コインチェック不正流出が起こった原因を徹底解説!!
※経緯を少しだけお話しています。本文から読みたい方はそのまま飛ばしてちゃってください。
経緯を少しだけ先にまとめると・・・
1月26日に起こった不正流出事件。事の始まりは一通のメールからです。coincheckでコインを保持している僕に13時頃突然、こんなメールが届きました。
現在、NEMの入金について制限をさせていただいております。入金を行いました場合、残高に反映がされませんため、入金を行わないようお願い申し上げます。みなさまには大変ご迷惑をおかけしておりますが、ご了承くださいますようお願い致します。
詳細に関しましては、判明次第、当ブログや公式SNSにてお知らせを致します。
何卒、よろしくお願い申し上げます。
出典:僕のgmailに届いたメール
このメールを仕事中に受け取った僕は、(ん?なんかおかしいなぁ、、)と思いつつ、次の予定があったため、携帯を閉じた。
しかし、このとき事件は起こっていました。
そう。既に、流出が起こっていたのです。
時系列でまとめると、こうなる。
2時57分(以後、すべて1月26日):事象の発生(コインチェックのNEMアドレスから、5億2300万NEM(検知時のレートで約580億円)が送信される。11時25分:NEMの残高が異常に減っていることを検知
11時58分:NEMの入出送金を一時停止
12時7分:NEMの入金一時停止について告知
12時38分:NEMの売買一時停止について告知
12時52分:NEMの出金一時停止について告知
16時33分:日本円を含むすべての通貨の出金を一時停止について告知
17時23分:ビットコイン以外の仮想通貨の売買、出金を一時停止・告知
18時50分:クレジットカード、ペイジー、コンビニ入金の一時停止について告知
「NEM」とは、コインチェック内にある、仮想通貨の一種です。ざっくりまとめると、その通貨が1月26日明朝の2時57分に不正送金されていたのに、約8時間もの間それに気づかず、対処が遅れたのです!!
ここから、本題に入ります。
なぜ、不正流出は起こったのか。ー2つの重大理由
原因その①ーマルチシグで保管を行っていなかった。
――(秘密鍵を分散管理する)マルチシグで保管していなかったのか。「やっていなかった。結果的にこうした事態を引き起こした」
マルチシグとは
マルチシグ(マルチシグ対応のアドレス)とは簡単に言えば、ビットコインの秘密鍵が一つではなく、複数に分割されており、ビットコインへのアクセスは一定数以上の鍵を合わせる必要があるようなイメージです。
通常(マルチシグでないもの)、秘密鍵は一つの端末やパスワードに依存しています。つまりパソコンやスマホがウィルスにかかったり、パスワードをハックされたりすると自分のビットコインを失うリスクがあることになります。攻撃の対象が一つ(Single point of failure)ということです。
マルチシグアドレスの場合、鍵、というか文字通り署名が複数あり(マルチ=複数、シグネチャ=署名)それを分散して管理することで仮に一つの端末がハックされたり、パスワードが一つ流出したりしても、ビットコインの盗難を防ぐことができます。ハッカーは複数の端末やサーバーなどを同時に攻撃する必要があり、鍵が複数必要なことでセキュリティーが何倍、何十倍も上がると考えられています。
マルチシグの意味を金庫で例えると、通常の金庫→鍵が1つで開けられる
マルチシグで保管している金庫→鍵を分散しているため、複数の鍵がないと開けない
ということ。
このマルチシグ対応、BitflyerやBitbankでは、2015年段階で既に対応されていました。しかし、コインチェックでは1月26日までマルチシグ対応を行っていなかったため、用意に鍵を開けられてしまった。
原因その②-ホットウォレットでコインを管理していた。
「(ネットに常時つながっている)ホットウォレットに入っていた。(ネットを遮断した)コールドウォレットでの管理はシステム的に難易度が高く、対応できていなかった。技術的な難しさと人材不足が原因。開発に着手してきたが、今回の事象までに間に合わなかった」
ウォレット(財布)には、ホットウォレットとコールドウォレットがあります。
ホットウォレットとは
ホットウォレットとは、ネットに常時接続されている環境にあるウォレット(財布のようなもの)の事で、このウォレットの特徴として、コインをいつでも送金できるという点がある。
コールドウォレットとは
コールドウォレットは、ネットワークから隔離された環境(オフライン)にウォレットを置いておく事を言います。一例として、「ペーパーウォレット」や「ハードウェア型ウォレット」があります。
ペーパーウォレットは紙にビットコインを保管するので作成してしまえばハッキング被害に合う事は有り得ません。しかし、紙はネットに接続できませんので入っているビットコインをそのまま送金する事もできません。
ハードウェア型ウォレットはオフライン端末にビットコインを保管しておきます。ペーパーウォレットとは異なりインク等の劣化が無いのでより安全に保管をする事ができます。
コインチェックの場合、全てのコインをホットウォレットで管理していました。ちなみに、コインチェックがコインをコールドウォレットで管理しなかった理由として、
「システム的難易度」や「人材不足」をあげています。
以上、コインチェックが不正流出を起こした原因でした。この他にも、コインが大量に流出した際には警報が鳴るシステムを搭載していたものの、それに気づかなかったなどの原因はあります。
最後に今回の事件に対するネット上での声をあげていきます。
