コインチェック(Coincheck)ハッキング騒動影響まとめ(仮想通貨NEM不正引き出し)② 交換業登録、保証他

 マウントゴックスのような黎明期の取引所ではそうした(データ管理、チェックシステムなどの)社内の運用ルールや体制ができていなかったのではないでしょうか。取引所のシステムにバグがあり、運用ルールも未整備だったために不幸にもビットコインが消えてなくなる(盗まれる?)という事件が起きたのです。

(「いまさら聞けないビットコインとブロックチェーン」コインチェック共同創業者兼COO大塚雄介著 より引用)

先に申し上げますと盗んだ人が悪いに決まっています。

しかしながら色々調べてみるにつけて自信をもって上記のことを書かれている割には

管理体制等が甘かったのでは?と考えてしまいます。

今回そのあたりをまとめます。

 

事件の発生原因について

サービスの安全性

coincheckでは、システムの安定性、セキュリティ認証強化や短時間でスムーズな取引を保証する堅固なサービスを持って、お客様に安心してビットコインを扱える環境を整えています。

 (コインチェックHPより)

現在のHPからの引用です。なんともお寒い言葉になってしまいました。

原因は現時点では不明とのことだが、推測されているのは二つ

①コールドウォレットではなく、ホットウォレットで管理していた。

通常取引所などでは「ホットウォレット」(ネットワークに接続されたウォレット)に顧客の預かり資産を入れておくと危ないので、「コールドウォレット」と呼ばれるインターネットから秘密鍵を物理的に隔離した環境に流動しない分を保管しています。

今回それが出来ていなかったようです。どうやら仮想通貨NEMの特性上、

オフライン(で保管)にするには技術的な難しさがあった模様です  

 

コールドウォレットによるビットコインの管理

当時、Mt.GOX(マウントゴックス)のコールドウォレットの管理は完全なオフライン状態で行われていなかったため、安全性が確保されていませんでした。

coincheckでは、お客様からの預り金の内、流動しない分に関しては安全に保管するために、秘密鍵をインターネットから完全に物理的に隔離された状態で保管しています。(コインチェックHPより)

 これが守れてなかったということですね。

 

②マルチシグ(仮想通貨の秘密鍵を分割し複数管理することでセキュリティを高める技術)の未実装

ロードマップと呼ばれる計画表にはあったが未実施であったとのこと。

ベンチャー企業で人材が不足していたことを加味してもあんだけバンバン

CM打てるくらいならそっち先だろと言ってしまいたくもなりますね。

最悪対応できないなら顧客保護の観点からそもそもその通貨を取り扱わない

という選択もできたはず。

 

仮想通貨交換業登録について

資金を移動させる業者について規定する法律、改正資金決済法の施行により、

平成29年4月より仮想通貨交換業者は登録制になりました。

ただ登録があるからと言って、金融庁が大丈夫と太鼓判を押したわけではなく、

ペイオフのように元本を一部でも保障してくれるわけでもありません。

あくまで免許のような規制という位置づけのようです。

 

「仮想通貨交換業」は、内閣総理大臣の登録を受けた者(仮想通貨交換業者)でなければ、行うことは許されず(改正資金決済法63条の2)

登録なしで「仮想通貨交換業」を行ったものには、「3年以下の懲役もしくは300万円以下の罰金に処し、またはこれを併科する」

ことになるとのこと(改正資金決済法107条5号)

金融庁「仮想通貨交換業者登録一覧」

http://www.fsa.go.jp/menkyo/menkyoj/kasoutuka.pdf#search=%27%E4%BB%AE%E6%83%B3%E9%80%9A%E8%B2%A8%E4%BA%A4%E6%8F%9B%E6%A5%AD%27

 

しかし同じ大手取引所であるbitflyerやZaifはさっさと登録を終えているのに対して、

コインチェックが登録を終えていないのは仲間内では謎でした。

理由としては取り扱い通貨が多い為、承認に時間がかかっているのでは?

という説が有力でした

内閣府令で定めるところにより、次に掲げる事項を記載した登録申請書を

内閣総理大臣に提出しなければならない。

取り扱う仮想通貨の名称(改正資金決済法第63条の3)

しかしZaif(運営:テックビューロ株式会社)も取り扱い申請通貨数では

かなり多いほうだった(15種類)のに登録をすんなり終えてたので、

コインチェック個別の事情でしょうか。

審査では内部管理体制の整備や、財産的基礎の有無など厳しく見られているようです。

 

現状のコインチェックの交換業者のステータスとしては、関東財務局に登録を

申請中だが、まだ審査を通っておらず、「みなし業者」の立場ということ。

みなし業者とは??

この法律の施行の際、現に仮想通貨交換業を行っている者は、施行日から起算して6月間、当該仮想通貨交換業を行うことができる。その者がその期間内に同条の登録の申請をした場合において、その期間を経過したときは、その申請について登録又は登録の拒否の処分があるまでの間も同様とする。

前項の規定により仮想通貨交換業を行うことができる場合においては、その者を仮想通貨交換業者とみなして、新資金決済法の規定を適用する。

(改正資金決済法附則第8条一部略)

 法律には詳しくないのであくまで個人的解釈ですが、

法律が4月施行で6か月経過しているが、申請中のなのでその沙汰が出るまでは、

みなしとして営業OKとのことなのでしょうか。

よく考えたらいつ申請却下になるかもしれず、取引所運営状態として、

非常に危うかったのではないか今にして思います。

 

今後の保証について

 明確な被害や原因、財務情報などが出てこない限りは何とも言えませんが、

被害額が巨額な為、一企業では持ちこたえられないのではと。

 

NEMやBitcoinをはじめとする仮想通貨ではブロックチェーンという技術を使って

取引データを管理しているものが多いのですが、

ブロックチェーンにはハードフォークという禁じ手があります。

すごく簡単に申し上げますと取引自体を無かったことにする。という処理になります。

 

ブロックチェーンはざっくり説明すると

時間が経過するとページ(取引記録)が積みあがる帳簿のようなものなので、

利用者の同意が取れたら積みあがったページのうち不正取引があったページを外して

無かったことにしてしまうことができるのです。

 

もちろんそんなことが頻繁に行われたらいつ取引が無効にされるかわからず

安心して取引できたものではないので通常禁止されています。

 

かつてEthereumという現在時価総額がビットコインについで多い仮想通貨で、

同様に巨額詐欺事件があった際、利用者保護の為、

開発者によってハードフォークが行われました(2016 年6月 The DAO)

 

今回ももしハードフォークすれば利用者保護は図られるものと思われますが、

開発側のNEM財団のLon Wong氏はハードフォークの対応を否定しています

あくまで一取引所のシステムの問題を通貨が補填はしないということでしょう。

通貨の信任にも関わる問題ですからやむをえないと思います。

 

ともかく詳細情報が待たれるところです。