コインチェックで起こった過去のセキュリティ事件まとめ
コインチェックは、日本の仮想通貨取引所として広く知られていますが、過去には重大なセキュリティ事件を経験しています。これらの事件は、仮想通貨業界全体のセキュリティ意識向上に大きく貢献するとともに、コインチェック自身もセキュリティ体制の強化を迫られました。本稿では、コインチェックで発生した過去のセキュリティ事件について、詳細にまとめ、その原因、影響、そしてその後の対策について解説します。
1. 2014年のハッキング事件
コインチェックが初めて深刻なセキュリティ問題に直面したのは、2014年です。この事件では、コインチェックのウォレットシステムがハッキングされ、約31億円相当のビットコインが不正に引き出されました。当時、コインチェックはコールドウォレットとホットウォレットの両方を使用してビットコインを保管していました。ハッキングされたのは、ホットウォレットに保管されていたビットコインでした。ホットウォレットはオンラインに接続されているため、利便性が高い反面、セキュリティリスクも高いという特徴があります。この事件の直接的な原因は、ホットウォレットのセキュリティ対策の不備でした。具体的には、二段階認証の導入が遅れていたこと、およびウォレットシステムの脆弱性が悪用されたことが挙げられます。この事件を受けて、コインチェックはホットウォレットに保管するビットコインの量を大幅に減らし、コールドウォレットの利用を拡大しました。また、二段階認証の導入を義務化し、ウォレットシステムの脆弱性対策を強化しました。
2. 2018年のNEM(ネム)ハッキング事件
コインチェックにとって、最も大きな打撃となったのは、2018年1月26日に発生したNEM(ネム)ハッキング事件です。この事件では、約580億円相当のNEMが不正に引き出されました。この事件は、仮想通貨取引所における史上最大規模のハッキング事件として、世界的に大きな注目を集めました。事件の経緯は以下の通りです。コインチェックは、NEMを保管するために、独自のウォレットシステムを構築していました。このウォレットシステムは、マルチシグと呼ばれる技術を使用していました。マルチシグとは、複数の秘密鍵を組み合わせて取引を承認する仕組みです。しかし、コインチェックのマルチシグシステムには、設計上の欠陥があり、攻撃者はこの欠陥を悪用して、NEMを不正に引き出すことに成功しました。具体的には、コインチェックのウォレットシステムは、NEMのトランザクションを検証する際に、十分なセキュリティチェックを行っていませんでした。攻撃者は、この脆弱性を利用して、不正なトランザクションを作成し、NEMを不正に引き出すことができました。事件発生後、コインチェックは、NEMの取引を一時停止し、被害状況の調査を開始しました。また、警察庁サイバー犯罪対策官に事件を相談し、捜査協力を要請しました。コインチェックは、被害額の全額を自社資金で補填することを決定し、NEMの保有者に対して、補償手続きを開始しました。この事件を受けて、金融庁は、コインチェックに対して業務改善命令を発令し、セキュリティ体制の抜本的な強化を求めました。コインチェックは、外部の専門家を招き、セキュリティ体制の見直しを行い、多層防御の強化、脆弱性診断の定期的な実施、インシデント対応体制の強化など、様々な対策を講じました。
3. その他のセキュリティ事件
上記以外にも、コインチェックでは、小規模なセキュリティ事件がいくつか発生しています。例えば、2017年には、顧客のアカウント情報が不正にアクセスされた事件が発生しました。この事件では、コインチェックのウェブサイトの脆弱性が悪用され、攻撃者は顧客のIDやパスワードを入手しました。コインチェックは、この事件を受けて、ウェブサイトのセキュリティ対策を強化し、顧客に対してパスワードの変更を呼びかけました。また、2019年には、フィッシング詐欺の被害が多発しました。この詐欺では、攻撃者はコインチェックを装った偽のウェブサイトを作成し、顧客にIDやパスワードを入力させました。コインチェックは、この詐欺に対して、注意喚起を行い、顧客に対して不審なメールやウェブサイトに注意するよう呼びかけました。
4. セキュリティ対策の強化
コインチェックは、過去のセキュリティ事件を教訓に、セキュリティ対策を大幅に強化してきました。主な対策としては、以下のものが挙げられます。
- コールドウォレットの利用拡大: ビットコインなどの仮想通貨の大部分を、オフラインのコールドウォレットに保管することで、ハッキングのリスクを低減しています。
- 多層防御の強化: ファイアウォール、侵入検知システム、不正アクセス検知システムなど、多層的なセキュリティ対策を導入することで、攻撃を多段階で防御しています。
- 脆弱性診断の定期的な実施: 外部の専門機関に依頼して、定期的にシステムやネットワークの脆弱性診断を実施し、潜在的なリスクを早期に発見・修正しています。
- インシデント対応体制の強化: セキュリティインシデントが発生した場合に、迅速かつ適切に対応するための体制を構築しています。
- 従業員のセキュリティ教育: 従業員に対して、定期的にセキュリティ教育を実施し、セキュリティ意識の向上を図っています。
- 二段階認証の義務化: 顧客に対して、二段階認証の利用を義務化することで、アカウントの不正アクセスを防止しています。
- ホワイトハッカー制度の導入: セキュリティ研究者に対して、コインチェックのシステムに対する脆弱性の発見を奨励し、報奨金を提供しています。
5. 金融庁による監督と規制
コインチェックのセキュリティ事件を受けて、金融庁は、仮想通貨取引所に対する監督と規制を強化しました。具体的には、以下の措置が講じられました。
- 仮想通貨交換業法に基づく登録制度の導入: 仮想通貨取引所は、金融庁に登録することで、事業を行うことができるようになりました。
- セキュリティ基準の策定: 仮想通貨取引所は、金融庁が定めるセキュリティ基準を満たす必要があります。
- 定期的な監査の実施: 金融庁は、仮想通貨取引所に対して、定期的な監査を実施し、セキュリティ体制の状況を確認しています。
- 業務改善命令の発令: セキュリティ体制に問題がある仮想通貨取引所に対して、業務改善命令を発令し、改善を促しています。
まとめ
コインチェックは、過去に複数のセキュリティ事件を経験しましたが、これらの事件を教訓に、セキュリティ対策を大幅に強化してきました。また、金融庁による監督と規制の強化も、仮想通貨取引所のセキュリティ向上に貢献しています。しかし、仮想通貨業界は、常に新しい脅威にさらされており、セキュリティ対策は常に進化していく必要があります。コインチェックは、今後もセキュリティ対策を継続的に強化し、顧客の資産を守るために努力していく必要があります。仮想通貨取引所は、セキュリティ対策を最優先事項として位置づけ、顧客からの信頼を得ることが、持続的な成長のために不可欠です。セキュリティ対策の強化は、仮想通貨業界全体の発展にもつながると考えられます。
