2018年1月26日深夜。事件が発生した。正確な時刻は定かではないが、コインチェックが運営している仮想通貨取引所「Coincheck」において、仮想通貨「NEM」が不正に外部へ送金されたのだ。総額5億2300万XEM(NEMの単位)。同社が異常を検知した時点の相場でおよそ580億円相当、被害に遭ったNEM保有者の数はおよそ26万人だ。

これを受けて、1月29日に第5回リスク管理部会を開催したブロックチェーン推進協会(BCCC)は、当初実施する予定だった内容を大幅に変えて、コインチェックのNEM盗難事件について見解を述べた。

秘密鍵の厳重管理が重要

まず、BCCC副代表理事でカレンシーポート 代表取締役CEOの杉井靖典氏は「NEMに限らず、すべての仮想通貨は特性上、秘密鍵が流出してしまうとシステムに侵入する必要なく送金ができてしまいます。そのため、秘密鍵をいかに厳重に管理するかが重要。現時点では仮想通貨の課題とも言えるかもしれません」と仮想通貨における秘密鍵管理の重要性を述べた。

  • BCCC副代表理事でカレンシーポート 代表取締役CEOの杉井靖典氏

    BCCC副代表理事でカレンシーポート 代表取締役CEOの杉井靖典氏

秘密鍵とは仮想通貨を送金する際に使われる暗号のこと。決して自分以外の人には知られてはならない文字列なのである。

一般的に仮想通貨を取引する際は、まず、乱数を作成し、公開鍵暗号ペアの作成、ウォレットアドレス作成、トランザクション作成、トランザクションの署名を行うが、これらのステップをオンラインで行うことを「ホットウォレット」、オフラインで行うことを「コールドウォレット」と呼んでいる。特に秘密鍵はオンラインに置かないようにすべきであり、インターネットから隔離されたコールドウォレットの運用が望ましい。

また、秘密鍵は少ないほうが安全だが、1つだと盗難された際に取り返しがつかない。3~5つ程度の秘密鍵を分散管理し、通常2~3つを運用に利用するのが安全だと言われている。これを「マルチシグネチャ」と呼ぶ。

  • 仮想通貨のウォレット管理

    仮想通貨のウォレット管理

「コールドウォレットをマルチシグネチャで運用すると、トランザクションコストが2~3倍に増加し、オペレーションが損なわれてしまうため、実務では敬遠されがち。また、遠隔制御や即時出金などができなくなるなど、利便性を犠牲にしなければならないのです。現在マルチシグネチャのウォレットを持っているのは、bitFlyer社くらいではないでしょうか」と、杉井氏。

ただし、今回のコインチェックの事件を受けて、マルチシグネチャの運用が広まる可能性があるという。

シングルシグネチャの秘密鍵をホットウォレット運用していたことが原因か

コインチェックでNEMが盗難された理由として、杉井氏は「コインチェックでは、コールドウォレット保管率が高いと伺っていますが、NEMについてはシングルシグネチャがホットウォレットで保管されていたため、不正アクセスが発生したのではないかと考えられています。これはコインチェックのNEMだけではないため、ほかの取引所でも見直しが金融庁から指示されています」と分析する。

今回ターゲットになったのはコインチェックだが、ほかの取引所でも同様の盗難は起こり得るという。ウォレットの管理体制見直しが急務だ。

なお、秘密鍵は紙に印刷して保管するという手も考えられるが、実は印刷機の動作周波数などから解析が可能であったりと、完璧に安全といえるものではない。個人ユースの場合は仮想通貨専用のハードウェアウォレットが比較的安全だが、マルチシグネチャ業務を想定しておらず、比較的新しい暗号・署名アルゴリズムへの対応は遅くなりがちで、実際NEMに対応したのは2017年12月だった。今回NEMが狙われた理由の1つに、対策が未整備の新技術だったことも挙げられるのではないかと、杉井氏は考える。

多額の仮想通貨が盗難された今回のコインチェック事件だが、ブロックチェーンの技術発展に関しては大きな進歩を生む可能性があるという。

「盗難に遭ったNEMについては、ブロックチェーン上でウォレットが明らか。開発コミュニティはすでに当該ウォレットからNEMの移動をブロックチェーン上でマーキングし、移動についても追跡を行いやすく、身元を明かさずに現金化することが困難になっています。この技術は今後、犯罪性のある仮想通貨の移転防止などにも役立つでしょう」(杉井氏)