仮想通貨交換所「ビットポイント」で暗号資産35億円相当のハッキング被害が発生

(写真:アフロ)

 リミックスポイント社(東証二部上場)は、傘下子会社である株式会社ビットポイントジャパンが運営する仮想通貨交換所「BITPoint」にて、暗号資産の不正な流出があり、被害額は35億円相当になると発表しました。

仮想通貨取引所のビットポイント、全サービスを停止(ロイター 19/7/12)

当社子会社における仮想通貨の不正流出に関するお知らせとお詫び(第一報)(リミックスポイント 19/7/12)

 ところが、魔の悪いことに金融庁は昨年2018年6月22日付でビットポイントジャパンに業務改善命令の報告義務を課していたものが、ちょうど一年経過した先月2019年6月28日に報告義務を解除しています。

2018年6月22日付業務改善命令の報告義務解除について(ビットポイントジャパン 19/6/28)

 さらにややこしいことに、情報セキュリティ格付会社であるアイ・エス・レーティング社から、ビットポイントジャパンはセキュリティの堅牢さにおいて上から3番目の「A」判定を得ていました。これは中堅証券会社など金融を扱う会社では標準的なセキュリティであると評されるものであり、顧客の暗号資産漏洩で問題となったコインチェック社(現在はマネックス証券が業務を引継ぎ)、Zaifの旧テックビューロ社(現在はフィスコ社が業務を引継ぎ)と事件が立て続けに起こったことから、かなりリミックスポイント社もセキュリティには気を遣っていたように見受けられます。

情報セキュリティ格付け「A」の取得のお知らせ(ビットポイントジャパン 18/10/11)

格付取得企業・団体一覧(アイ・エス・レーティング)

保有する情報資産の重要度に応じた格付想定水準(アイ・エス・レーティング)

 今回、ビットポイントジャパン社から流出した暗号資産については、その攻撃による流出先について個別具体的な情報はまだ開示されておらず、金融庁も今日早々に資金決済法に基づく報告命令を出すと報じられています。しかしながら、今回の漏洩についてはコインチェック社の事例などに比べて対処が早かったとはいえ、事件発生から取引全サービスの停止までに12時間ほどが経過しており、また、出て行ったリップルほか5種類の暗号資産については流出先の足取りの概要が公表されていません。もちろん、ハッキングにより暗号資産が流出したわけですから本件は犯罪である可能性が高いので、思惑や隠蔽を怖れて概要を公表するのは控えることになるのでしょうが、異常検知から不正な流出まで30分ほど、またリップル以外の暗号資産の流出が確認されるまで約3時間となっているため、ひょっとすると、状況の確認と経営判断を優先して、暗号資産の流出先のトレースは何らかの事情で後回しになってしまい、対策が遅れたことはあるかもしれません。見る限り、リミックスポイント社やビットポイントジャパン社が最善の手配をしていた割に、結果が最悪に近い状況であるホットウォレットから顧客資産25億円相当を含む35億円相当の暗号資産が流出するというのはちょっと気になります。

2. 経緯

今回発生した事実とその対応につきましては、以下のとおりであります。

2019 年7月 11 日 22 時 12 分頃 リップルの送金に関するエラーを検知。

BPJ の情報システム部門等で対応開始。

22 時 39 分頃 リップルの不正な流出を確認。

他の仮想通貨の流出の有無の調査を開始。

2019 年7月 12 日 2時 00 分頃 リップル以外の仮想通貨についても不正流出を確認。

3時 00 分 BPJ にて緊急会議を実施。

6時 30 分 BPJ における仮想通貨の送受金を停止。

10 時 30 分 仮想通貨の売買・交換を含む、BPJ の全サービスを停止。

出典:当社子会社における仮想通貨の不正流出に関するお知らせとお詫び(第一報)

 当然こうなると、純粋に外部から野良に攻撃が来て、ビットポイントジャパン社の「A」ランクのセキュリティが正面からブチ抜かれて、ホットウォレットに格納されていた暗号資産がごっそり流出するというのはあり得るのかという話になります。詳細はこれから報じられるのかもしれませんが、何らか中から攻撃者を呼び入れる手配をする人物がいた可能性も含めて検証していく必要がありそうです。

 私がお預けしていた暗号資産が全額返ってくるのかも含めて、事態を注視してまいりたいと思います。