Coincheck（コインチェック）巨額不正送金事件のその後と対策まとめ

はじめに

2018年1月26日に発生したCoincheck（コインチェック）における約580億円相当の仮想通貨NEM（ネム）の不正送金事件は、仮想通貨業界に大きな衝撃を与えました。この事件は、仮想通貨取引所のセキュリティ対策の脆弱性を露呈し、その後の仮想通貨規制強化のきっかけとなりました。本稿では、Coincheck事件の詳細、その後の経緯、そして事件を受けて講じられた対策について、専門的な視点から詳細に解説します。

事件の概要

Coincheckは、2012年に設立された日本の仮想通貨取引所です。事件当時、NEMを含む複数の仮想通貨を取り扱っていました。2018年1月26日午前3時頃、CoincheckのNEMウォレットから、約580億円相当のNEMが不正に送金されるという事態が発生しました。この不正送金は、Coincheckのホットウォレット（インターネットに接続されたウォレット）に対するハッキングによって引き起こされました。

ハッカーは、Coincheckのシステムに侵入し、NEMの秘密鍵を盗み出しました。秘密鍵は、仮想通貨の送金に必要な情報であり、これを手にしたハッカーは、CoincheckのNEMを自身の管理下にあるウォレットに送金することができました。不正送金されたNEMは、複数のアドレスを経由して分散され、追跡が困難になっています。

事件発生後の対応

事件発生後、Coincheckは直ちにNEMの取引を停止し、警察庁にサイバー犯罪としての被害届を提出しました。また、金融庁もCoincheckに対して、事件の経緯や原因、再発防止策などについて詳細な報告を求めました。Coincheckは、事件の責任を明らかにするために、外部の専門家による調査委員会を設置しました。

Coincheckは、被害を受けた顧客に対して、NEMの価値と同額の円を補償することを決定しました。補償額は、事件発生時のNEMの価格に基づいて計算されました。補償手続きは、Coincheckのウェブサイトを通じて行われました。

金融庁は、Coincheckの経営体制や内部管理体制に重大な問題があるとして、業務改善命令を発令しました。業務改善命令には、セキュリティ対策の強化、内部管理体制の見直し、リスク管理体制の構築などが盛り込まれていました。

事件の原因

調査委員会は、Coincheck事件の原因として、以下の点が挙げられると結論付けました。

• ホットウォレットのセキュリティ対策の不備：Coincheckは、ホットウォレットに大量のNEMを保管しており、そのセキュリティ対策が不十分でした。
• 秘密鍵の管理体制の不備：Coincheckは、NEMの秘密鍵を適切に管理しておらず、ハッカーに盗み出されるリスクがありました。
• 脆弱性管理体制の不備：Coincheckは、システムの脆弱性を適切に管理しておらず、ハッカーに侵入の隙を与えてしまいました。
• 従業員のセキュリティ意識の低さ：Coincheckの従業員のセキュリティ意識が低く、不審なアクセスや不正な操作に気づきませんでした。

これらの要因が複合的に作用し、Coincheck事件が発生したと考えられます。

事件後の対策

Coincheck事件を受けて、仮想通貨業界全体でセキュリティ対策の強化が進められました。Coincheck自身も、以下の対策を講じました。

• コールドウォレットの導入：Coincheckは、ホットウォレットに保管していたNEMの大部分を、インターネットに接続されていないコールドウォレットに移しました。コールドウォレットは、ハッキングのリスクを大幅に低減することができます。
• 多要素認証の導入：Coincheckは、顧客のアカウントへのログイン時に、多要素認証を導入しました。多要素認証は、パスワードに加えて、別の認証要素（例えば、スマートフォンに送信される認証コード）を要求することで、セキュリティを強化します。
• 脆弱性診断の実施：Coincheckは、定期的にシステムの脆弱性診断を実施し、脆弱性を発見して修正するように努めています。
• 従業員のセキュリティ教育の実施：Coincheckは、従業員に対してセキュリティ教育を実施し、セキュリティ意識の向上を図っています。
• セキュリティ専門家の採用：Coincheckは、セキュリティ専門家を採用し、セキュリティ体制の強化を図っています。

また、金融庁も、仮想通貨取引所に対する規制を強化しました。具体的には、以下の措置が講じられました。

• 仮想通貨交換業法の制定：2017年に、仮想通貨交換業法が制定されました。この法律は、仮想通貨取引所に対して、登録制度、資本要件、セキュリティ対策の義務などを課しています。
• 仮想通貨取引所の登録審査の強化：金融庁は、仮想通貨取引所の登録審査を強化し、セキュリティ対策が不十分な取引所の登録を拒否するようになりました。
• 仮想通貨取引所に対する抜き打ち検査の実施：金融庁は、仮想通貨取引所に対して抜き打ち検査を実施し、セキュリティ対策の実施状況を確認しています。

これらの対策によって、仮想通貨取引所のセキュリティレベルは向上し、不正送金事件の再発防止に繋がることが期待されています。

技術的な対策の詳細

Coincheck事件後のセキュリティ対策は、技術的な側面からも多岐にわたります。以下に、具体的な技術的対策の詳細を説明します。

• マルチシグ（Multi-Signature）技術の導入：マルチシグ技術は、仮想通貨の送金に複数の承認を必要とする技術です。Coincheckは、NEMの送金にマルチシグ技術を導入し、不正送金を防止しています。
• ハードウェアセキュリティモジュール（HSM）の導入：HSMは、秘密鍵を安全に保管するための専用ハードウェアです。Coincheckは、NEMの秘密鍵をHSMに保管し、ハッキングのリスクを低減しています。
• 侵入検知システム（IDS）/侵入防止システム（IPS）の導入：IDS/IPSは、ネットワークへの不正アクセスを検知・遮断するシステムです。Coincheckは、IDS/IPSを導入し、ハッカーの侵入を早期に発見して阻止しています。
• Webアプリケーションファイアウォール（WAF）の導入：WAFは、Webアプリケーションに対する攻撃を防御するシステムです。Coincheckは、WAFを導入し、Webアプリケーションの脆弱性を悪用した攻撃を防止しています。
• セキュリティ情報イベント管理（SIEM）システムの導入：SIEMシステムは、様々なセキュリティログを収集・分析し、セキュリティインシデントを検知するシステムです。Coincheckは、SIEMシステムを導入し、セキュリティインシデントの早期発見・対応に役立てています。

これらの技術的対策は、Coincheckのセキュリティレベルを大幅に向上させ、不正送金事件の再発防止に貢献しています。

法的・規制的な影響

Coincheck事件は、仮想通貨に関する法的・規制的な枠組みに大きな影響を与えました。事件後、金融庁は、仮想通貨交換業法に基づき、仮想通貨取引所に対する監督・指導を強化しました。また、金融庁は、仮想通貨に関する消費者保護の観点から、以下の措置を講じました。

• 仮想通貨に関する注意喚起の実施：金融庁は、仮想通貨のリスクに関する注意喚起を実施し、投資家に対して慎重な投資判断を促しています。
• 仮想通貨に関する相談窓口の設置：金融庁は、仮想通貨に関する相談窓口を設置し、投資家からの相談に対応しています。
• 仮想通貨に関する情報公開の促進：金融庁は、仮想通貨に関する情報公開を促進し、投資家の情報入手を容易にしています。

これらの法的・規制的な措置は、仮想通貨市場の健全な発展と投資家保護に貢献しています。

まとめ

Coincheck事件は、仮想通貨業界にとって大きな教訓となりました。事件は、仮想通貨取引所のセキュリティ対策の脆弱性を露呈し、その後の仮想通貨規制強化のきっかけとなりました。Coincheck自身も、事件を受けてセキュリティ対策を大幅に強化し、再発防止に努めています。また、金融庁も、仮想通貨取引所に対する監督・指導を強化し、仮想通貨市場の健全な発展と投資家保護に貢献しています。Coincheck事件の経験を活かし、仮想通貨業界全体でセキュリティ対策を強化し、信頼性の高い仮想通貨市場を構築していくことが重要です。