【まとめ】コインチェックのNEM流出騒動、和田社長や犯人について

  • このエントリーをはてなブックマークに追加

今年に入って、仮想通貨取引所のコインチェックがハッキングされ、NEMが盗まれました。仮想通貨取引所からお金が盗まれることは過去にもありましたが、仮想通貨の市場が伸びた後のタイミングで、約580億円という莫大な金額が盗まれたことから非常に話題になりました。騒動も2ヶ月ほど経ち、落ち着いてきたので、まとめていきます。

時系列で見るCoincheck事件

1月26日:NEMの流出

自分が第一報を知ったのは、やまもといちろうさんのツイートでした。色々と評判の多い人ですが、こういった影響度の大きい内容を取材なしで書く人ではないので、少なくとも何かあったのではないかという印象でした。ここで、コインチェックのウォレットからNEMが不正に送金されていることが確認されました。

ビットコイン取引所「コインチェック」で620億円以上が不正に引き出される被害が発生

1月26日(深夜):最初の記者会見

深夜からコインチェックにより記者会見が開かれ、代表取締役社長の和田晃一良さんと、取締役の大塚雄介さんによって状況が説明されました。内容としては、取引所のNEMが盗まれたということ、原因は調査中だということ、補償の内容などは検討中ということが発表されました。社長が若いこともあり、明らかに動揺していたので、大塚さんが答える場面が非常に多くなっていました。補償の詳細が発表されなかったことや社長の若さ、セキュリティに関してコールドウォレット(オフライン)でなく、ホットウォレット(オンライン)で管理していたことや仮想通貨交換業者登録がみなしで営業していることに対し、指摘がありました。

1月28日:全額補償の発表

これもツイートで知りましたが、600億前後の金額を全て補償するという対応方針が発表されました。このときに補償の元が自己資金か借入か出資なのかなどが明かされず、色々な憶測を呼びました。補償自体もそうですが、この中でNEMの保有者が約26万人ということが明かされ、1つの取引所のややマイナーな仮想通貨に26万人もの人が投資しているということが話題になりました。

1月29日:関東財務局から業務改善命令

事件を受け、関東財務局が原因究明やリスク管理改善などの業務改善命令を出されました。また、金融庁から利用者に仮想通貨に関するトラブルの注意喚起がされました。

2月2日:金融庁がコインチェックへの立ち入り検査

金融庁がコインチェックの顧客資産の管理状況やセキュリティー対策、財務状況などを明らかにするために立ち入り検査が行われました。金融庁に対しては、概ね好意的な反応が多かったように思います。

2月3日:被害者の会設立

コインチェックを提訴する被害者の会が設立されました。集まった原告が30人程度で(現在は増えているようですが)、被害総額もあまり大きくなく、最初は注目されましたが、その後話題に上がることも減りました。現在も活動をしているようです。

2月13日:業務改善命令の報告書提出・日本円出金再開

この日コインチェックでは、記者会見を再び行い、現状を説明しました。日本円の出金は同日より再開し、約401億円の出金指示を行ったことを明らかにしましたが、NEMの補償時期に関しては、明らかにしませんでした。

3月8日:2度目の業務改善命令・2度目の記者会見

業務改善命令を再び受け、業務改善計画の提出や計画に対する進捗を毎月報告するなどが命じられました。また、犯行の手口も明らかになり、コインチェック社の従業員にメールでマルウェアを仕込み、それを使って秘密鍵を入手したようです。このタイミングで具体的な日程は明かされませんでしたが、近いうちにNEMの補償や仮想通貨の引き出しなども再開するということが発表されました。

3月12日:一部仮想通貨の出金・売却再開

3月12日より順次、仮想通貨の出金・売却を再開しています。最近ではあまり話題にも上がらなくなったように思います。ビットフライヤーやBinanceなど他の取引所に流れているようです。

一部仮想通貨の出金、売却再開のお知らせ

 犯人は?取り返せないのか?

しるし(モザイク)はつけられる

盗まれてすぐの時点で取り返せるのかといった議論がなされていますが、結論から言うと難しいようです。実は、盗まれた後にNEMの機能を使い、モザイクと呼ばれるもので、そのNEMが盗まれたものであることを示すしるしが付けられました。これで、すべての人や取引所がそのモザイクのついたNEMの取引をしなければ換金できないため、無価値になります。

換金は防ぎにくい

ただ、すべての人の換金を防ぐことが難しく、40%程度が既に処理(洗浄)されてしまったという見立てもあります。犯人は、ダークウェブと呼ばれる匿名性の高いサイトでやり取りをしており、ディスカウントした価格でビットコインやライトコインと交換したようです。他にもカナダのCoinpaymentsという決済サービスを使い、モザイクを消そうとしたりと様々な手法を取っています。

ハードフォーク(分岐)されないのか?

仮想通貨が盗まれるために、毎回ハードフォークに関しての議論が出ます。要は、その不正がなかったようにしてしまうという選択肢があります。ただ、今回の件の場合には、かなりの早い段階で、NEM財団はフォークを行わないということを明確に主張していました。理由はシンプルでセキュリティ上の問題はNEMにあったのではなく、コインチェックの体制にあったからです。ホットウォレットでなく、コールドウォレットに保存されていたり、マルチシグと呼ばれる秘密鍵を複数用意して分散して管理していればこのようなことが起きなかったということです。当たり前ですが、こうした問題が起きるたびにフォークしてしまうと、仮想通貨の分散的な管理という特徴が生かせなくなります。特定の集団が自分に気に入らないことを無かったことにする通貨を誰が買いたいと思うでしょうか。

なぜ起きたのか?

なぜ今回の事件は起きたのでしょうか。それぞれのプレーヤーの観点で考えたいと思います。

ハッカー:犯罪として割が良すぎる

そもそも仮想通貨の取引所からの盗難は非常に割が良いです。銀行強盗をするとなると、非常に大きなリスクを伴いますが、取引所のハッキングはそれに比べて手間もリスクも少ないです。今回の犯行を見てもすべてがオンラインで完結しています。相手も何十年も運営しているセキュリティが万全な銀行とは異なり、法整備すら整っておらず、取引所ごとのセキュリティレベルも低いところがあり、簡単に億単位のお金が盗めてしまう現状があります。

コインチェック:拡大を急ぎたい

インターネットビジネスはWinners take allとなるので、少しでも早い拡大が重要です。極端な例でいうと、フリマアプリのメルカリとFrillで、前者は後発ながら時価総額で2,000億円以上になり、今も伸び続けていますが、後者は100億円以下の価格で買収されました。1位と2位でこのレベルの差があります。これをみなわかっているので、少しでも早く成長をさせようと競うことになります。その結果、セキュリティーよりも事業拡大を優先し、CMに投資をしたのではないかと考えられます。セキュリティーなんてどうでも良いという話ではなく、あくまで優先順位の問題かと思います。

株主:業績拡大はWelcome

一部では株主に関する責任も指摘されていましたが、ここはかなり悩ましいポイントで彼らとしては投資先のリターンが重要なわけです。上記の例でいうと、2,000億円の会社の10%分の株式と100億円の会社の10%分の株式では大違いです。特に、こうしたスタートアップに投資する株主は大きなリターンを望むので、業績拡大を優先したいという会社を止めるのは非常に難しいということです。現実には、会社に対する影響力が大きい株主もそうでない株主もいるので、関係者でない以上はわかりません。

金融庁:やや甘かったか

国によって仮想通貨への取り組みは全く異なります。中国などはICOを禁止したり、国内取引所を閉鎖させたり、明確に禁止する方向で動いていますし、アメリカは規制はするものの、どちらかというと市場を成長させ、かつグローバルで主導権を取れるような形で考えています。日本もどちらかといえば後者に入ります。今回の騒動後は、かなり基準も審査も厳しくなったようで、3月までに5社の仮想通貨交換業者が撤退することになりました。複数の取引所が業務改善命令や業務停止命令を出され、刑事事件に発展(預かった通貨を私的に流用)したものもあります。

コインチェックについて

元々は違う事業を行っていた

コインチェックは元々は、レジュプレスという名前でstorys.jpという別のサイトを運営しています。ビリギャルの話が書籍化・映画化されましたが、あの話もstorys.jpに投稿されたものです。その後、2014年に新規事業としてビットコイン事業を開始しました。

社長:和田晃一良が在学中に起業

レジュプレスという会社は和田さんが東工大に在学中に設立されました。その後、和田さんは東工大を中退したので、社会人経験なしで起業するという起業家っぽい経歴です。(ホリエモンとかも一緒ですね)

取締役:大塚雄介はネクスウェイで営業出身

取締役の大塚さんは早稲田大学の大学院を卒業し、ネクスウェイという会社で営業や事業企画に従事した後に参画したようです。

金融経験はなし

上記の通り、二人とも金融業界の経験が無い中での新規事業で、投資家を含め、多くの反対を受けたと様々なインタビューで語っています。実際、その業界の経験があっても失敗するケースもありますし、無くても成功するケースがあり、どちらかというと会社として学習したり、チームにそういった人を巻き込めるかという観点が重要かと思いますが、今回の一件を招いた要因として、やはり業界経験が無い中で金融のリスク・恐さというものが軽視されていたということはありうるのかなと思いました。

自分の身は自分で守る

ブロックチェーンの仕組みは安全ですが、取引所やウォレットの管理など落とし穴はたくさんあります。取引所を使うのであれば、二段階認証を使ったり、購入した仮想通貨はハードウォレットに入れて管理をしたり、自分の身は自分で守りましょう。安全性の高い取引所も低い取引所もありますが、完全に安全なものはありません。

CMに出ていた出川さんの炎上

最後にどうしても触れたかったのですが、コインチェックのCMに出川さんが出ていました。CMに出ていたというだけで炎上しており、かわいそうだなと思ったのですが、コインチェック社に出された最初の業務改善命令の報告書提出期限が2月13日で、出川さんの誕生日だという皮肉な偶然が話題になりました。

感想とまとめ

自分もスタートアップで働くものとして攻め(事業拡大)と守り(法律・安全性)のバランスは非常に悩ましいと思いました。自分が社長だったときに、後者の優先順位を上げられるかというと悩ましいです。コインチェックも今回の件が無ければ、シェアを大きく拡大していたでしょう。

まとめ

  • NEMが盗まれた
  • 取引所は非常に狙われやすい状況にある
  • 盗まれた仮想通貨を取り戻すことは非常に困難
  • 会社も株主も事業拡大を急ぎたい
  • 政府も市場を潰したくない
  • 今後は金融庁のチェックも厳しくなり、同じようなことは起こりづらい
  • ただ、自分の身は自分で守った方が良い
  • このエントリーをはてなブックマークに追加