コインチェックはNEM事件の後どう変わった？最新安全対策解説

2018年1月26日に発生したコインチェックにおけるNEM（XEM）の不正流出事件は、日本の仮想通貨交換業者にとって大きな転換点となりました。約580億円という巨額の損失は、業界全体の信頼を揺るがし、その後の規制強化とセキュリティ対策の徹底を促しました。本稿では、コインチェックがNEM事件後、どのように変化し、どのような最新の安全対策を講じているのかを詳細に解説します。

NEM事件の概要とコインチェックへの影響

NEM事件は、コインチェックが保管していたNEMの秘密鍵が不正に取得され、その結果、約580億円相当のNEMが流出したというものです。攻撃者は、コインチェックのホットウォレット（インターネットに接続されたウォレット）に侵入し、NEMを盗み出しました。事件発生当時、コインチェックは、ホットウォレットに大量のNEMを保管しており、セキュリティ対策が十分とは言えませんでした。この事件により、コインチェックは金融庁から業務改善命令を受け、一時的に新規顧客の受付を停止するなど、大きな打撃を受けました。

事件後のコインチェックの体制強化

NEM事件後、コインチェックは、親会社であるマネックスグループの支援のもと、体制強化に全力を注ぎました。具体的な取り組みとしては、以下の点が挙げられます。

1. コールドウォレットの導入と利用率向上

最も重要な対策の一つとして、コールドウォレット（インターネットに接続されていないウォレット）の導入と利用率の向上が挙げられます。事件発生当時、コインチェックはホットウォレットへの依存度が高かったため、攻撃者に秘密鍵を盗まれやすい状況でした。コールドウォレットは、オフラインで保管されるため、ハッキングのリスクを大幅に低減できます。現在、コインチェックは、顧客資産の大部分をコールドウォレットで保管しており、ホットウォレットの利用は、取引に必要な最小限の量に限定されています。

2. 多要素認証（MFA）の導入

不正アクセスを防ぐために、多要素認証（MFA）を導入しました。MFAは、IDとパスワードに加えて、スマートフォンアプリやSMS認証など、複数の認証要素を組み合わせることで、セキュリティを強化するものです。コインチェックでは、ログイン時や送金時など、重要な操作を行う際にMFAを必須としています。

3. セキュリティ監視体制の強化

24時間365日のセキュリティ監視体制を構築しました。専門のセキュリティチームが、不正アクセスや異常な取引を検知するための監視システムを運用しています。また、外部のセキュリティ専門家による定期的な脆弱性診断も実施し、セキュリティホールを早期に発見し、修正しています。

4. 内部統制の強化

内部統制の強化も重要な取り組みの一つです。従業員の権限管理を徹底し、不正行為を防止するためのチェック体制を構築しました。また、セキュリティに関する教育を定期的に実施し、従業員のセキュリティ意識を高めています。

5. 保険制度の導入

顧客資産を保護するために、保険制度を導入しました。万が一、不正アクセスなどにより顧客資産が流出した場合でも、保険金により一定の範囲で補償を受けることができます。これにより、顧客は安心してコインチェックを利用することができます。

最新の安全対策

コインチェックは、NEM事件の教訓を踏まえ、常に最新の安全対策を講じています。以下に、最新の安全対策について詳しく解説します。

1. MPK（Multi-Party Computation）技術の導入

MPKは、複数の参加者が秘密鍵を共有し、秘密鍵を復元することなく計算を行うことができる技術です。コインチェックは、MPK技術を導入することで、秘密鍵の管理リスクを分散し、セキュリティを強化しています。MPK技術により、秘密鍵が一つに集中することなく、複数の関係者によって管理されるため、不正アクセスによる秘密鍵の流出リスクを低減できます。

2. HSM（Hardware Security Module）の導入

HSMは、暗号鍵を安全に保管・管理するための専用ハードウェアです。コインチェックは、HSMを導入することで、暗号鍵の保護を強化しています。HSMは、物理的に安全な環境で暗号鍵を保管するため、ソフトウェア的な攻撃による暗号鍵の流出リスクを低減できます。

3. AML（Anti-Money Laundering）対策の強化

マネーロンダリング対策も強化しています。顧客の取引履歴を分析し、不正な取引を検知するためのシステムを導入しました。また、金融機関との連携を強化し、疑わしい取引に関する情報を共有しています。AML対策の強化により、コインチェックは、犯罪収益の隠蔽やテロ資金供与などの不正行為を防止することができます。

4. 不正送金対策の強化

不正送金対策も強化しています。送金前に、送金先アドレスの正当性を確認するためのシステムを導入しました。また、送金金額や送金頻度など、異常な取引を検知するためのルールを設定しています。不正送金対策の強化により、顧客の資産を不正送金から保護することができます。

5. ホワイトハッカーによるペネトレーションテストの実施

定期的にホワイトハッカーによるペネトレーションテストを実施し、システムの脆弱性を検証しています。ペネトレーションテストは、実際に攻撃を試みることで、システムのセキュリティ上の弱点を発見し、改善するためのものです。コインチェックは、ペネトレーションテストの結果を基に、セキュリティ対策を継続的に改善しています。

今後の展望

コインチェックは、NEM事件の経験を活かし、セキュリティ対策を継続的に強化していく方針です。今後は、AI（人工知能）やブロックチェーン技術を活用した新たなセキュリティ対策の導入も検討しています。AIを活用することで、不正アクセスや異常な取引をより迅速かつ正確に検知することが可能になります。また、ブロックチェーン技術を活用することで、取引履歴の透明性を高め、不正行為を防止することができます。

まとめ

コインチェックは、NEM事件という大きな苦難を乗り越え、セキュリティ対策を大幅に強化しました。コールドウォレットの導入、多要素認証の導入、セキュリティ監視体制の強化、内部統制の強化、保険制度の導入など、多岐にわたる取り組みを実施しています。また、MPK技術やHSMの導入など、最新のセキュリティ技術も積極的に導入しています。これらの取り組みにより、コインチェックは、顧客資産を安全に保護するための体制を確立しました。今後も、コインチェックは、セキュリティ対策を継続的に強化し、顧客からの信頼をさらに高めていくことが期待されます。仮想通貨交換業者は、セキュリティ対策を怠ると、顧客資産を失うだけでなく、業界全体の信頼を損なう可能性があります。コインチェックの事例は、仮想通貨交換業者にとって、セキュリティ対策の重要性を改めて認識させるものと言えるでしょう。