仮想通貨交換業者コインチェックからのXEM流出から1週間、金曜には金融庁がコインチェックに対して立入検査に入り、犯人は盗んだXEMの換金に向けて動き始めるなど、事件は新たな局面を迎えている。改めて先週よく聞かれた疑問と今後の論点についてまとめてみた。

盗まれたXEMをコインチェックは取り戻せるのか

これまでMtGOXやBitfinex、YouBitなど、多くの仮想通貨取引所への不正アクセス事案が起こってきたが、いずれも盗まれたコインは返ってきていない。仮想通貨の入出金記録はブロックチェーン上で公開されており誰もが閲覧できるが、本人確認を義務付けられた取引所と紐づく口座を除いて捜査機関が身元を特定することは難しい。それぞれのアドレスからの資金移動には、そのアドレスの持ち主しか持っていない秘密鍵が必要となる。

盗まれたコインを取り戻すシナリオとしては３つが考えられる。

1. 犯人との交渉を通じて自発的な返還を受けること
2. NEMの仕様変更（ハードフォーク）を通じて事後的に流出をなかったことにすること
3. 犯人の端末に不正アクセスを行い、秘密鍵を盗んで実力行使で取り戻すこと

仕様変更（ハードフォーク）は2016年のThe DAO事件でEthereumが行った前例があるが、NEMの技術プラットフォームを提供するNEM財団が早々に実施の可能性を否定している。盗まれた仮想通貨を取り戻す目的であっても、我が国では不正アクセスは違法行為となるため実力行使で取り戻すことは難しい。仮想通貨を盗んだ犯人であれば、用心深く保存にハードウェアウォレットを用いている公算が大きく、盗み返すためには物理的な接触が必要となるだろう。

現実的には犯人が自発的に返還する意志を持たない限り、流出したXEMが戻ってくることはない。犯人としてはコインチェックとの交渉には手っ取り早くXEMを現金化できるメリットがあるものの、あまりに足がつくリスクが大きい。コインチェックから流出した印のついたXEMを追跡関係者や取引所に送ってウォレットの汚染を進めたり、盗んだXEMの一部でLoyalCoin※のICOに申し込むなど、事件後の入出金履歴を見る限り、犯人はコインチェックとの交渉ではなく自力でのXEMの換金を目指しているように見える。

（※流出したXEMの交換先をRoyalCoinと記載しましたが、正確にはLoyalCoinのICOへの申込であったため修正しました。）

コインチェックは被害者に補償できるのか

コインチェックはXEM流出の被害者に対して総額460億円近くの補償を約束している。漏洩前後には110円をつけていたXEM価格はコインチェックの記者会見から補償の発表までに90円前後まで下落し、補償の発表を受けて一時120円近くまで急騰したものの、現時点では60〜70円を推移している。

資本金1億円以下のコインチェックに460億円分の補償ができるのかは諸説あるところだが、気になるのは事件を受けて売買を停止している他のオルトコインの含み損の扱いだ。事件を受けてコインチェックは1月26日 17:23頃からBTCを除くオルトコインの売買を停止したが、2月2日には仮想通貨が全面安の展開となり、XEM以外のオルトコインをコインチェックで保有している利用者は、売り逃げることができずに大きな含み損を抱えたと推察される。

今後は流出したXEMの保有者に対してだけでなく、売買停止中に大きな含み損を抱えたオルトコイン保有者に対する補償が焦点となることも考えられる。

それでもブロックチェーンは安全なのか

MtGOX事件の時もそうだったが、コインチェックからのXEM流出もブロックチェーンそのものの脆弱性ではなく、取引所の安全対策に課題があったと論評されている。確かに技術的には今のところNEMブロックチェーンの直接的な脆弱性は見つかっていない。だからといってブロックチェーン技術に何ら問題がないといえるのだろうか。

NEM財団が推奨しているマルチシグはスマートコントラクトとして実装されており、マルチシグを使っているかどうかはブロックチェーン上で容易に確認できる。コインチェックがウォレットをマルチシグで保護していなかったことは外部から観察できた。夜間や休日深夜も頻繁に出金があったことから、コールドウォレットではなくホットウォレットであることも推察できたはずだ。残念ながらブロックチェーンの透明性が仇となって、不正アクセスするまでもなく、コインチェックがNEMを扱うメインウォレットがマルチシグで保護されておらず、ホットウォレットであることや、多額の残高までもが犯人側に全て筒抜けだったと考えられる。

報道によるとコインチェックのシステム運用監視は24時間365日のサービスに対して、たったの6人だったという。多額の仮想通貨を扱う取引所のシステムは、相互牽制のため常時2人以上で管理すべきだ。仮に2人で監視していたとすれば8時間3交代制で全く休みがないことになり、労働基準法を遵守していたと仮定すればワンオペが常態化していたと考えられる。これまで昼間しか動いていない銀行の窓口や送金と比べて、24時間365日ノンストップで稼働し続けるブロックチェーンの優位性が指摘されてきたが、裏を返せば人的体制が整っていなくても常時稼働させ続ける必要があり、杜撰な監視の遠因となっていたのではないか。

このように多発する取引所からの仮想通貨流出は、確かにブロックチェーンの技術的な脆弱性に起因するものではないが、透明性や自動処理、24時間365日運用のリアルタイムシステムといったブロックチェーンの長所に対して、取引所の労務管理や運用体制が追いついていないギャップが原因となっていることも考えられる。

サイバー攻撃の魅力的な標的となった仮想通貨取引所

現金流通の世界では数十年前の３億円事件が未だに語り継がれているのに対して、仮想通貨取引所を巡っては毎年のように世界で数十億、数百億円単位の流出事案が報じられている。これは必ずしも仮想通貨やブロックチェーン自体の技術的信頼性を損ねるものではないが、取引所が日々サイバー攻撃にさらされており、犯人にとっては不正アクセスによって得られる報酬が大きい魅力的な標的であることは間違いない。

金融庁は２月２日金曜に、仮想通貨取引所３１社に対し、資金決済法に基づく報告徴求命令を出したと発表した。回答期限は同日で、システムリスク管理態勢の報告を求めたという。これまで金融庁は仮想通貨取引所に対してガイドラインを提示してきたが、業界団体の足並みが揃わず技術的に詳細な安全対策基準は示されてこなかった。業界は早急に安全対策基準をまとめると同時に、それが遵守されているかチェックする仕組みを構築する必要があるだろう。

コインチェックのセキュリティー対策が他社と比べて際立って杜撰だったというよりは、運用ノウハウや機材の整っていないマイナーなコインに手を出して安全対策が後回しとなってしまったことや、利用者数や取引規模が大きく攻撃者にとって魅力的な標的だったはずだ。

コインチェックが大きな利益を上げている割に、十分にセキュリティ投資を行ってこなかったのではないか、テレビCMを打つ前にセキュリティに投資すべきだったのではないかという指摘がある。市場が成熟してお金さえ出せばセキュリティ・ソリューションを買うことができる他の金融機関と比べて、仮想通貨取引所のシステム構築はまだまだ手づくりに近い。セキュリティ対策のためには設備投資だけでなくエンジニアの採用と、運用のための組織体制の強化が必要で、いずれも費用だけでなく要員の採用や教育に時間がかかる。滞っている仮想通貨交換業者の登録がはじまれば、ますます人材不足に拍車がかかることも懸念される。

事件の再発防止と仮想通貨交換業者の信頼回復に向けて

マイナーなオルトコインへの投資機会を求めて金融庁の登録を受けていないみなし業者に群がった利用者にも落ち度があったとはいえ、現時点で利用者が健全な取引所を選ぼうにも、仮想通貨交換業者による情報開示が十分とはいいがたい。普段から財務状況や口座数、預かり資産残高、安全対策の実施状況など、利用者が自分のニーズに合った仮想通貨交換業者を見極める上で十分な情報が開示されるべきだ。

今回の事件では不正アクセスによるXEM流出の公表や被害者に対する補償の方針を受けて、仮想通貨の価格は乱高下した。いまのところ仮想通貨は資金決済法で規律されて、金融商品と違ってインサイダー取引や風説の流布に対する規律はない。証券会社と違って従業員に対する売買規制も行っていない交換業者が多いのではないか。今回の事件や対応に絡んだ仮想通貨のインサイダー取引が見つかった場合には、再発防止が求められる可能性がある。

コインチェックが今後サービスを再開して被害者に対して十分な補償を行うかどうかは予断を許さないが、国際的に見て仮想通貨取引所への不正アクセスによる仮想通貨の流出や、それに起因する経営破綻は数多く起こっており、日本でも2014年のMtGOX事件が記憶に新しい。

銀行に預金保険制度が整備されているように、仮想通貨取引所の破綻処理についても一般的な会社更生法、民事再生法で十分なのか、ルール整備を要するのかも議論が必要だ。今のところ仮想通貨の取引規模は小さく、投機熱の割には実社会での決済には使われていないため、交換業者の破綻が金融システムに対して深刻な影響を与えるリスクは小さいが、いずれ実際の決済で広く利用されるようになった場合には、システミック・リスクに繋がることも考えられる。