにしていたのかというと、その方が便利だから。

コインチェックは、アルトコインの取扱い種類が多いことで有名で、ユーザー数を大きく伸ばしました。

実際の通貨で考えてみると分かるのですが、お金を円からドルに、ドルからユーロに換えたりして、為替差益をとるFX投資がありますよね。仮想通貨もそれと同じで、仮想通貨も変動交換レートがあるので、交換して差益を狙う人も増えてきています。

そうすると、チャートを見ながら、売りとか買いをしますよね。その時に、オフライン管理のコールドウォレットだったら、いちいちトレードしようとする度に、トレード用のウォレットに入金してとかいう面倒なことをしなくちゃならないわけで、不便ですよ。だから、オンライン管理でいいや、って感じだったんだと思われます。

マルチシグってなに?

マルチシグは、複数の秘密鍵方式のこと。

イメージとしては、サーバーのドアを開けるのに、鍵が何個も必要で、そのカギがそれぞれ他のサーバーにある感じです。だから、悪いことをしようとしてそのサーバーのドアを開けようと思ったら、すべての秘密鍵のあるサーバーを一個ずつハッキングしなくちゃいけないので、よりセキュリティが強固だよ、ということですね。

今回流出しちゃったNEMの大元の台帳管理をしているNEM財団っていうところが、このマルチシグを推奨していたんですが、ところがこれをコインチェックがやってなかったもので、世間の批判というか、だからダメなんだよと言われてしまいました。

コールドウォレットとかマルチシグにしていたら事件は起きなかったのか?

コールドウォレットにしていたからと言って、ハッキングの脅威から100%安全とは言い切れません。

なぜなら、デジタルデータはUSBメモリなんかで持ち出せるからです。そうは言っても、それをするためには内部に実行犯がいるか、外部からスパイばりの侵入をしてメモリをコピーするなんてことが必要なので、イーサン・ハントくらいしかできないんじゃないの?とは思いますけど。

また、マルチシグ対応していたら、確かにハッキングは難しくなりますが、理論上は可能です。例えば、複数の秘密鍵を管理しているサーバーのセキュリティ管理がずさんなら、マルチシグの意味がないということもあります。

この様に、いくらセキュリティ対策をしても「絶対安全」ということは、「絶対に言えない」ってことは事実です。

とは言え、仮にコインチェックがこの二つのセキュリティ対策を導入していたら、悪意のある人にとってラッキーな事象が重ならない限り、ここまで巨額の流出事件にはならなかったとは思います。

疑問:コインチェックが全面的に悪いの?仮想通貨が危険っていう意見はホントなの?

この事件以降、報道なんかを見ていると、

  • コインチェックがホットウォレットにしてるのが悪い
  • 仮想通貨ってやっぱ危ないんですよ

という感じの意見が聞かれます。

果たしてこれらはホントなんでしょうか?

コインチェックがホットウォレットにしていたのが悪いの?

確かに、コールドウォレットにしていたら、ここまでの被害はでなかったかもしれません。

ですけどね、それ以前に、コインチェックのような、ぽっと出の兄ちゃんたちがやってる金融知識なしのベンチャー取引所に巨額資金が集まっていたということの方が問題じゃないかと思います。

この事件で驚いたのは、創業してからたった数年の会社のサービスに、数百億もの巨額マネーが集まっていたということ。NEMだけでこの額なので、すべての預かり仮想通貨だといくら分なんでしょうか???(実際には預かっているのは仮想通貨なので、資産額と言うべきかもしれませんが)

さらに、こうした国内の仮想通貨取引所の管理は、国としてはまだ整備されていなかったということも分かり、これほどの巨大マーケットなのに金融庁は何してんのよ、と思うわけです。

だって、巨額の日本円が流出したってことですよ。外貨獲得したいはずなのに、意図も簡単に出ていっちゃった。

確かに、仮想通貨は金融商品とはされていないので、今は金融庁の管轄外なのかもしれないのですが、それにしても対応遅すぎます。せめて、金融庁が動向を監視するために、取引所の管理とか、保全状況の確認とか、セキュリティ対策状況の把握とか、しておかないとまずいんじゃないかな、と思います。

と言うことで、現段階では、あくまでも投資家の自己責任においてそのマーケットに入ってく必要があります。自己責任なんで、万が一のリスクは自分で理解できないといけないし、それを調べる能力も必要になってきますが、そういう心構えのできている日本人は少ないっていうのも問題なんだと思います。

仮想通貨ってやっぱ危ないんですよってホントに?

こればっかりは、嘘くさいなーって、かなり疑問に思っています。

なぜ疑問に思うのかというと、ネットバンキングとかオンラインFXトレードとかとの違いを誰も教えてくれないからです。ネットでざっと調べても、語っている人は見かけませんでした。

オンラインバンキングとか、オンライントレードをしたことがある人なら分かると思うんですが、拠出金を常に取引所に置いてありますよね。そして、そこからトレードをします。これってオンラインじゃないの?

でも、セキュリティ対策できてそうですよね?だって、FX口座とかネットバンキングの口座から巨額の資金が流出したという話は聞いたことがありません。

何が違うんだろうか、と。

それなのに、「仮想通貨ヤバい」と言ってしまうと、その時点で日本人の思考としては、それ以上投資について学ぶ意識をストップさせてしまいます。これでは、事例や経験から学んで賢くなることはできませんね。

本当のリスクを考えてみる

仮想通貨が危ないというのではなく、

仮想通貨はまだ未熟なマーケットだからその管理にリスクがあるということを分からないくせに大きな資金を投資してしまう素人さんが多すぎる

ということが本当のリスクなんじゃないかと。

日本人は投資に疎いのも危険とも言えますね。投資慣れしていないので、リスクをチェックすることができないんです。

男慣れしていない若い女性が、悪い男に騙されやすい、そんな構図に似てますよね。やっぱほどほどに経験をつまないと、見る目は養われないってわけで。

まとめ

本質的には、個々に投資のリスク、セキュリティのリスクについて知識を持っていくことが必要、というすっごく基本的なことを改めて感じました。

IOTとか言われて久しくなってきましたが、そろそろITとセットでセキュリティリスクについて、広く正しく教える必要があると思う。子供の教育課程にも、入れておいた方がいいんじゃないの?とも思うわけです。

すぐに「〇〇は危ない」と言って知識を得る機会を奪っていては、国民は賢くなれませんよね。