Coincheck（コインチェック）で発生したハッキング被害と復旧の経緯

はじめに

2018年1月26日、日本の仮想通貨取引所であるコインチェックは、過去最大規模のハッキング被害に遭い、約580億円相当の仮想通貨NEM（ネム）が不正に流出するという事態となりました。この事件は、仮想通貨業界全体に大きな衝撃を与え、その後の仮想通貨規制強化のきっかけともなりました。本稿では、このハッキング被害の詳細、その原因、そしてコインチェックがどのように復旧を目指したのか、その経緯を詳細に解説します。

ハッキング被害の詳細

2018年1月26日午前3時頃、コインチェックのNEMウォレットから、大量のNEMが不正に流出していることが発見されました。当初、コインチェックは被害額を公表していませんでしたが、その後の調査により、約580億円相当のNEM、具体的には約534,737,800 XEMが流出していたことが判明しました。この被害額は、当時の仮想通貨取引所におけるハッキング被害としては最大規模であり、世界的な注目を集めました。

ハッキングの手口は、コインチェックのNEMウォレットのセキュリティ上の脆弱性を突いたものでした。攻撃者は、コインチェックのウォレットシステムに侵入し、NEMの送金トランザクションを不正に作成・実行することで、仮想通貨を盗み出しました。具体的には、ウォレットのプライベートキーが不正に取得された、もしくは、ウォレットシステムに存在する脆弱性を利用して、プライベートキーを生成・利用したと考えられています。

ハッキングの原因

このハッキング事件の原因は、コインチェックのセキュリティ体制の脆弱性にありました。具体的には、以下の点が指摘されています。

• コールドウォレットの運用不足: 当時、コインチェックは、仮想通貨の大部分をホットウォレット（インターネットに接続されたウォレット）に保管しており、コールドウォレット（オフラインのウォレット）の運用が十分ではありませんでした。コールドウォレットは、ホットウォレットに比べてセキュリティが高く、ハッキングのリスクを低減することができます。
• セキュリティ対策の遅れ: 仮想通貨業界は、技術革新が非常に速いため、常に最新のセキュリティ対策を講じる必要があります。しかし、コインチェックは、セキュリティ対策のアップデートが遅れており、最新の脅威に対応できていませんでした。
• 内部統制の不備: セキュリティ体制を維持するためには、適切な内部統制が必要です。しかし、コインチェックは、内部統制が不十分であり、セキュリティ上の問題が発生した場合の対応が遅れていました。
• 技術力の不足: 仮想通貨取引所の運営には、高度な技術力が必要です。しかし、コインチェックは、セキュリティに関する専門知識を持つ人材が不足しており、十分なセキュリティ対策を講じることができませんでした。

これらの要因が複合的に作用し、ハッキング被害が発生しました。

復旧の経緯

ハッキング被害発覚後、コインチェックは、以下の対策を講じ、復旧を目指しました。

• 取引停止: ハッキング被害を受けて、コインチェックは、NEMを含む全ての仮想通貨の取引を一時的に停止しました。
• 被害状況の調査: コインチェックは、専門家チームを組織し、ハッキング被害の状況を詳細に調査しました。
• 警察への通報: コインチェックは、警察にハッキング被害を通報し、捜査に協力しました。
• 金融庁への報告: コインチェックは、金融庁にハッキング被害を報告し、指示を仰ぎました。
• 補償計画の策定: コインチェックは、被害者に対して、損失を補償するための計画を策定しました。補償額は、NEMの流出時の価格に基づいて算定されました。
• セキュリティ体制の強化: コインチェックは、セキュリティ体制を大幅に強化しました。具体的には、コールドウォレットの導入、セキュリティ対策のアップデート、内部統制の強化、セキュリティ専門人材の採用などを行いました。
• マネーロンダリング対策の強化: コインチェックは、マネーロンダリング対策を強化しました。具体的には、顧客の本人確認の徹底、疑わしい取引の監視、当局への報告などを行いました。

2018年3月、コインチェックは、NEM以外の仮想通貨の取引を再開しました。しかし、NEMの取引再開は、金融庁の承認を得る必要があり、2019年6月にようやく再開されました。

MONEXグループによる買収

ハッキング被害を受けて、コインチェックは経営危機に陥りました。2018年4月、コインチェックは、大手オンライン証券会社であるMONEXグループに買収されました。MONEXグループは、コインチェックの経営再建を図り、信頼回復を目指しました。

MONEXグループによる買収後、コインチェックは、MONEXグループのノウハウや技術を活用し、セキュリティ体制をさらに強化しました。また、新たな仮想通貨の取り扱いを開始し、サービスの多様化を図りました。

金融庁による行政処分

2018年3月、金融庁は、コインチェックに対して、金融商品取引法違反による行政処分を下しました。行政処分は、業務改善命令と課徴金納付命令であり、コインチェックは、セキュリティ体制の強化や内部統制の改善を命じられました。また、課徴金として、約2億2,800万円の納付を命じられました。

事件後の仮想通貨業界への影響

コインチェックのハッキング事件は、仮想通貨業界全体に大きな影響を与えました。この事件をきっかけに、仮想通貨取引所に対する規制が強化され、セキュリティ対策の重要性が改めて認識されました。

具体的には、金融庁は、仮想通貨取引所に対して、以下の規制を導入しました。

• 登録制度の導入: 仮想通貨取引所は、金融庁に登録する必要があるようになりました。
• セキュリティ対策の義務化: 仮想通貨取引所は、適切なセキュリティ対策を講じる義務が課せられました。
• マネーロンダリング対策の義務化: 仮想通貨取引所は、マネーロンダリング対策を講じる義務が課せられました。
• 顧客資産の分別管理の義務化: 仮想通貨取引所は、顧客資産を自己資金と分別して管理する義務が課せられました。

これらの規制は、仮想通貨取引所のセキュリティレベルを向上させ、顧客保護を強化することを目的としています。

まとめ

コインチェックのハッキング事件は、仮想通貨業界にとって大きな教訓となりました。この事件は、仮想通貨取引所のセキュリティ体制の脆弱性を露呈し、規制強化の必要性を浮き彫りにしました。コインチェックは、ハッキング被害からの復旧を目指し、セキュリティ体制の強化や内部統制の改善に努めました。また、MONEXグループによる買収により、経営再建を図り、信頼回復を目指しました。この事件を教訓に、仮想通貨業界全体がセキュリティ対策を強化し、顧客保護を最優先に考えることが重要です。

今後、仮想通貨業界が健全に発展するためには、技術革新と規制のバランスを取りながら、セキュリティ対策を継続的に強化していく必要があります。