0から始める仮想通貨【番外編】coincheckで何があったのか。NEM(ネム)盗難事件。

こんばんは。べる(@belltea910)です。

 

金曜日に発生したコインチェックのNEM(ネム)盗難事件。

コインチェック社の保有する5.23億XEMが、外部からの不正アクセスにより盗難されました。

 

緊急記者会見も開かれ、かなり情報が錯綜しましたね。

ここで簡単に、結局コインチェック社で何があったのか、ということをおさらいしておこうと思います。

 

原則としてここでは、コインチェック社のプレスによる発表記事を真相とし、

紹介するTwitterのツイートや他社インタビュー記事等は全て参考程度の情報という立ち位置で確認していきます。

 

憶測で語っても、そこには無用な不安や期待が生まれるだけです。

 

[;contents]

 

1.coincheck内での動き

 

既coincheck社から公式に発生事象についての発表がされています。

 

Coincheckサービスにおける一部機能の停止について | コインチェック株式会社

 

記事を引用した概要は以下の通り。

 

発生事象

1月26日 02:57頃 :事象の発生 (正確な発生時刻を特定するため、現在調査を継続しております。 ※1/27 10:35頃追記) 
1月26日 11:25頃 :当社にて異常を検知 
1月26日 12:07頃 :NEMの入金一時停止について告知 
1月26日 12:38頃 :NEMの売買一時停止について告知 
1月26日 12:52頃 :NEMの出金一時停止について告知 
1月26日 16:33頃 :JPYを含め、全ての取扱通貨の出金一時停止について告知 
1月26日 17:23頃 :BTC以外(オルトコイン)の売買の一時停止について告知 
1月26日 18:50頃 :クレジットカード、ペイジー、コンビニ入金一時停止について告知

 

この翌日1月27日17:00より、日本円の出金及び新規支払いが停止しました。

 

【Coincheck payment】一部機能の停止について | Coincheck(コインチェック)

 

日付が変わった28日午前1時過ぎ頃、coincheck公式より利用者のNEM補償についての決定が通知されました。

NEM保有者全員に対し、88.549円×保有数のJPYをcoincheckウォレット内に返金する、という内容でした。

 

不正に送金された仮想通貨NEMの保有者に対する補償方針について | コインチェック株式会社

 

補償は全て自社資金より決済。

補償が決定したことによりTwitterなどでは安堵の声が多数見られました。

しかしながら補償の時期は未だ未定となっております。

加えて、これを税務署が損害賠償扱いとするか利益確定扱いとするかという問題が浮上。

いづれにせよ、NEMホルダーの方は確定申告時に注意が必要となります。

これに関しては休日ということもあり公式見解が発表されていない為詳しくは不明です。

 

 

さらに続く28日15:00より、coincheckアフィリエイト報酬が停止しました。

 

【アフィリエイトプログラム】一時停止について | Coincheck(コインチェック)

 

アフィリエイト報酬よりもNEMの補償を優先させるという見方が主流となっています。

こちらも再開時期は未定です。

 

2.なぜ仮想通貨の盗難が発生したのか。

 

今回のNEMの盗難。

キーワードはホットウォレットとコールドウォレットです。

 

ホットウォレットとはインターネットを通じて仮想通貨を操作できる財布です。

コールドウォレットはインターネットを通じない、オフラインで仮想通貨を管理できる財布です。

 

すごく簡単に言うと、

ホットウォレットは電子マネーやオンラインバンキング、

コールドウォレットは現実の財布、と考えてください。

 

以下で説明するメリットデメリットでは便宜上、

ホットウォレット=電子マネーやオンラインバンキング

コールドウォレット=現実の財布、現金

というイメージで進めます。

 

ホットウォレットのメリットは、送金や決済がスムーズな点

toica等の交通系ICカードは、タッチするだけで改札を抜けられますよね。

おサイフケータイ機能付きのスマホだと、コンビニでかざすだけでnanacoや楽天Edyを使って支払いが可能です。

送金のしやすさはLINEpayやネットバンキングと同じです。

相手アカウントのIDや口座番号、送金金額をスマホで入力すればすぐに相手に送金がされます。

 

デメリットは、スムーズだからこそ悪用も簡単な点。

楽天Edyに1万円いれた状態でハッキングされて残高移行されてしまうと、ハッカーは手続きなくかざすだけでコンビニなどで買い物ができてしまいます。

スマホの画面を乗っ取られて勝手に操作できる状態にされてしまうと、ネットバンキングで口座番号を勝手に入力されお金を全て送金されてしまいます。

 

コールドウォレットのメリットは上記と逆で、落とさなければ安全な点。

常に持ち歩いていれば、盗難の心配はありません。

お財布の中身を知らない間に抜き取られる、なんてこともあり得ません。

 

一方デメリットは、送金や決済に一手間かかる点。

現金を送金しようとすると、一旦銀行口座に預けてから相手の口座情報を入力して送金しなければいけません。

お店で使うときも、お財布から小銭やお札を探して出さなければいけません。

つまり、自分の財布から社会やネットワークへと接続する手間がかかるのです。

 

 

今回の盗難事件では大きく、

・コインチェック社がXEMを全てホットウォレットで管理していたこと。

・管理していたホットウォレットが1つだったこと(通常、分散させて管理する)。

・XEMの仕組み上、ホットウォレットで管理すると「ハーベスト」いう報酬がもらえること。

・XEMという通貨の仕組み上、コールドウォレット保管が技術上非常に高難易度であったこと。

以上が原因の一端として見られています。

セキュリティ管理を指摘したくもなりますが、ホットウォレットで管理していた背景を考えると頭ごなしには糾弾できない所もあります。

 

ハーベストとか、XEMについての参考:仮想通貨のネム(NEM)/ XEMとは? 概要と最新情報

 

コールドウォレット管理にすると送金に一手間かかるため、

コインチェックの売りである利便性にマイナスに作用することになります。

 

これ以上は推測の推測でしかない為、避けます。

ちょっとためになりそうなツイートを見つけたので紹介して終わり。

 

 

 

 

コインチェックをはじめとする仮想通貨販売所*1では、会社が大量に仕入れた仮想通貨を利用者が取引するという流れになります。

 

XEMの場合、コインチェック社がXEMをNEM社から買い取り*2、それを販売所で利用者と売買していました。

 

コールドウォレットで管理してしまうと、顧客資産の流動性を顧客の許可なく失うことになるので、それはそれでグレーなのではと思います。

が、規約ではコールドウォレット管理でマルチシグを利用していると記述がある(要出典)とのことなので、これが事実であれば規約違反か。

 

結論としては、購入した仮想通貨は自分でコールドウォレットで管理しておくのが一番安全でしょう。

セキュリティと流動性、どちらを取るかですね。

 

仮想通貨は自己責任という言葉を知らしめた事件でした。

 

 

 

 

 

 

*1:販売所と取引所には違いがある。前者は会社が仕入れた仮想通貨を利用者と売買する場所。後者は仮想通貨を売りたい利用者と買いたい利用者を結びつける場所。coincheckを例に挙げると、アプリメニュー及びブラウザ画面で表示される「コインを買う」「コインを売る」という場所は販売所に当たり、会社が各自に定めた手数料が上乗せされた金額での売買が行われる。一方取引所はブラウザ画面でのみ表示ができる「取引所>トレードビュー」に当たる。ここでは手数料は原則発生しない。コインチェックではビットコインのみが取引所での取引が可能となっている。

 

 *2:厳密には異なる。発行された約90億XEMは約1600人の投資家に均等に配分されており、そこから流通が始まっている。よって、NEM社から購入したと断言することはできない。