Bit Point Japanから約30億円分の暗号資産が流出 顧客資産は保全されたが安全対策に課題

ビットポイントから漏洩したのはBTC, BCH, ETH、LTC、XRP(写真:ロイター/アフロ)

仮想通貨交換所ビットポイントジャパンから、7月11日深夜から12日未明にかけて、約30億円分の暗号資産が漏洩した。漏洩したのは同社が取り扱う全種類の暗号資産 Bitcoin、Bitcoin Cash、Ethereum、Litecoin、Ripple (XRP) の5銘柄。16日の記者会見での発表によると、今回流出した暗号資産が、同社が保有する預かり資産に占める比率は13%に留まり、全額が顧客に弁済されるという。

同社は2018年6月22日に関東財務局より業務改善命令を受けて、同年7月23日に業務改善計画を提出した。約1年後の先月28日に継続的な報告が終了したにも関わらず、その矢先の事故となった。昨年のコインチェック事件やザイフ事件と比べて、今回の事故をどのように評価すべきだろうか。

まず漏洩から間もなく監視で検知して、暗号資産の保全を試みた点、翌営業時間の早い段階でサービスの停止や事故のアナウンスを行った点は高く評価できる。コインチェックの事案では深夜の暗号資産漏洩から翌朝まで適切な対応が取られなかった。ザイフ事件では事故発生から公表まで4日間も要したことを踏まえれば大幅な改善といえる。また、XEM全額がホットウォレットに置かれていたコインチェック事件と比べれば、資産の大半がコールドウォレットに置かれ、被害に遭わずに済んだことも大幅な改善だ。今国会で成立した暗号資産法の施行は来春だが、おおむね新しい制度の想定の範囲内で、適切に顧客資産が保全されたと評価することができる。

一方で暗号資産の漏洩から早い段階でシステムの異常を検知したにも関わらず、暗号資産が数時間にわたって漏洩し続け、ホットウォレットに置かれていた資産の多くを保全できなかった点には疑問も残る。仮に記者会見で述べられていたように、ホットウォレットの秘密鍵が攻撃者に漏洩してしまった場合、システム全体をインターネットから遮断したとしても、暗号資産は漏洩し続ける。一方で暗号方式の異なる全ての取扱銘柄が一様に漏洩しているところを見ると、秘密鍵の漏洩だけでなくAPIアクセス権限を窃取された可能性も考慮する必要がありそうだ。漏洩事故発生時の対応を適切にマニュアル化できていたのか、迅速に止血する方法として適切だったのかは気になるところだ。

同社は業界に先駆けて情報セキュリティマネジメントシステム (ISMS) を構築し、ホワイトハッカーによる定期的な点検や、監査法人による定期的な外部システム監査を実施するなど、登録交換業者の中でもセキュリティー対策に熱心であることを売りにしてきた。いち早く業務改善命令による継続的な報告が終了したことは、その取り組みを金融庁が評価してきた証左ともいえる。にも関わらず大規模な暗号資産の漏洩が発生したことは、現状の安全対策ではホットウォレット上の暗号資産を防御する上で必ずしも十分ではないことを示唆している。

これまで日本ではマウントゴックス、コインチェック、ザイフと世界でも類を見ないほど多くの暗号資産漏洩事案に直面してきたが、いずれも不正アクセスした犯人は逮捕されておらず、その不正アクセスの手口は公表されていない。ビットポイントジャパンが仮に世間的に一般的な情報セキュリティ対策を一通り実施していたとして、過去の暗号資産漏洩事案を十分に教訓としてきたかというと、その環境は整っていなかったことが現実だ。

交換業者のシステムに対する攻撃手法を明らかにすることは、ともすれば不正アクセスを助長しかねない上に、犯人のみが知り得る情報ではなくなることによって事件の立件が難しくなることも懸念される。一方でこれだけ立て続けに事件が起こったにも関わらず、それらを教訓に他の仮想通貨交換業者が適切な対策を取れないままでは今後も似たような事件が続くことが懸念される。

ホットウォレット上の暗号資産を安全に管理できるとは限らない現実を受け止めた上で、新たに整備された制度を通じて適切に投資家保護を図るとともに、これまでの漏洩事故を教訓とした適切な安全対策を横展開できるよう、金融当局と捜査当局、業界各社の間で連携して、これまでの事件を教訓としたセキュリティー対策の底上げを図れるようになることに期待したい。