- 2018年1月26日、コインチェックから約580億円相当の仮想通貨NEM(5億2630万XEM)が不正アクセスにより流出した
- 原因はホットウォレットでの管理とマルチシグネチャー未導入という管理不備。社員へのフィッシングメールがマルウェア感染の起点となった
- 被害を受けた約26万人に対し約460億円を自己資金で補償。その後マネックスグループに買収され、セキュリティ体制を刷新して事業を継続している
「なぜコールドウォレットで管理しなかったのですか?」――2018年1月26日深夜、渋谷のコインチェック本社で開かれた緊急記者会見で、和田晃一良社長が繰り返し問われた質問です。回答は「技術的な難易度が高かった」でした。
この日、コインチェックが顧客から預かっていた仮想通貨NEM(ネム)約580億円相当が、外部からの不正アクセスにより流出しました。当時の仮想通貨流出事件としては世界最大規模であり、約26万人が被害を受けています。
この記事では、コインチェック事件がなぜ起きたのか、管理体制のどこに問題があったのか、そして暗号資産を保有するすべての人が知っておくべきリスクと対策を解説していきます。
コインチェックとは
コインチェックとは、ビットコインやNEMなどの仮想通貨の取引所を運営する日本の暗号資産交換業者です。使いやすいアプリのUI/UXと取扱銘柄の多さから、個人投資家の間で急速に利用者を拡大していました。
お笑い芸人の出川哲朗を起用したテレビCMが話題となり、CM放映後にユーザー数は10倍に増加したとされています。しかし事件当時、コインチェックは金融庁への正式な登録を受けていない「みなし業者」の状態でした。急成長する事業規模に対して、セキュリティや内部管理体制の整備が追いついていなかったのです。
流出の経緯:フィッシングメールから始まった8時間
コインチェック事件の発端は、社員に送られた1通のフィッシングメールでした。メール内のリンクを開いたことでマルウェアに感染し、暗号鍵が外部に漏洩したとされています。
時系列で見る流出の8時間
- 1月26日 0:02頃不正送金が開始外部の攻撃者がコインチェックのホットウォレットから5億2630万XEMの不正送金を開始。約8時間26分にわたって送金が続いた。
- 同日 8:26頃不正送金が完了約8時間半にわたる不正送金が完了。この間、コインチェック側は異常を検知できていなかった。
- 同日 11:25頃異常を検知不正送金完了から約3時間後にようやく異常を検知。NEMの入金・売買・出金を順次停止した。
- 同日 23:30緊急記者会見で580億円流出を公表和田晃一良社長と大塚雄介取締役が深夜の記者会見を開催。約580億円相当のNEM流出を明らかにした。本社前には200名超の顧客や報道陣が集まり、警察が出動する騒ぎとなった。
- 1月28日約460億円の全額補償を発表NEM保有者約26万人に対し、1XEM=88.549円のレートで日本円による全額補償を発表。補償原資は全額自己資金。金融庁はコインチェックに業務改善命令を発出した。
- 3月12日顧客への返還完了事件発生から約1カ月半後、コインチェックウォレット内で日本円による返還が完了。ただし取引停止期間中の機会損失を訴える声も多かった。
- 4月6日マネックスグループが買収大手証券グループのマネックスがコインチェックを買収。セキュリティ体制の刷新と企業統治の強化が進められた。
なぜ防げなかったのか:2つの管理不備
コインチェック事件を招いた根本原因は、ホットウォレット運用とマルチシグネチャー未導入という2つの管理不備です。
まず、顧客から預かったNEMの全額をインターネットに接続されたホットウォレットで管理していました。コールドウォレット(オフライン管理)を使わなかった理由について、和田社長は「技術的な難易度が高かった」と説明しましたが、識者からは「運用コストの安さが動機ではないか」との指摘もあります。
次に、送金時に複数の暗号鍵を必要とするマルチシグネチャーを導入していませんでした。NEM財団は事件後にこの事実を公表し、シングルシグネチャー(単一の鍵)で全額の送金が可能だったことが被害拡大の直接的な要因だったとしています。
テレビCMで大量のユーザーを集客しながら、セキュリティの基本であるコールドウォレットすら導入していなかった。事業の成長スピードとセキュリティ投資のバランスが完全に崩れていた典型例です。「便利で使いやすい」と「安全」は別の話。取引所を選ぶ際は、使いやすさよりもセキュリティ体制と金融庁の登録状況を最優先で確認してください。
犯人の追跡と逮捕
流出したNEMの追跡は、ブロックチェーン上で誰でも送金履歴を確認できるという仮想通貨の特性を活かして行われました。
NEM財団はホワイトハッカーに追跡を依頼し、犯人のウォレットにタグ付けを行いました。しかし犯人はダークウェブを通じて盗んだNEMをビットコインに交換し、追跡を逃れようとしています。
2020年3月、流出したNEMを不正取得した疑いで大阪府の会社役員と北海道の医師が組織犯罪処罰法違反の容疑で逮捕されました。2021年1月には同様の容疑で31人が逮捕・書類送検されています。ただし、これらはNEMの不正取得者であり、ハッキングを実行した主犯は特定されていません。
現代に通じる教訓:取引所は銀行ではない
コインチェック事件の最大の教訓は、暗号資産取引所は銀行のような預金保険制度の対象外であり、預けた資産が100%保護される保証はないということです。
コインチェックは460億円を自己資金で補償しましたが、これは同社の収益力があってこそ可能だった例外的なケースです。すべての取引所が同様の対応ができるわけではありません。
個人ができる対策は、取引に使わない暗号資産はハードウェアウォレット(コールドウォレット)に移管すること、取引所に預ける額を必要最小限にすること、そして利用する取引所が金融庁に登録されているかを確認することです。
コインチェック事件から学ぶべきことは、2014年のマウントゴックス事件から何も変わっていなかったという事実です。「取引所に暗号資産を預けっぱなしにしない」という教訓は、マウントゴックスの時点で広く共有されていたはずでした。歴史は繰り返すのではなく、教訓を無視した人の元で繰り返されるのです。
まとめ
- コインチェックから約580億円相当のNEMが流出。ホットウォレット運用・マルチシグ未導入・フィッシングメールによるマルウェア感染が原因だった
- 約26万人の被害者に約460億円を自己資金で補償した点は評価されるが、すべての取引所が同じ対応ができるとは限らない
- 暗号資産はハードウェアウォレットで自己管理し、取引所への預入額は最小限に。取引所の金融庁登録状況も必ず確認すること
よくある質問
-
Q流出したNEMは戻ってきましたか?
-
A
NEM自体は戻っていませんが、コインチェックが自己資金で日本円による全額補償を実施しました。1XEM=88.549円のレートで約460億円が顧客のコインチェックウォレットに返還されています。ただし、事件後のNEM価格変動による差額や取引停止期間中の機会損失については不満の声もありました。
-
Q犯人は北朝鮮だという報道は本当ですか?
-
A
一部の報道では北朝鮮のハッカー集団「ラザルス」の関与が指摘されていますが、公式には犯人は特定されていません。2020年以降に逮捕された人物はハッキングの実行犯ではなく、流出したNEMを不正取得した者です。ハッキングを実行した主犯の捜査は継続中とされています。
-
Qコインチェックは現在も利用できますか?
-
A
はい、現在もサービスを提供しています。事件後にマネックスグループに買収され、コールドウォレットによる資産の分別管理やSSL暗号化通信の導入など、セキュリティ体制が大幅に強化されました。金融庁への正式な登録も完了しており、アプリのダウンロード数は国内トップクラスを維持しています。
-
Q補償金を受け取ると税金がかかりますか?
-
A
コインチェックの公式FAQによると、補償金額がNEMの取得価額を上回る場合、その差額が課税対象となり、原則として雑所得に区分されます。つまり、安く購入したNEMが高いレートで日本円に換算されて返還された場合、その差益に対して所得税が発生する可能性があります。
【出典】参考URL
- 東京商工リサーチ:580億円流出の経緯、約26万人への460億円補償、ホットウォレット・マルチシグ未導入の事実
- CoinDesk Japan:マルウェア感染の経緯、2020年の逮捕者、2021年の31人逮捕・書類送検
- Yahoo!ニュース(楠正憲):コールドウォレット未導入の背景分析、利用者のリスク管理
- ITmedia NEWS:ブロックチェーン推進協会の見解、ホットウォレットとコールドウォレットの技術的解説
- コインチェック公式FAQ:不正送金の時間帯(0:02〜8:26)、5億2630万XEMの流出額、補償レート88.549円
コメント