Coincheck(コインチェック)でのハッキング被害と対策
はじめに
仮想通貨取引所Coincheck(コインチェック)は、2018年1月に発生したNEM(ネム)のハッキング被害により、そのセキュリティ体制の脆弱性が露呈しました。この事件は、仮想通貨業界全体に大きな衝撃を与え、その後の規制強化やセキュリティ対策の重要性を再認識させるきっかけとなりました。本稿では、Coincheckにおけるハッキング被害の詳細、その原因、そして被害発生後の対策について、技術的な側面を含めて詳細に解説します。
1. ハッキング被害の詳細
2018年1月26日、Coincheckは、同社のNEMウォレットから約830億円相当のNEMが不正に流出されたことを発表しました。この被害は、仮想通貨取引所におけるハッキング事件としては史上最大規模のものであり、Coincheckは直ちにNEMの取引を停止し、全ユーザーに対してNEMの出金停止措置を取りました。ハッキングの手口は、Coincheckのホットウォレット(オンラインで接続されたウォレット)に対する不正アクセスによるものでした。攻撃者は、Coincheckのセキュリティ上の脆弱性を利用し、NEMの秘密鍵を入手し、ウォレットからNEMを盗み出しました。
被害額の内訳は以下の通りです。
* NEM:約5億8000万NEM
* 日本円換算:約830億円(当時のレートに基づく)
このハッキング被害は、Coincheckの経営体制やセキュリティ体制に深刻な問題があることを示唆し、金融庁から業務改善命令が下されました。
2. ハッキングの原因
Coincheckのハッキング被害の原因は、複合的な要因が絡み合っていたと考えられます。主な原因としては、以下の点が挙げられます。
2.1 ホットウォレットの管理体制の不備
Coincheckは、NEMの大部分をホットウォレットに保管していました。ホットウォレットは、オンラインで接続されているため、利便性が高い反面、セキュリティリスクも高いという特徴があります。Coincheckは、ホットウォレットの秘密鍵の管理体制が不十分であり、攻撃者によって秘密鍵が盗まれることを許してしまいました。具体的には、秘密鍵が平文で保存されていた、アクセス制御が不十分だった、などの問題点が指摘されています。
2.2 セキュリティ対策の遅れ
Coincheckは、仮想通貨取引所として、十分なセキュリティ対策を講じていなかったという批判があります。具体的には、侵入検知システムの導入が遅れていた、脆弱性診断が不十分だった、従業員のセキュリティ教育が不足していた、などの問題点が指摘されています。また、Coincheckは、セキュリティ対策に十分な投資を行っていなかったという指摘もあります。
2.3 内部統制の不備
Coincheckは、内部統制体制が不十分であり、セキュリティ上の問題点を早期に発見し、対応することができませんでした。具体的には、セキュリティ担当者の権限が弱かった、セキュリティに関する報告体制が確立されていなかった、などの問題点が指摘されています。
3. 被害発生後の対策
Coincheckは、ハッキング被害発生後、以下の対策を講じました。
3.1 被害補填
Coincheckは、ハッキング被害を受けたユーザーに対して、自己資金で約830億円を補填しました。補填の方法は、NEMを日本円に換算し、ユーザーの口座に振り込むというものでした。補填作業は、2018年6月に完了しました。
3.2 セキュリティ体制の強化
Coincheckは、セキュリティ体制を大幅に強化しました。具体的には、以下の対策を実施しました。
* コールドウォレット(オフラインで保管されたウォレット)の導入:NEMの大部分をコールドウォレットに移し、ホットウォレットに保管する量を大幅に削減しました。
* 多要素認証の導入:ユーザーのログイン時に、IDとパスワードに加えて、スマートフォンに送信される認証コードを入力することを義務付けました。
* 侵入検知システムの導入:不正アクセスを検知するためのシステムを導入し、24時間体制で監視を行っています。
* 脆弱性診断の実施:定期的に脆弱性診断を実施し、セキュリティ上の問題点を洗い出しています。
* 従業員のセキュリティ教育の強化:従業員に対して、セキュリティに関する教育を徹底しています。
* セキュリティ専門家の採用:セキュリティ専門家を採用し、セキュリティ体制の強化を図っています。
3.3 経営体制の刷新
Coincheckは、経営体制を刷新しました。具体的には、Coincheckの親会社であるMonexグループが、Coincheckの経営権を取得し、Monexグループの経営陣がCoincheckの経営に参画しました。Monexグループは、金融業界における豊富な経験とノウハウを活かし、Coincheckの経営改善を図っています。
3.4 金融庁による業務改善命令への対応
Coincheckは、金融庁から出された業務改善命令に対応するため、以下の対策を実施しました。
* 内部統制体制の強化:内部統制体制を強化し、セキュリティ上の問題点を早期に発見し、対応できる体制を構築しました。
* マネーロンダリング対策の強化:マネーロンダリング対策を強化し、不正な資金の流れを遮断するための体制を構築しました。
* 顧客保護体制の強化:顧客保護体制を強化し、顧客の資産を守るための体制を構築しました。
4. 技術的な詳細
ハッキングの手口は、NEMのコアウォレットの脆弱性を利用したものでした。具体的には、NEMのコアウォレットには、トランザクションの署名検証における脆弱性があり、攻撃者はこの脆弱性を利用して、CoincheckのホットウォレットからNEMを不正に引き出すことができました。この脆弱性は、NEMの開発チームによって修正されましたが、Coincheckは、この脆弱性が修正される前に、ホットウォレットに大量のNEMを保管していたため、被害を受けてしまいました。
また、攻撃者は、Coincheckのネットワークに侵入するために、ソーシャルエンジニアリングの手法を用いた可能性も指摘されています。ソーシャルエンジニアリングとは、人の心理的な隙を突いて、機密情報を入手したり、不正な行為を行わせたりする手法のことです。攻撃者は、Coincheckの従業員になりすまして、パスワードなどの機密情報を入手した可能性があります。
5. その他の仮想通貨取引所におけるハッキング事例
Coincheckのハッキング被害以外にも、多くの仮想通貨取引所がハッキング被害に遭っています。例えば、Mt.Gox、Bitfinex、Youbitなどの取引所が、大規模なハッキング被害を受けています。これらのハッキング事例は、仮想通貨取引所におけるセキュリティ対策の重要性を改めて認識させるものです。
6. まとめ
Coincheckのハッキング被害は、仮想通貨業界全体に大きな衝撃を与え、その後の規制強化やセキュリティ対策の重要性を再認識させるきっかけとなりました。Coincheckは、ハッキング被害発生後、被害補填、セキュリティ体制の強化、経営体制の刷新などの対策を講じ、信頼回復に努めています。しかし、仮想通貨取引所におけるセキュリティリスクは依然として高く、今後も継続的なセキュリティ対策の強化が求められます。仮想通貨取引所は、コールドウォレットの導入、多要素認証の導入、侵入検知システムの導入、脆弱性診断の実施、従業員のセキュリティ教育の強化など、様々なセキュリティ対策を講じる必要があります。また、金融庁は、仮想通貨取引所に対する規制を強化し、セキュリティ対策の徹底を促す必要があります。ユーザーも、仮想通貨取引所のセキュリティ対策を十分に理解し、リスクを認識した上で、仮想通貨取引を利用する必要があります。
