ビットポイント流出事件とは?30億円が消えた仮想通貨管理の盲点

詐欺事件
ビットポイント流出事件とは?30億円が消えた仮想通貨管理の盲点を3行で要約
  • 2019年7月、ビットポイントジャパンのホットウォレットから約30億円相当の暗号資産が外部ハッキングにより流出した
  • 約5万人の顧客が被害を受けたが、同社は代替の暗号資産を調達して全額を返還。親会社は特別損失約37億円を計上した
  • 金融庁の業務改善命令の報告義務解除からわずか2週間後の事件発生であり、規制当局の監督体制そのものにも疑問が投げかけられた

金融庁がビットポイントジャパンに対する業務改善命令の報告義務を解除したのは2019年6月28日。それからわずか2週間後の7月11日、同社から約30億円相当の暗号資産が不正に流出しました。

約1年間にわたって内部管理体制の強化を報告させてきた金融庁にとっても、メンツを潰される結果となっています。マルチシグネチャーを導入していたにもかかわらず防げなかったこの事件は、暗号資産取引所のセキュリティの根本的な課題を浮き彫りにしました。

この記事では、ビットポイント流出事件の経緯と原因、顧客への影響、そして暗号資産を取引所に預ける際に個人が知っておくべきリスクを解説していきます。

ビットポイントジャパンとは

ビットポイントジャパンとは、東証2部上場のリミックスポイント傘下の暗号資産交換業者です。ビットコイン、リップル、イーサリアムなどの暗号資産の売買・交換サービスを提供していました。

2017年度にはグループの金融関連事業で約48億円の売上高と39億円の営業利益を計上するなど、暗号資産ブームの恩恵を受けて急成長しています。しかし2018年度には市況の悪化で売上は約14億円に減少し、約12億円の営業損失を計上していました。

2018年6月には関東財務局から業務改善命令を受けており、内部統制や経営管理の強化が求められていた矢先の事件でした。

流出の経緯:ホットウォレットの暗号鍵が盗まれた

流出の原因は、ホットウォレット用サーバーに保管されていた暗号鍵が何者かに盗取されたことにあります。

異変が検知されたのは2019年7月11日午後10時過ぎでした。リップルの送金でエラーが発生し、情報システム部門が調査を開始。午後10時39分にリップルの不正流出を確認し、翌12日午前2時にリップル以外の暗号資産の流出も判明しています。

流出額は当初約35億円と公表されましたが、再算定の結果30億2000万円に修正されました。このうち顧客の預かり資産は20億6000万円で、残りが同社保有分です。ホットウォレットで管理していた暗号資産の大半が流出したことになります。

同社はマルチシグネチャー(取引に複数の暗号鍵を必要とする仕組み)を導入していましたが、高度なハッキング技術によって突破されました。盗まれた暗号資産は海外の取引所でビットコインに交換されたことまでは追跡できたものの、犯人の特定には至っていません。

ホットウォレットとは、インターネットに接続された状態で暗号資産を管理するウォレットのこと。取引の即時処理が可能な反面、常にハッキングのリスクにさらされている。対してコールドウォレットはオフラインで管理するため安全性が高いが、送金に時間がかかる。
罪対ペイ運営者 賠償罪子のアイコン
賠償罪子

マルチシグネチャーを導入していたのに突破されたという点が重要です。セキュリティ対策は「導入していればOK」ではなく、攻撃技術の進化に合わせて常にアップデートし続ける必要があります。導入後1年でも陳腐化する可能性がある世界です。

業務改善命令解除直後の皮肉

この事件で特に注目されたのは、金融庁の業務改善命令の報告義務が解除されてからわずか2週間後に発生した点です。

金融庁は2018年6月にビットポイントジャパンに業務改善命令を出し、約1年間にわたって改善計画の進捗を報告させてきました。2019年6月28日にその報告義務が解除され、ある意味で「合格」を出した直後の事件だったため、規制当局の監督体制そのものにも疑問が投げかけられることになりました。

暗号資産業界の関係者からは「金融庁のメンツがまた潰された」との声も漏れています。

顧客対応と教訓:取引所に預けるリスク

ビットポイントジャパンは、流出した顧客の暗号資産について代替の暗号資産を別途調達して全額を返還しました。この対応は評価されていますが、親会社リミックスポイントは特別損失約37億円を計上し、大幅な赤字に転落しています。

この事件が個人投資家に示す教訓は明確です。取引所に暗号資産を預けたままにすることは、取引所のセキュリティに自分の資産を完全に委ねることを意味します。自分で管理するハードウェアウォレット(コールドウォレット)への移管や、取引所への預入額を必要最小限にすることが、最も基本的なリスク管理です。

罪対ペイ運営者 賠償罪子のアイコン
賠償罪子

暗号資産の世界では「Not your keys, not your coins(秘密鍵を持っていなければ、あなたのコインではない)」という格言があります。取引所は銀行のような預金保険制度の対象外です。ビットポイントは全額を返還しましたが、すべての取引所がそうできるとは限りません。

まとめ

  • ビットポイントジャパンから約30億円の暗号資産が流出。ホットウォレットの暗号鍵がハッキングで盗取され、約5万人が被害を受けた
  • 金融庁の業務改善命令解除からわずか2週間後の事件であり、規制当局の監督体制にも疑問が投げかけられた
  • 取引所に暗号資産を預けるリスクを認識し、ハードウェアウォレットの活用や預入額の最小化が基本的な自衛策だ

よくある質問

Q
流出した暗号資産は返ってきましたか?
A

はい、顧客の預かり資産は全額が暗号資産で返還されました。ビットポイントジャパンが代替の暗号資産を別途調達して補填しています。ただし、親会社リミックスポイントは特別損失約37億円を計上し、経営に大きなダメージを受けました。

Q
犯人は捕まりましたか?
A

犯人は特定されていません。盗まれた暗号資産が海外の取引所でビットコインに交換されたところまでは追跡できましたが、その先の追跡は困難な状況です。警視庁サイバー犯罪対策課が捜査を継続しています。

Q
コインチェック事件との違いは何ですか?
A

主な違いは流出額の規模と管理体制です。コインチェック事件(2018年)は約580億円と桁違いの流出額で、マルチシグネチャーすら未導入でした。ビットポイント事件は約30億円と相対的に小規模で、マルチシグネチャーは導入していたものの突破されたという違いがあります。いずれもホットウォレットからの流出である点は共通しています。

【出典】参考URL

  • 東洋経済オンライン:流出額約30億円、約5万人の被害、ホットウォレットの暗号鍵盗取、海外取引所でのビットコイン交換まで追跡
  • 日経クロステック:流出額30億2000万円への修正、顧客預かり資産20億6000万円、マルチシグネチャー導入の事実
  • 日経ビジネス:金融庁の業務改善命令解除(2019年6月28日)と事件発生の時系列
  • CoinPost:特別損失約37億円の計上、台湾子会社からの訴訟

コメント

※本記事の内容については、できる限り正確な情報を掲載するよう努めておりますが、完全に正確であるという保証はありません。一部の内容に誤りや適切でない表現がある可能性があります。ご了承の上、参考程度にとどめていただければ幸いです。なお、記事の改善点などがございましたら、ぜひコメントにてご指摘ください。
詐欺事件
サイバー詐欺シロサギ
\この記事をシェアする/
\賠償罪子のSNSに遊びにいく/
賠償罪子
タイトルとURLをコピーしました