Coincheck(コインチェック)で発生したハッキング事件の真相とは?
2018年1月26日、仮想通貨取引所Coincheck(コインチェック)は、過去最大規模のハッキング被害を発表しました。約580億円相当の仮想通貨NEM(ネム)が不正に引き出され、社会に大きな衝撃を与えました。本稿では、この事件の真相を、技術的な側面、Coincheck側の対応、そしてその後の影響について詳細に解説します。
1. 事件の概要
2018年1月26日午前3時頃、CoincheckのNEMウォレットから、大量のNEMが不正に引き出されていることが発見されました。当初、Coincheckは取引システムの障害であると発表しましたが、その後の調査でハッキングによる不正送金であることが判明しました。被害額は、当時のレートで約580億円に達し、仮想通貨取引所におけるハッキング事件としては、過去最大規模となりました。不正送金されたNEMは、複数のアドレスを経由して分散され、追跡が困難な状況となっています。
2. ハッキングの手口
Coincheckへのハッキングは、主に以下の手順で行われたと考えられています。
- 脆弱性の発見: ハッカーは、CoincheckのNEMウォレットのシステムに存在する脆弱性を発見しました。この脆弱性は、トランザクションの署名検証処理に存在し、不正なトランザクションを許可してしまうものでした。
- 不正アクセス: 発見された脆弱性を悪用し、ハッカーはCoincheckのNEMウォレットに不正アクセスしました。
- NEMの不正送金: 不正アクセスにより、ハッカーはCoincheckのNEMウォレットから、大量のNEMを自身の管理するアドレスに不正送金しました。
- 資金洗浄: 不正送金されたNEMは、複数のアドレスを経由して分散され、資金洗浄が行われました。これにより、不正資金の追跡を困難にしています。
特に問題視されたのは、CoincheckがNEMを「コールドウォレット」ではなく「ホットウォレット」に保管していた点です。コールドウォレットはオフラインで保管されるため、ハッキングのリスクが低い一方、ホットウォレットはオンラインで保管されるため、ハッキングのリスクが高いです。Coincheckは、NEMの取引を円滑に行うために、ホットウォレットに大量のNEMを保管していました。この判断が、今回のハッキング被害を拡大させる一因となりました。
3. Coincheck側の対応
ハッキング事件発覚後、Coincheckは以下の対応を取りました。
- 取引停止: NEMを含む全ての仮想通貨の取引を一時的に停止しました。
- 被害状況の調査: 警察庁サイバー犯罪対策官に相談し、被害状況の調査を開始しました。
- 顧客への対応: 被害に遭った顧客に対して、NEMの価値に応じた円での補償を行うことを発表しました。補償額は、事件発生時のNEMの価格に基づいて計算されました。
- システム改善: セキュリティシステムの強化に取り組みました。具体的には、コールドウォレットの導入、多要素認証の導入、脆弱性診断の実施などが行われました。
しかし、Coincheckの初期対応は、情報開示の遅れや、被害状況の説明不足など、批判を浴びました。また、補償額が事件発生時の価格に基づいて計算されたため、その後のNEM価格の上昇により、顧客からの不満の声も上がりました。
4. その後の影響
Coincheckのハッキング事件は、仮想通貨業界全体に大きな影響を与えました。
- 金融庁による行政処分: 金融庁は、Coincheckに対して業務改善命令を発令しました。また、Coincheckの親会社であるマネックスグループに対して、刑事告訴を行いました。
- 仮想通貨取引所の規制強化: 金融庁は、仮想通貨取引所の規制を強化しました。具体的には、仮想通貨取引所に対する登録制度の導入、セキュリティ対策の義務化、顧客資産の分別管理の義務化などが行われました。
- 仮想通貨に対する信頼低下: Coincheckのハッキング事件は、仮想通貨に対する信頼を低下させました。多くの投資家が、仮想通貨への投資を控えるようになりました。
- マネックスグループによるCoincheckの買収: 2018年4月、マネックスグループは、Coincheckを100%買収しました。マネックスグループは、Coincheckの経営体制を立て直し、セキュリティ対策を強化しました。
この事件を契機に、日本の仮想通貨取引所は、セキュリティ対策を大幅に強化しました。コールドウォレットの導入、多要素認証の導入、脆弱性診断の実施など、様々な対策が講じられました。また、金融庁による規制強化により、仮想通貨取引所の運営体制も改善されました。
5. 技術的な詳細分析
CoincheckのNEMウォレットにおける脆弱性は、NEMのコアコード自体ではなく、Coincheckが独自に実装したウォレット管理システムに存在しました。具体的には、トランザクションの署名検証処理において、署名の有効性を十分に検証していなかったことが原因です。ハッカーは、この脆弱性を悪用し、不正なトランザクションを作成し、CoincheckのNEMウォレットからNEMを不正に引き出すことに成功しました。
この脆弱性は、比較的容易に発見できるものであり、Coincheckのセキュリティチームは、事前に脆弱性診断を実施していれば、発見できた可能性がありました。しかし、Coincheckは、セキュリティ対策に十分な投資を行っていなかったため、脆弱性診断が十分に行われていなかったと考えられています。
また、Coincheckは、NEMのトランザクションを監視するシステムも十分に整備していませんでした。ハッカーが不正送金を開始した後、Coincheckがそれに気づくまでに時間がかかりました。これは、Coincheckの監視体制が不十分であったことを示しています。
6. 金融庁の視点と規制の変遷
金融庁は、Coincheckのハッキング事件を非常に深刻に受け止めました。金融庁は、Coincheckに対して、業務改善命令を発令し、セキュリティ対策の強化を求めました。また、Coincheckの親会社であるマネックスグループに対して、刑事告訴を行いました。
この事件を契機に、金融庁は、仮想通貨取引所の規制を強化しました。2017年に施行された「資金決済に関する法律」を改正し、仮想通貨取引所に対する登録制度を導入しました。また、仮想通貨取引所に対して、セキュリティ対策の義務化、顧客資産の分別管理の義務化などを行いました。
金融庁は、仮想通貨取引所に対して、定期的な監査を実施し、規制遵守状況を確認しています。また、仮想通貨取引所に対して、セキュリティ対策の強化を継続的に求めています。
7. まとめ
Coincheckのハッキング事件は、仮想通貨業界にとって大きな教訓となりました。この事件は、仮想通貨取引所におけるセキュリティ対策の重要性、規制の必要性、そして顧客保護の重要性を改めて認識させました。Coincheckは、この事件を契機に、セキュリティ対策を大幅に強化し、経営体制を立て直しました。しかし、仮想通貨業界全体としては、セキュリティ対策の強化、規制の遵守、そして顧客保護の徹底が、引き続き重要な課題となっています。今後も、仮想通貨業界は、セキュリティリスクに常に注意し、安全な取引環境を構築していく必要があります。
