昨年12月、六本木ヒルズの入り口部分に張り出された巨大ポスター(編集部撮影)

1月26日の未明、仮想通貨取引所大手・コインチェックで起きた仮想通貨「NEM(ネム)」の流出問題。その余波が収まらない。

不正アクセスで流出したNEMは、日本円に換算して約580億円。2014年に当時世界最大の仮想通貨取引所だったマウントゴックスが起こした流出事件を上回る規模となった。

その後の調査によって、NEMは不正アクセスからわずか20分でほぼすべて流出したことがわかっている。だが、コインチェックが流出を検知したのはおよそ半日後。現在、警察当局も含め実態を調査中だが、いまだ犯人はわかっていない。

問題はセキュリティの不備

今回の不正アクセスを許したのが、コインチェックのセキュリティの不備であったことは間違いない。

取引所を監督する立場の金融庁は、「コールドウォレット」と呼ばれる、インターネットとは接続していない状態で仮想通貨を保管する方法を推奨している。ところがコインチェックは、NEMの全量を「ホットウォレット」というネットと接続した状態で保管していた。


NEMの大量流出の一因となったコインチェックの保管体制について、業界内に同情の声はない。複数の取引所幹部が、このような保管の仕方は「論外」だと口をそろえる。

ホットウォレット、コールドウォレットとは、送金時に用いる秘密鍵の管理方法のこと。銀行で例えると、送金時に用いる秘密鍵が銀行届出印で、ウォレットがその印鑑入れになる。

ホットウォレットは、ウォレットをインターネットに接続して運用する状態を指す。ネットに接続されているため、送金処理が即時にできる。いわば印鑑を手元に置いているような状態だ。印鑑入れをネットにさらしているので、その分、中身の印鑑を盗まれるリスクも高くなる。

コールドウォレットの方が安全性が高い

一方のコールドウォレットは、ネットから隔離したところに秘密鍵を保管して運用する状態をいう。コールドウォレットには、紙に印刷しておくペーパーウォレットや仮想通貨専用デバイスといった種類がある。保管場所も実物の金属製の金庫など、外部の目に簡単に触れない場所にする。


必要なときにはその都度取り出しに行くことになるので、即時送金などはできない。反面、ネット上での盗難リスクは下がる。

ビットコインなど主要な通貨であれば、一般的に取引所は顧客から預かっている分の一定量をコールドウォレットで保管し、安全性の確保を図っている。

さらに、ホットウォレットであってもこれがあれば大量流出を防げたかもしれないといわれているのが、マルチシグネチャー(マルチシグ)対応だ。

マルチシグは、複数の秘密鍵を用いて電子署名を行ううえに、その鍵を分散して管理しておく仕組み。秘密鍵が複数あれば、一つ盗まれてもカバーできる。三つの秘密鍵のうち二つ合えば送金できる、というような運用をする。コインチェックのNEMの保管方法は、同方式に対応していなかった。

本誌は主要取引所の運営会社10社を対象に、緊急アンケート調査を行った(下表)。コインチェック同様、ホットウォレットかつ非マルチシグで保管されている仮想通貨の有無を聞いたところ、回答があった6社のうち「ない」と断言したのはQUOINEだけだ。


同社は、「コールドウォレットで100%管理している」とするが、このような取引所はむしろ少数派だろう。利用者からすると、即時送金などの利便性は取引所を選ぶ際のポイントになる。一定量をホットウォレットで管理することは取引所の判断として理にかなっている。

実際、コインチェックと取扱高で首位を争うビットフライヤーは、「ビットコインのように入出金の多い通貨は8割をコールド、2割をホットに置くという運用をしている」(金光碧取締役)。

ビットポイントジャパンも、「コールドでの保管比率は6〜7割。同比率を9割以上にするというのは非現実的」(小田玄紀社長)とのスタンスだ。

なおホットウォレットで保管している分については、ビットバンクのように「自己資本で賄える額しか入れない」(廣末紀之CEO)など別途策を講じているところもある。

リスクはゼロにできない

ただ改善の余地は大きい。今回の件を受けてビットフライヤーは、ビットコインと違って取引量の少ない通貨についても、「ビットコイン同様に8割はコールドに保管する」(金光取締役)ことにした。

マルチシグの採用については、確認可能な複数社の状況を見ると途上段階だ。通貨によって技術的なハードルが異なるという事情はあるものの、この点は今後の課題だろう。


当記事は「週刊東洋経済」2月10日号 <2月5日発売>の記事を一部転載したものです

ホットかコールドかという以前の問題もある。ビットポイントの小田社長は「安全な自社専用のプライベートサーバーで運営しているのか、アドレス(口座番号に相当)と秘密鍵を別のサーバーで管理しているのかが重要」と話す。

リスクをゼロにすることは不可能だ。だが、通貨とうたう以上は安全や信用が大事。仮想通貨取引所が経済社会に根付くためには、コインチェックの件を教訓とし、襟を正す機会にしなければならない。