Coincheck（コインチェック）のセキュリティインシデント履歴まとめ

Coincheck（コインチェック）は、日本の代表的な仮想通貨取引所の一つであり、その運営会社であるマネックスグループは、金融商品取引法に基づく第一種金融商品取引業者としての登録を有しています。しかしながら、Coincheckは過去に複数のセキュリティインシデントを経験しており、仮想通貨業界全体のセキュリティ意識向上に大きく貢献するとともに、教訓を残しています。本稿では、Coincheckが経験した主要なセキュリティインシデントを詳細にまとめ、その原因、影響、そしてその後の対策について分析します。

1. 2014年のハッキング事件

Coincheckは、創業当初からセキュリティ対策に課題を抱えていました。2014年6月には、Coincheckのウォレットシステムがハッキングされ、約33,000BTC（当時のレートで約2,000万円相当）が不正に引き出されました。この事件は、Coincheckが初めて経験する大規模なセキュリティインシデントであり、その後の対策強化のきっかけとなりました。ハッキングの原因は、ウォレットシステムの脆弱性と、二段階認証の導入遅延にありました。当時、Coincheckは、ウォレットシステムをオフライン化することでセキュリティを強化しようとしましたが、その過程でシステムに脆弱性が生じてしまったのです。また、二段階認証の導入が遅れたことも、不正アクセスを許してしまう要因となりました。

2. 2017年のNEM（ネム）ハッキング事件

Coincheckにとって、そして仮想通貨業界全体にとって、最も深刻なセキュリティインシデントは、2017年1月26日に発生したNEM（ネム）のハッキング事件です。この事件では、Coincheckが保管していたNEM約833,000,000トークン（当時のレートで約700億円相当）が不正に引き出されました。この事件は、仮想通貨取引所におけるセキュリティ対策の脆弱性を浮き彫りにし、仮想通貨業界全体に大きな衝撃を与えました。ハッキングの原因は、Coincheckのホットウォレットのセキュリティ対策の不備でした。ホットウォレットとは、インターネットに接続された状態で仮想通貨を保管するウォレットであり、利便性が高い反面、セキュリティリスクも高いという特徴があります。Coincheckは、ホットウォレットに保管していたNEMの秘密鍵が不正にアクセスされ、その結果、NEMが不正に引き出されてしまったのです。また、Coincheckは、ホットウォレットに保管するNEMの量を過剰に多くしていたことも、被害を拡大させる要因となりました。

2.1. 事件後の対応

NEMハッキング事件発生後、Coincheckは、金融庁から業務改善命令を受け、セキュリティ対策の強化を求められました。Coincheckは、直ちにNEMの取引を停止し、被害額の補償に乗り出しました。また、Coincheckは、マネックスグループの支援を受け、セキュリティ専門家を招き、セキュリティ体制の抜本的な見直しを行いました。具体的には、以下の対策が実施されました。

• ホットウォレットに保管する仮想通貨の量を大幅に削減し、コールドウォレットへの移行を加速
• 二段階認証の義務化
• 多要素認証の導入
• 脆弱性診断の定期的な実施
• セキュリティ監視体制の強化
• 従業員のセキュリティ教育の徹底

3. その他のセキュリティインシデント

Coincheckは、NEMハッキング事件以外にも、複数のセキュリティインシデントを経験しています。例えば、2018年には、CoincheckのウェブサイトがDDoS攻撃を受け、一時的にサービスが停止しました。また、2019年には、Coincheckの顧客情報が不正にアクセスされた疑いがあるとして、調査が行われました。これらのインシデントは、Coincheckのセキュリティ対策が、常に攻撃者の進化に対応する必要があることを示しています。

4. セキュリティ対策の進化

Coincheckは、過去のセキュリティインシデントから学び、セキュリティ対策を継続的に進化させてきました。特に、NEMハッキング事件以降、Coincheckは、セキュリティ対策に多大な投資を行い、セキュリティ体制を大幅に強化しました。具体的には、以下の点が挙げられます。

• コールドウォレットの導入と運用体制の強化：仮想通貨の大部分をオフラインのコールドウォレットに保管することで、不正アクセスによる被害を最小限に抑える
• セキュリティオペレーションセンター（SOC）の設立：24時間365日体制でセキュリティ監視を行い、異常を検知した場合に迅速に対応する
• ペネトレーションテストの実施：専門家による模擬ハッキングを行い、システムの脆弱性を洗い出す
• バグバウンティプログラムの導入：セキュリティ研究者からの脆弱性情報の提供を奨励し、セキュリティ対策の強化に役立てる
• ブロックチェーン分析の活用：不正な取引を検知し、資金の流れを追跡する

また、Coincheckは、マネックスグループの一員として、グループ全体のセキュリティ体制と連携し、より高度なセキュリティ対策を講じています。例えば、マネックスグループが開発したセキュリティ技術をCoincheckに導入したり、グループ全体のセキュリティポリシーをCoincheckにも適用したりしています。

5. 今後の課題

Coincheckは、過去のセキュリティインシデントから学び、セキュリティ対策を大幅に強化しましたが、それでもなお、セキュリティリスクは存在します。仮想通貨業界は、常に新しい攻撃手法が登場するため、セキュリティ対策も常に進化させる必要があります。Coincheckが今後取り組むべき課題としては、以下の点が挙げられます。

• サプライチェーンリスクへの対応：Coincheckが利用する外部サービスやソフトウェアのセキュリティリスクを評価し、適切な対策を講じる
• 内部不正への対策：Coincheckの従業員による不正行為を防止するための対策を強化する
• 分散型金融（DeFi）への対応：DeFiの普及に伴い、新たなセキュリティリスクが発生する可能性があるため、DeFiに関するセキュリティ対策を検討する
• 量子コンピュータへの対策：量子コンピュータが実用化された場合、現在の暗号技術が破られる可能性があるため、量子コンピュータ耐性のある暗号技術への移行を検討する

まとめ

Coincheckは、過去に複数のセキュリティインシデントを経験しましたが、その都度、教訓を活かし、セキュリティ対策を強化してきました。NEMハッキング事件は、Coincheckにとって大きな転換点となり、セキュリティ体制の抜本的な見直しを促しました。Coincheckは、現在、仮想通貨業界でもトップレベルのセキュリティ対策を講じていますが、それでもなお、セキュリティリスクは存在します。Coincheckは、今後もセキュリティ対策を継続的に進化させ、顧客の資産を守るための努力を続けていく必要があります。仮想通貨取引所は、顧客の資産を預かる責任が重大であり、セキュリティ対策を疎かにすることは許されません。Coincheckの経験は、仮想通貨業界全体のセキュリティ意識向上に貢献し、より安全な仮想通貨取引環境の構築に繋がることを期待します。