• follow us in feedly
scroll_icon
shuffle_button
コインチェック不正流出が起こった原因を徹底解説!!

コインチェック不正流出が起こった原因を徹底解説!!

Author:
TokuharasansanTokuharasansan
Posted date:
コインチェック不正流出が起こった原因を徹底解説!!
※経緯を少しだけお話しています。本文から読みたい方はそのまま飛ばしてちゃってください。

経緯を少しだけ先にまとめると・・・

1月26日に起こった不正流出事件。事の始まりは一通のメールからです。
coincheckでコインを保持している僕に13時頃突然、こんなメールが届きました。
現在、NEMの入金について制限をさせていただいております。入金を行いました場合、残高に反映がされませんため、入金を行わないようお願い申し上げます。

みなさまには大変ご迷惑をおかけしておりますが、ご了承くださいますようお願い致します。
詳細に関しましては、判明次第、当ブログや公式SNSにてお知らせを致します。

何卒、よろしくお願い申し上げます。

出典:僕のgmailに届いたメール

	
このメールを仕事中に受け取った僕は、
(ん?なんかおかしいなぁ、、)と思いつつ、次の予定があったため、携帯を閉じた。
しかし、このとき事件は起こっていました。
そう。既に、流出が起こっていたのです。

時系列でまとめると、こうなる。

2時57分(以後、すべて1月26日):事象の発生(コインチェックのNEMアドレスから、5億2300万NEM(検知時のレートで約580億円)が送信される。

11時25分:NEMの残高が異常に減っていることを検知

11時58分:NEMの入出送金を一時停止

12時7分:NEMの入金一時停止について告知

12時38分:NEMの売買一時停止について告知

12時52分:NEMの出金一時停止について告知

16時33分:日本円を含むすべての通貨の出金を一時停止について告知

17時23分:ビットコイン以外の仮想通貨の売買、出金を一時停止・告知

18時50分:クレジットカード、ペイジー、コンビニ入金の一時停止について告知

出典:コインチェックが580億円のNEM不正流出について説明、補償や...

	
「NEM」とは、コインチェック内にある、仮想通貨の一種です。
ざっくりまとめると、その通貨が1月26日明朝の2時57分に不正送金されていたのに、約8時間もの間それに気づかず、対処が遅れたのです!!
ここから、本題に入ります。

なぜ、不正流出は起こったのか。ー2つの重大理由

原因その①ーマルチシグで保管を行っていなかった。

――(秘密鍵を分散管理する)マルチシグで保管していなかったのか。

 「やっていなかった。結果的にこうした事態を引き起こした」

出典:補償・対応「検討中」繰り返す コインチェック会見  :日...

	

マルチシグとは

マルチシグ(マルチシグ対応のアドレス)とは簡単に言えば、ビットコインの秘密鍵が一つではなく、複数に分割されており、ビットコインへのアクセスは一定数以上の鍵を合わせる必要があるようなイメージです。

出典:Multisig(マルチシグ)って何? - ビットコインダンジョン

	
通常(マルチシグでないもの)、秘密鍵は一つの端末やパスワードに依存しています。つまりパソコンやスマホがウィルスにかかったり、パスワードをハックされたりすると自分のビットコインを失うリスクがあることになります。攻撃の対象が一つ(Single point of failure)ということです。

出典:Multisig(マルチシグ)って何? - ビットコインダンジョン

	
マルチシグアドレスの場合、鍵、というか文字通り署名が複数あり(マルチ=複数、シグネチャ=署名)それを分散して管理することで仮に一つの端末がハックされたり、パスワードが一つ流出したりしても、ビットコインの盗難を防ぐことができます。ハッカーは複数の端末やサーバーなどを同時に攻撃する必要があり、鍵が複数必要なことでセキュリティーが何倍、何十倍も上がると考えられています。

出典:Multisig(マルチシグ)って何? - ビットコインダンジョン

	
マルチシグの意味を金庫で例えると、
通常の金庫→鍵が1つで開けられる
マルチシグで保管している金庫→鍵を分散しているため、複数の鍵がないと開けない
ということ。

このマルチシグ対応、BitflyerやBitbankでは、2015年段階で既に対応されていました。

しかし、コインチェックでは1月26日までマルチシグ対応を行っていなかったため、用意に鍵を開けられてしまった。

原因その②-ホットウォレットでコインを管理していた。

「(ネットに常時つながっている)ホットウォレットに入っていた。(ネットを遮断した)コールドウォレットでの管理はシステム的に難易度が高く、対応できていなかった。技術的な難しさと人材不足が原因。開発に着手してきたが、今回の事象までに間に合わなかった」

出典:補償・対応「検討中」繰り返す コインチェック会見  :日...

	
ウォレット(財布)には、ホットウォレットとコールドウォレットがあります。

ホットウォレットとは

ホットウォレットとは、ネットに常時接続されている環境にあるウォレット(財布のようなもの)の事で、このウォレットの特徴として、コインをいつでも送金できるという点がある。

コールドウォレットとは

コールドウォレットは、ネットワークから隔離された環境(オフライン)にウォレットを置いておく事を言います。
一例として、「ペーパーウォレット」や「ハードウェア型ウォレット」があります。
ペーパーウォレットは紙にビットコインを保管するので作成してしまえばハッキング被害に合う事は有り得ません。しかし、紙はネットに接続できませんので入っているビットコインをそのまま送金する事もできません。

出典:ビットコインのコールドストレージ(コールドウォレット)と...

	
ハードウェア型ウォレットはオフライン端末にビットコインを保管しておきます。ペーパーウォレットとは異なりインク等の劣化が無いのでより安全に保管をする事ができます。

出典:ビットコインのコールドストレージ(コールドウォレット)と...

	
コインチェックの場合、全てのコインをホットウォレットで管理していました。
ちなみに、コインチェックがコインをコールドウォレットで管理しなかった理由として、
「システム的難易度」や「人材不足」をあげています。
以上、コインチェックが不正流出を起こした原因でした。
この他にも、コインが大量に流出した際には警報が鳴るシステムを搭載していたものの、それに気づかなかったなどの原因はあります。

最後に今回の事件に対するネット上での声をあげていきます。
Coincheck会見まとめ

・5億2300万xemが盗まれた
・被害額は580億円相当
・原因は不正アクセス
・全部ホットウォレットで保管してた
・NEMの保証も検討中
・取引履歴は残ってる
・抜かれた送金経路を調査中
・他のコインに関しても調査中
・社長が泣きそう

	
ワイXEMホルダー、出金停止を受けてCoinCheck本社前で泣き崩れる。
なお、去年からコソコソ買い増していたため、含み損で外車が買える額のもよう
	
Q.セキュリティが甘かったのでは?
A.さすがにそれはございません。
Q.マルチシグの対応はしていたのか?
A.していませんでした。
Q.マルチシグは今や当たり前。それを甘かったというのでは?
A.沈黙 ←いまここ
	
コインチェック酷いことになっちゃったな、、これきっかけにどんどん下がるのかな、、
	
こういう事件を繰り返して普及して活性化されていくんだと思いたい。仮想通貨はオワコンではなくまだまだこれから。始まりの始まり。それでも被害にあった側はたまったもんじゃないけどね。
	
coincheckさんから出勤できるようにならないと死ぬ 日本円持ってないわろ
	

この記事が気に入ったら

いいね!しよう

Sharetubeの最新記事をお届けします

著者プロフィール
Tokuharasansan

IT系の会社で営業・人事・マーケしてます。 恋愛相談もよく受け付けています。