取引所のZaifから仮想通貨67億円相当が流出。9月14日に不正アクセス、異常検知は17日

仮想通貨取引所のZaifが、ビットコイン、ビットコインキャッシュおよびモナコイン合計67億円相当を盗まれるハッキング被害にあったことを公表しました。このうち顧客所有の資産額は約45億円。

Zaifでは9月14日より一部サービスが停止しており、その原因を調査したところ入出金用ホットウォレットに外部から不正アクセスがあり、仮想通貨の一部が流出していたことが判明したとのこと。

このためZaifは20日、顧客資産を毀損しないための財源確保としてフィスコデジタルアセットグループの子会社を通じ50億円の金融支援を含む契約を締結し、さらに金融関係のシステム開発を手がけるカイカとの間でセキュリティ改善のための技術提供契約を結んだことをあわせて発表しました。Zaifでは仮想通貨の保管には安全なコールドウォレット(インターネットに直接つながっていないオフラインのウォレット)を使用しているものの、入出金を行う際にはホットウォレットを利用しています。これはどこの取引所でも同じことですが、Zaifはこのホットウォレットを管理するサーバーに、平成30年9月14日の17時から19時頃にかけて外部からの不正アクセスがあったとしています。

このサーバーのホットウォレットに保管されていて盗まれたのは、ビットコインが5966 BTCとされるものの、ビットコインキャッシュ(BCH)とモナコイン(MONA)は調査中としており、正確な数値もまだわかっていません。Zaifは数値がわからない理由として、二次被害防止のためサーバーの稼働を止めているからと説明しています。

時系列で追うと、9月14日の夕方に不正アクセスがあったにもかかわらず異常を検知したのが17日、原因をハッキングと判断したのが18日、そして問題の公表が20日となっており、対応の遅さがかなり気になるところ。

仮想通貨界隈では、Zaifのサービスが不安定なことに関してはなかば "いつものこと" という認識ができあがっていたようです。しかし実際に不正アクセスが起こってから公表までの対応の遅さは、金融支援とセキュリティ改善の契約を問題公表より優先したのでは、と疑ってしまいたくなるところかもしれません。

なお、Zaifは今回の件に関してフィスコグループとの間で50億円を提供する金融支援のほかに「Zaif株の過半数をフィスコグループが取得する資本提携、過半数以上の取締役及び監査役の派遣を検討する内容とする基本契約」を締結したとしており、Zaif経営陣は問題解決後にはフィスコグループの経営陣に引継ぎのうえで退任する方針だとしています。

67億円という額は、コインチェックが流出させた約580億円相当(当時のレート)に比べれば少額なものの、それでも十分すぎるほど高額です。問題は業者の運用とセキュリティ体制の甘さであるはずですが、今回の件はまた「仮想通貨は危険」という認識を一般に印象づけることになりそうです。