他の取引所も危ない!?Zaif70億円ハッキング被害解説!

仮想通貨取引所Zaifを運営するテックビューロは2018年9月20日未明、同社がハッキング被害に合い、計70億円相当の仮想通貨が流出したと発表しました。その詳細について解説したいと思います。

Zaifのハッキング盗難事件発覚の経緯

仮想通貨取引所Zaif(ザイフ)を運営しているテックビューロ株式会社は2018年9月17日にビットコイン(BTC)、ビットコインキャッシュ(BCH)、モナコイン(MONA)の入出金がサーバ障害の影響で停止していることを発表しました。

 

私も最初は、このニュースをTwitterで見て知りました。

この時は、Zaif(ザイフ)は1.2営業日で復旧すると発表していました。しかし、その時はサーバー障害の詳細については詳しく語られてはいませんでした。

しかし、これが単なるサーバー障害ではなかったんですね。

Zaifはサーバー障害を理由に入出金のサービス停止をしていましたが、20日明朝、テックビューロ社が運営する仮想通貨取引所Zaif(ザイフ)が先週14日にハッキング被害をうけた事をプレスリリース文にて公表しました。

仮想通貨の入出金停止に関するご報告はコチラ
https://prtimes.jp/main/html/rd/p/000000093.000012906.html

この時の発表では、被害総額は67億円で、流出の通貨はビットコイン(BTC)モナコイン(MONA)ビットコインキャッシュ(BCH)の3通貨となります。

その後、詳しい調査の結果、3種類のそれぞれの流出額は、ビットコインが約42億円、モナコインが約6億円、ビットコインキャッシュが約21億円とされ、これまで67億円と公表していた金額よりも3億円被害額が増えた約70億円と判明しました。

そもそも、Zaifのセキュリティ対策はどうだったのか?

1月に発生したコインチェックの巨額ハッキング事件以降、Zaifを運営している株式会社テックビューロは、テックビューロ(Zaif)セキュリティ対策室設置についてという記事を公開していました。

以下はその発表した記事の引用・まとめとなります。
詳しく知りたい方はこちらの本文を参照してください。

テックビューロ(Zaif)セキュリティ対策室設置について

セキュリティ対策室の要点をまとめると以下の通りです。

◆マルチシグの強化

Zaifは既存のウォレットがすでにマルチシグ化されている通貨を含め、更なるマルチシグの強化を行うと発表しました。

具体的な2つの対策
①マルチシグにおける署名サーバー環境の更なる分散化
②マルチシグにおける署名手順の更なる複雑化


マルチシグとは、簡単に言うと、ビットコインの秘密鍵が一つだけでなく、複数に分割されていて、アクセスは一定数以上の鍵を合わせる必要があるようなものです。

マルチシグアドレスの場合、鍵、というか文字通り署名が複数あり(マルチ=複数、シグネチャー=署名)それを分散して管理することで仮に一つの端末がハックされたり、パスワードが一つ流出したりしても、ビットコインの盗難を防ぐことができます。

ハッカーは複数の端末やサーバーなどを同時に攻撃する必要があり、鍵が複数必要なことでセキュリティーが何倍、何十倍も上がると考えられています。

金庫の鍵も1つよりは、2つ、2つよりは3つあった方がセキュリティーが高くなるようなものです。

◆ホット・コールドウォレット環境の強化

コインチェックのNEM流失事件は、オンライン環境(ホット・ウォレット)で通貨を管理していたことで起きました。Zaifもコールドウォレット管理を行っていましたが、更なる環境の強化を発表しました。

具体的な3つの対策
①ホット比率の見直しとコールド比率の引き上げ
②ホットウォレット管理において更に高度な残高予測アルゴリズムの導入
③利用者の使用感を損なう可能性があるが、コールドウォレッのト優先化

 

ホットウォレットとは?

常時ネットワークに接続された環境にあるウォレットのことを言います。

メリットとしては、外部からのアクセスで手軽にビットコインを引き出すことが出来る。一方デメリットとしては不正アクセスによってビットコインを第三者に送金されてしまう可能性があることや、外部からの攻撃によって侵入の成功=即盗難・流出となる。

有名なところで言いますと、Mycelium ・breadwallet ・Edge・GreenBits ・Bitcoin Wallet などがあります。コンピュータ、携帯電話、タブレットなどのインターネットに接続された端末で作動するウォレットです。

コールドウォレットとは?

ネットワークから隔離された環境に秘密鍵を保存しておき、残高確認専用のウォレットです。

メリットとしては、インターネットに接続されていない状態。いわばアナログ的な鍵で管理をするため、不正アクセスに退位する安全性が高いと言われています。一方、デメリットとしては、送金するのに不便
であるということと、紛失など鍵の管理方法が重要となります。

有名なところで言いますと、Ledger Nano S・TREZOR・KeepKeyなどがあります。当然、インターネットからの盗難はありませんが、物理的な盗難被害に遭うリスクはありますので注意が必要です。

◆インシデント時における対策と体制の強化

コインチェック事件のような問題が万が一にも発生する可能性を考慮し、過去のインシデント対応で直面した問題や現状の改善を発表しました。

具体的には以下の5つを挙げています。
①顧客へのヒアリング、内部ログの監査、時間を要していたプロセスの迅速化
②サポート部門との調査における連携の強化と、お客様への情報提供の迅速化
③管理部といの連携の強化と、各省庁への情報提供の迅速化
④管理部の連携の強化と、各省庁への情報提供・共有または瑕疵や過失の特定の迅速化
⑤保証の有無やその内容の意思決定の迅速化

 

上記のようにZaifではAPIキー(アプリケーションプログラミングインターフェース)の不正利用による不正取引が行われ大きな問題となりました。

この過去の事例で起きた問題を教訓とし更なる対応力の向上を目指していることがわかります。

過去に発生したZaifの2つの問題

21億BTCの出現

そもそも、ビットコインの最大発行枚数は2100万枚を上限としているにも関わらず、Zaifの取引板に21億BTC出現して0円で買えてしまうというバグが発生。

購入した人の個人資産が2246兆円になり大問題となった。しかしアカウントロックを何度かかけられた後に、21億BTCの取引自体がなくなったということです。この時、Zaifには、電話番号を添えて公式サイトの問い合わせフォームで報告したそうですが、返ってきたのはテンプレートの自動返信と「アカウントのロックを解除した」旨の連絡のみ。それ以外には折り返しの電話もメールもなかったそうです。

詳しいサイトはコチラ↓
https://www.buzzfeed.com/jp/ryosukekamba/menmen

一瞬でBTCが約110万円→約65万円へ大暴落

ビットコインの価格が一気に垂直降下した謎の事件。ひたすら「注文が出来ない」というチャットで話題になりました。

「Zaif」のビットコイン乱高下の顛末…全財産失った人も

こういう問題が頻繁に起きると、セキュリティに関する信頼が揺らぎますよね。

海外の反応と専門家の意見

日本でZaifの一件が問題化したことで、海外でも日本のセキュリティに対する様々なコメントが挙げられています。やはり批判的な声が多数を占めている印象ですね。

以下翻訳

「日本はサイバー空間におけるセキュリティに、いつも大きな問題をかかえている。さらに問題なのは、未だにそういった問題に対応できる企業がいない事だ。Zaifユーザーはとても気の毒でならない。」

以下翻訳

すべての主要な仮想通貨のハッキング攻撃(Bithumb、Zaif、Coincheck、Coinrail)は日本と韓国で発生しました。政府/治安機関が言っているように、4つの取引所すべてが貧弱なセキュリティシステムを持っていた。米国/欧州では、ほとんどの取引所は被害を受けていない。

また、堀江さんは、Zaif不正アクセスでビットコインの流出事件について次のようにコメントをしています。

セキュリティ部門は比較的強固だったはずのZaifが、このようなクラッキングをされたことに関しては、ちょっと違和感を覚えている。これが純粋な攻撃によるクラッキングだとしたら、仮想通貨取引所の運営にはかなりのリスクが生じると言わざるを得ない。

このコメントを見ると、Zaifのセキュリティは比較的、強固だったことが考えられます。堀江さんは以前、Zaifの技術アドバイザーもしていたという記事もみたことがあるので、かなり信憑性は高いですよね。

純粋なクラッキングによる被害だとすると、仮想通貨取引所が抱えるリスクはかなり高いってことになりますよね。まぁ一撃何十億円の被害を受けるとなると分かる気もします。

不正アクセスをする犯罪者側からしたら、今となっては仮想通貨取引所へのハッキングは、おいしい犯罪にしかならないですよね。専門的な知識がいるだけで、低リスク(捕まらない)高リターン(一撃が大きい)ということになります。

フィスコがZaifに金融支援50億円で資本参加を検討

テックビューロは顧客資産を毀損させないために、フィスコから50億円の金融支援を受けることを発表しました。またフィスコが子会社を通じてテックビューロの過半数の株式を取得する資本提携を締結した。フィスコがテックビューロに過半数以上の取締役および監査役1名を派遣するというニュースが出ました。

50億円の資本参加を発表した後、フィスコの株価は下のチャートからも分かるように、単純に1.2倍程上昇しました。フィスコの自己資本自体は四季報最新号では20億円程度です。自己資本が20億円の会社で50億円というお金を一体どこから捻出してくるのか財源が気になるところです。

会社のIRなどの情報を見るとグループ企業である「フィスコデジタルアセットグループ」の子会社からZaifに50億円の支援を実行するとされていました。

まとめ

9月25日の段階でテックビューロ株式会社は、仮想通貨交換業の適正かつ確実な遂行に必要な態勢構築を堅実に履行するため、近畿財務局から業務改善命令を受けることになりました。

近畿財務局から本日発出された業務改善命令について

しかし、2月にネムのハッキング事件を起こしたコインチェックは半年以上経過した現在でも取引所の免許は下りず、新規口座の受付は停止となっています。

恐らく、金融庁・近畿財務局からしたら「もう再開させたくない・・・」これが本音ではないでしょうか。コインチェック、ザイフが仮に再開して、再度、ハッキング被害を受ける可能性もゼロではないですからね。役人仕事の観点からしたら、「次、被害が出たら金融庁が責任を負わないといけない・・・」これだけは避けたいところですからね。

ザイフも年内は新規口座の開設は停止となる可能性が高いと思います。

しかし、仮想通貨取引所のハッキング被害は、過去の主な仮想通貨盗難事件を見ても、特に日本に多いイメージがありますが、この辺りのセキュリティに関しては今後の対策が必須でしょう。

今後の、仮想通貨取引所のセキュリティに関するニュースに注目しながら、個人で出来る対策(取引所に通貨を放置しない)は面倒だと思っても資産管理として行うようにしていきましょう。

今後も、新たなニュースが出てきましたら記事にしていきます。

 

 

 

 

 

 

 

 

 

 

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください

ABOUTこの記事をかいた人

大阪在中の個人投資家・企画マーケッター。これまで株式投資・FX等の経験を経て、2016年から仮想通貨トレードを開始。2017年の仮想通貨バブルで一定の資産形成に成功しました。 現在は、初心者向けのスタートアップの解説サイト「仮想通貨INVEST2.0」を運営しながら、企画マーケティングのビジネスを展開しています。主に企画コンサルティング・商品開発サポート・販促マーケティングをしています。仮想通貨に限らず様々な情報をお届けします。