NEM(ネム)流出?コインチェック問題を解説!犯人は?補償金は?盗まれたNEMの行方を追う!

アヤネ
こんにちは!fincle専属ライターのアヤネです

*以前の記事でNEMについての記事を書きましたが、今回はその時触れられなかったNEMの流出についてまとめていこうと思います。

この問題に関しては2018年始まってそうそう大きな話題になったので記憶に新しいでしょう。幸か不幸か、この事件をきっかけに仮想通貨という言葉がまた一段と口の端に上るようになった気がしますね。

アヤネ
炎上芸人の手法に図らずも似てしまったっていう感じね

では時系列を追いながらこの事件を紐解いていくことにしましょう。

*噂のNEM(ネム)とは?メリット・デメリット・Catapultについて簡単に解説!

*ちなみにNEMというのはプラットフォームまたは企業名、XEMはそのコインと考えるとよい

アヤネ
日本という国家が使っているコインは円というのと同じ感じだね

コインチェックとは

まずはコインチェックとはどのような会社であるのかについてみていきましょう。

コインチェックの設立は、2012年8月28日で社員数は105名。社長は和田晃一郎氏。彼は東京工業大学出身で在学中にレジュプレス(現コインチェック)を創業。大学は中退しています。コインチェックサービスを始めたのは2014年8月のようですね。

取り扱いコインは、BTC・ETH・ETC・LSK・FCT・XRP・XEM・LTC・BCHと日本国内の取引所の中では多く、2017年の時点ではビットコインの取引高が日本一でした。

コインチェックの社員は執筆活動をしている方もいて、仮想通貨に関する非常にわかりやすい本も書いていたりします。

仮想通貨を始める方が最初に開設することの多い取引所であったようですね。

ただし、金融庁にはセキュリティー対策がいまいちであるとして認可されていません。

アヤネ
とても人気のある取引所だったんだね

コインチェック問題の流れ

最初にコインチェック問題の大まかな流れを確認していきましょう。

1月26日 異常事態発生。入金・売買の中止。夜には緊急会見。

1月27日 コインチェックペイメントの一部機能停止

1月28日 不正流出したXEMの補償を発表

3月12日 補償開始

4月6日 補償金の支払い完了

1月26日

2018年1月26日。お正月が終わり、ようやく体が通常モードに戻ったころに事件は起こりました。

ちょうど正午ごろ。コインチェックから利用者あてに送られてくるメールや公式Twitterで以下のような通知がありました。

突然のNEMの入金制限です。コインチェックの利用者、特にNEMの保有者は事態が呑み込めません。「一体全体なにが起こってるの?」となっている中さらにツイートは続きます。

13時ごろのツイートです。NEMの売買が一時停止に。「詳細は分かり次第お伝えする」とのこと。不安の波は広がっていきます。

そして16時半ごろ。コインチェックで扱っている通貨すべての出金が停止されました。

さらに19時頃。クレジットカード・ペイジー・コンビニ入金が一時停止に。

その後も次々とサービスが一時停止に。

ハッキングが発覚

ついにコインチェックはハッキングされたということが明らかになりました。ハッキングが発覚以降コインチェックはこのようなツイートをしています。

このコインチェックが書いている記事の内容については、のちに詳しく見ていくので今は時系列を追うことに専念します。

コインチェックが公式に発表する前にほかの方がハッキングの可能性を指摘し、ネット上は大荒れに。コイチェックの前には報道陣や利用者が殺到する騒ぎになってしまったようです。

そんな中コインチェックは会見を行うことに決めました。

1月26日夜 コインチェックの緊急会見

コインチェックは1月26日、緊急会見を行いました。1時間強にわたる会見でした。会社の基盤自体が甘かったというような印象を抱かせる会見の内容でしたね。会見をご覧になりたい方は次のURLをクリックしてください。約580億円不正流出 コインチェック会見ノーカット(18/01/27)

1月27日

コインチェックペイメントの一部機能停止

1月28日 補償を発表

1月28日には不正送金されたNEMの補償を発表しました。NEMの保有者全員に、時期は未定だが、日本円でコインチェックウォレットに返金するというもの。

補償金額はなんと約460億円にまでのぼるそう。しかもこの金額を自己資産(コインチェックの資産)だけで返済できるということでした。どれだけ儲かっていたのでしょうか。

アヤネ
取引所って儲かるんだね

コインチェックハッキングの原因

ではここからはハッキングが起こった原因についてみていきたいと思います。会見での触れられていましたが主な原因は、ホットウォレットでユーザーのお金を管理していたことです。もう一つの原因としてあげられるものは、マルチシグを実装していなかった、ということです。

アヤネ
ホットウォレット?マルチシグ?

詳しいウォレットについての解説はこちらの記事から→仮想通貨のウォレットとは?一覧やおすすめのウォレットなど徹底解説!

ホットウォレットとは?

ウォレットというのは通貨(例えばビットコイン)を保管しておく場所のことを指します。ウォレットは個人でも所有しているのですが、頻繁に取引をする人はいちいち自分のウォレットから取引所に送金していたのでは手数料がばかになりません。ですので、企業もウォレットを持っていて顧客から預かっているお金をそこで保管・管理しています。

ウォレットにはいくつか種類があるのですが、大別すると2つのタイプ(ホットウォレットとコールドウォレット)に分けることができます。

まずはホットウォレットという言葉について簡単に説明して起きましょう。ホットウォレットというのは、オンラインで通貨を保存しておくことです。オンラインで管理しているということは、常にネットにつながっている状態。ハッキングされる可能性もあるということです。

それに対してコールドウォレットは、通貨をオフラインで管理するものです。オフラインで管理するということはホットウォレットと対極的で、ハッキングのおそれがほぼないということを意味します。

したがって、顧客の通貨を大量に保有している取引所はコールドウォレットで管理してるのが普通のはずです。しかし、コインチェックは技術的な難しさと人材不足からホットウォレットで大量の通貨を管理していました。

アヤネ
そんな言い訳が通ってしまうのか、、、

公開鍵と秘密鍵

マルチシグを説明する前に『鍵』という概念について説明して起きましょう。

まず、仮想通貨というのは一般的に『鍵』というものを使って暗号化しています。『鍵』というのは2つで1ペアという成り立ちになっていて、片方の鍵を使って送金データを暗号化し、もう片方の鍵を使って暗号を復元するものです。

暗号化する方法は2つあります。

1つ目の方法はデータを受け取る人(お金を受け取る側)が鍵を生成する方法。データを受け取る側が鍵を作成するということがミソです。

受け取る側は「暗号化に使う鍵」(公開鍵)と「暗号の復号に使う鍵」(秘密鍵)を用意し、「暗号化に使う鍵」だけを公開します。(ゆえに公開鍵という)

データを送る人はこの「公開鍵」を使用して送りたいデータを暗号化して送ります。受け取る側は「秘密鍵」を使って復号します。(受け取る側しか知らないので秘密鍵という)これで取引は終了です。

アヤネ
そんな大事な鍵を公開しちゃって大丈夫なの?

と心配になるかもしれませんが、たとえデータが送信中に盗まれてしまったとしても秘密鍵がないので暗号を復元化することはできないのです。

アヤネ
なるほどね、かしこいな。

2つ目の方法は、送金する側が鍵を生成する方法。送金側は初めに2つの鍵(公開鍵と秘密鍵)を作ります。送金する側は暗号鍵を使ってデータを暗号化し、公開鍵とともにデータを送信します。受け取る側は、公開鍵を使って暗号を復号します。これで取引は終了です。

アヤネ
えええっ!データ簡単にぬすまれちゃうよね?

データは盗もうと思えば簡単に盗めてしまうのですが、この方法は「電子署名式」と呼ばれるもので、送ってきた人がデータを作った本人かどうかを確認できればよいのです。もし送付されている公開鍵で暗号を復号できるのであれば、これは秘密鍵で作られたものであるということが証明できます。そうすれば、送信者は特定できますね。これでよいのです。

アヤネ
なるほどね。そういうものなのね。

蛇足ですが、従来の暗号化のシステムも2つの鍵を使っています。しかし、2つの鍵が全く同じものであったのでその鍵を盗まれてしまったら暗号の意味は皆無になっていました。2つの違う鍵を使うというところにポイントがあるのですね。

マルチシグとは

では本題に戻ります。マルチシグというのはマルチという言葉からも分かる通り、複数ということを意味する言葉です。

では何がマルチなのかというと、秘密鍵がマルチ、つまり複数個あるということです。秘密鍵が1つの場合は、1つの端末に依存してしまうということを意味します。一方で、複数個の場合は1つの端末に複数個存在するのではなくて、いくつかの端末に分散して管理するので、もしかりに1つの端末がハッキングされてしまったとしても、ハッカーは同時に複数の端末も攻撃しないと通貨を盗むことはできないということになります。

したがってマルチシグのほうが安全であるといえます。しかし、このシステムもコインチェックは使用していませんでした。NEM財団のマルチシグを実装すべきであるという警告も無視していたようです。

ハッキングの詳細

次にハッキングの詳細を確認していきましょう。

一定期間にあるひとつアカウントに大量のXEM(約5,4億XEM、日本円にして約620億以上)が送金されていました。

アヤネ
え、、すごい大金。多すぎてどのくらいのお金なのかよくわからないけど、アメリカの大統領選挙やエリザベス女王の資産と同じくらいみたいだね。(いや、それもよくわからんし、すごい金使って選挙行ってるんだな。)

しかし、コインチェックはこの状態に8時間も気づかなかったようです。

アヤネ
えーそんなことあるんだ、、、

コインチェックの対応―補償

一連の流れがわかったところで気になるコインチェックの対応を見ていきましょう。先ほども述べましたが、NEMの保有者に全額返済するということをコインチェックは発表しました。

4月6日の時点で全額返済が完了したようです。580億が流出しましたが、その後NEMの価値が下落したこともあり補償額は460億円にとどまったようです。

アヤネ
それにしても460億円、、、。27歳社長それを返せたと思うとなんだか次元が違うような気がする

全額補償できたわけ

それにしても460億円なんて金額どこから出てきたのでしょうか?2012年の創業で普通に商売しているだけで稼げる量のお金なのでしょうか?

周知のこととは思いますが、基本的に取引所には板取引と一般的に簡易取引と呼ばれているものが混在します。

板取引は皆さんが想像しているような仮想通貨の取引のことで、ユーザー同士の取引のことです。

一方簡易取引のほうはというと、取引所から直接コインを買うことを指します。

ではなぜ2つの事業を取引所は行っているのでしょうか?

それは板取引では巨額の利益を生み出すことが不可能であるからなのです。板取引を行うために、ユーザーは手数料を支払います。

アヤネ
ATMからお金を降ろすときにも手数料とられるもんね

この手数料で儲けているのですが、手数料なんてそんな高いものではありません。ATMでとられる手数料でさえ、たかだか100円から200円くらいですよね。

したがって会社としては、手数料だけでは儲けがあまりないので不満なわけです。

そこでお金を儲けるために行っているもう一つの事業が簡易取引なのです。

簡易取引を行うために、会社はまず大量に当該コインを買い込みます。先ほどの例でいうとオサムに当たります。想像にたやすいとは思いますが、大量に・まとめて購入すればお得になります。

アヤネ
ドン・キホーテとかコストコの要領だね

取引所は当該コインを(ここでいうオサムを)大量に買い込み、それを顧客(ユーザー)に小分けにして少し(?)割高(ここが重要!)に売りさばきます。

これで利益をあげているのです。

アヤネ
日本一の取引高を誇っていたこともあるし、コイン取り扱い量も国内では多いほうであるコイチェックはこの方法で大儲けしてたのか

ただこれは、忌避することではなくてユーザーにとってもいいことなのです。何がいいのかというと、仮想通貨取引を始めたばかりにユーザーにとって、まずは販売所に登録してコインを買い、今度はそれを取引するために取引所に登録するという一連の流れは煩雑だと思いませんか?

コインの取引を簡単に行えるようにしたのが簡易取引なのです。

アヤネ
現代人はみんなすぐ面倒くさいことをお金で解決しようとするよね(私も含めて)

仮想通貨取引を始める取っ掛かりとしては非常に良いシステムですよね。

このようにして買ったコインもいずれ値上がりするかもしれませんし、必ずしもマイナスになるわけではないので簡易取引で買ってみるのもいい手かもしれないですよ。

ちなみにもう少しだけ詳しく板取引と簡易取引のメリット・デメリットを説明している記事があるので参考までにURLを張っておきます。

bitbank(ビットバンク)の登録方法・メリット、デメリットをご紹介!板取引・スプレッドとは?

XEMの行方―ホワイトハッカー

では最後に盗まれたXEMの行方を追っていきましょう。

盗まれたXEMはホワイトハッカー(ITに詳しく、その知識をよいことに役立てている人)によって追跡中のようです。このホワイトハッカーはNEMコミュニティーの日本人開発者らしいですね。

彼(彼女?)はNEMのモザイクという仕組みを用いて犯人のアドレス(仮想通貨の送受信に使うアドレス)をたどり、犯人の財布にマーキング(印をつける)し、追尾を行っています。

ここで役に立つのがブロックチェーンという仕組みですね。ブロックチェーン上には取引のすべての情報が記録されていて、また全世界に公開されています。しかも、ブロックチェーンはDAppsという仕組みを用いているので、ある取引を1つのブロックに記録するだけではなくいくつかのブロックに記録しています。

したがって犯人が逃げ切るためにはすべてのブロックの記録を書き換えるしかないのですが、これは実質不可能です。

詳しい理由はこちらをご参照ください。
どこよりもわかりやすくビットコインを説明!ブロックチェーンやP2Pなどの仕組みをご紹介!

ただ、犯人の財布にはマーキングしてあるので取引を行うときにその財布から取り出せば、犯人であることがわかります。世界中の人はXEMを盗んだ人だとわかるのでその人とは取引を行いません。

つまり盗んだXEMを使うことはできないはずでした。

アヤネ
はずでした?

そう実はこの話のオチは今皆さんが想像していたようなものではないのです。

アヤネ
というと?

実はこの盗まれたXEMはダークサイトという闇取引を追かなっている闇サイトを経由して日本の仮想通貨取引所であるZaifに送金されているかもしれないという情報が広がっているのです。

闇サイトは極めて匿名性が高いサイトであり、さらに犯人は複数の取引所をうまく利用することによって財布にあった刻印を消すことに成功してしまったのです。

この時点でいっきに、XEMを取り返せる可能性は限りなく0に近くなり、さらに3月下旬のあたりでXEMの追跡は打ち切りになってしまいました。

明確な理由は発表されていなかったようですが、複数の専門家はこれ以上追うことが不可能であることが明確になったためではないか、という見解を出しているようです。

アヤネ
烙印が消えちゃったら不可能よね。ただあれだけハッキングへの対策をうたっていただけに追跡不可能でした、なんて簡単によね、もし自分なら。

NEMの安全性

「ここまで見てくるとXEMのセキュリティー大丈夫なの?」という疑問が浮かんできますね。

NEMのセキュリティー対策はほかの仮想通貨の中でもかなり高いほうで、問題であったのは取引所の安全対策だといえます。

ただそんなXEMですが、法律にも抜け道はたくさんあるように専門家から見れば抜け道が存在していたということなのでしょう。

しかし、これに関しては取引所が安全対策をするよりほかなさそうです。コインチェック事件が起こってしまった一番の原因は、顧客のコインをホットウォレットに保管していたことであるので。

冒頭でも申し上げた通り、コインチェックは金融庁には認可されていませんでした。我々ユーザーにとっても、国に認可されているのかという点を視野に入れなければならない、という良い教訓になりました。

アヤネ
私たちって食べ物の原産地は気にするけど、仮想通貨も同じってことだね

最後に

いかがでしたでしょうか。今回はコインチェック問題について詳しく見てみました。私自身、よく耳にした事件ではあったものの、何となくしかわかっていない部分が多かったということに気づかされました。

アヤネ
自分に直接関係がないものだとどうしてもなおざりな感じになってしまうのよね。まあ岡目八目ともいうから、傍観者のほうがよくわかることもあるのかもしれないけど。

仮想通貨には事件がつきものであるという印象が強いように思えてしまうかもしれませんが、どの業界にもあまり騒がれてはいなくとも問題は山積しています。ですから、あまり取り上げられてない問題のことも考えると仮想通貨はそんなに悪いものではないことも見えてはくるのではないでしょうか。

長くなってしまいましたが今回はここで終わります。

アヤネ
以上、アヤネがお届けしました。