2017 年以降、暗号資産を狙うサイバー犯罪者の動きが顕著になってきています。特に、2018 年に入り、国内で立て続けに発生した暗号資産取引所からの流出事故は、暗号資産自体の信頼性や安全性にも関わる問題とされ大きな注目を集めています。
なぜ、取引所から暗号資産は流出してしまったのでしょうか?
暗号資産取引所から暗号資産を窃取する攻撃について、海外も含めた過去事例なども踏まえて考察します。
1.暗号資産取引所からの暗号資産流出の攻撃手法
暗号資産取引所に対する攻撃により、暗号資産を窃取する攻撃は国内では2011年ころから確認されています。被害から推測される攻撃手法ですが、1 つは「利用者口座の侵害」で、もう1つは「取引所システムの侵害」です。
①利用者口座の侵害
2018 年 1 月 10 日の「Zaif」事件についての公表内容からは、この事件が「利用者口座の侵害」であったことがわかります。直接的な被害原因は、利用者が口座の操作を外部からソフトウェアで行う際に使用する認証情報である「API キー」が突破され、利用者の口座が不正操作されたことです。次に、認証情報が突破された原因としては、「利用者自身の環境から認証情報が盗られた」、「取引所側から認証情報が漏えいした」、「別の経路で漏れた認証情報を利用(アカウントリスト攻撃)、もしくは辞書攻撃や総当たりなどの方法で認証情報が突破された」などの可能性があります。
利用者自身の環境から認証情報を盗む方法としては、フィッシング詐欺や不正プログラム感染があります。これは銀行など金融機関のネットバンキングサイトの認証情報を狙う攻撃と同一と言えます。
また、取引所側から認証情報が漏えいするケースの場合、一般の EC サイトに対するクレジットカード情報や個人情報を狙う攻撃と同一となります。つまり、取引所サイト自体への攻撃、もしくは取引所サイトを運営する企業のネットワークに侵入する標的型攻撃によって、取引所サイトが保持する顧客情報が窃取されます。
②取引所システムの侵害
2018 年 1 月 26 日の「Coincheck」事例についての公表内容からは、この事例が「取引所システムの侵害」であったことがわかります。利用者ではなく、Coincheck 自体の暗号資産アドレスから、多額の暗号資産「NEM」が数回にわたり送金されていたことが、公開されているブロックチェーン情報により確認可能です。
2.暗号資産(仮想通貨)に関する事故・事件例
最近の暗号資産(仮想通貨)に関する事故・事件では次のようなものがあります。
| 年 | 月 | 暗号資産取引所 | 国 | 被害金額 |
| 2014 | 2 | マウントゴックス | 日本 | 480億円 |
| 2016 | 8 | ビットフィネックス | 香港 | 66 〃 |
| 2018 | 1 | コインチェック | 日本 | 580 〃 |
| 〃 | 2 | ビットグレイル | イタリア | 184 〃 |
| 〃 | 6 | コインレイル | 韓国 | 44 〃 |
| 〃 | 〃 | ビッサム | 韓国 | 35 〃 |
| 〃 | 9 | ザイフ | 日本 | 67 〃 |
| 2019 | 7 | ビットポイント | 日本 | 30 〃 |
直近では本年の7月に日本で4度目となる暗号資産流出事故が発生しました。最近のものから紹介します。
(1) 2019年7月 ビットポイント事件
株式会社リミックスポイントの子会社であるビットポイントジャパンは7月12日、同社が運営する暗号資産取引所「BITPoint」から約30億円分の暗号資産が流出したと発表しました。
同社は暗号資産「リップル」の送金でエラーを検知し、情報システム部門などで調査をしたところリップルの不正流出を確認したと言います。翌日リップル以外の暗号資産の流出も確認し、売買・交換を含むすべてのサービスを停止させるに至りました。
流出した約30億円分の暗号資産は、約20億円が顧客からの預かり分、約10億円がビットポイントジャパンの保有分でした。
暗号資産の保管方法にはオンライン上で保管する「ホットウォレット」、オフライン環境下で保管する「コールドウォレット」の2つがありますが、流出したのはいずれもホットウォレットで保管していたものでした。
株式会社リミックスポイントは、取引所での通貨の不正流出は、ビットポイントジャパン社のウォレットサーバが不正アクセスを受け、同サーバで管理していたホットウォレットの秘密鍵が窃取・不正使用されたものと推測されると発表しました。コールドウォレットで管理している暗号資産と法定通貨について、不正流出等は確認されていないということです。
ビットポイントジャパンによれば、同社がホットウォレットで保管していたのは「ビットコイン」「ビットコインキャッシュ」「イーサリアム」「ライトコイン」「リップル」の5銘柄と言います。
暗号資産について国内交換業者が相次いで流出事故を起こしたことから、ルールの目的化や制度整備を目的に、資金決済法と金融商品取引法の改正が2019年5月31日に国会で成立。
改正法には仮想通貨をコールドウォレット等で管理することの義務化が盛り込まれていました。改正法は2020年6月までに施行されることとなっており、その狭間を狙われた可能性が高いものです。
ビットポイントジャパン社では、今後被害拡大を防止するための当面の対策として、ホットウォレットで管理する全仮想通貨のコールドウォレットへの移動などを上げています。
調査の結果、不正流出した暗号資産の種類と数量、及びその評価額(2019年7月11日午後4時時点のビットポイントジャパン社の日次公表レートで算出)は下記の通りです。なお評価額の合計は30.2億円(うち顧客預り分20.6億円/うちビットポイントジャパン社保有分9.6 億円)です。
流出数量:1,225BTC
評価額:15.3億円(うち顧客預り分12.8億円/うちビットポイントジャパン社保有分2.5億円)
流出数量:1,985BCH
評価額:0.7億円(うち顧客預り分0.4億円/うちビットポイントジャパン社保有分0.2億円)
流出数量:11,169ETH
評価額:3.3億円(うち顧客預り分2.4億円/うちビットポイントジャパン社保有分0.8億円)
流出数量:5,108LTC
評価額:0.5億円(うち顧客預り分0.4億円/うちビットポイントジャパン社保有分0.0億円)
流出数量:28,106,343XRP
評価額:10.2億円(うち顧客預り分4.4億円/うちビットポイントジャパン社保有分5.8億円)
(2) 2018年9月 ザイフ事件
テックビューロ株式会社は2018年9月20日、同社が運営する暗号資産取引所Zaifでの入出金停止に関しての経緯と、外部からの不正アクセスで同社管理の暗号資産約67億円相当が外部に流出したことを公表しました。コールドウォレットで管理している暗号資産と法定通貨については、不正流出等は確認されていないとしました。
事件は同社が入出金等の一部サービスが稼働していないサーバの異常を検知し、調査したところ、入出金用ホットウォレットの一部が外部から不正アクセスを受け、同社管理の暗号資産(BTC、MONA、BCH)が外部に流出したことが判明したというものです。
同社のハッキング被害での損失総額は日本円で約67億円相当と推測されます。
(3) 2018年1月 コインチェック事件
2018年1月26日、大手暗号資産取引所のコインチェックが不正アクセスを受け、顧客から預かっていた580億円相当の暗号資産が流出するトラブルが発生しました。被害額は、2014年に発生した「MTGOX事件」を上回る規模です。流出した暗号資産は「NEM」と呼ばれるものです。
同社は2018年1月26日午前11時25分、同社ウォレットに保管してあるNEMの残高が異常に減っていることに気づきました。調査した結果、不正アクセスによって5億2300万XEM(XEMは、NEMの単位。異常を検知した時点の相場で約580億円相当)が、外部アドレス宛てに送信されていることが判明しました。コインチェックが保有するNEMのほぼ100%に当たります。
暗号資産の保管先には、オフラインのコールドウォレット方式とオンラインのホットウォレットの二つがあり、前者の方がハッキングを受ける可能性が低く、相対的に安全性は高いものです。しかしコインチェックは、ホットウォレットでNEMを管理していました。同社はコールドウォレット対応には開発着手していたが間に合わなかったとしています。ビットコインやイーサリアムは、コールドウォレットに保管していたとしています。
(4) 2016年8月 BITFINEX(ビットフィネックス)事件
2016年8月には、世界有数の規模を持つ取引所である「BITFINEX」で、約65億円相当の巨額なビットコイン(BTC)盗難事件が起きています。
ビットフィネックスは、2015年にもハッキング被害に合っていて、世界でも最大級の取引所のため、多額の資金が集まり、犯罪者にも狙われやすかったのです。
ビットフィネックスは、安全な資産管理方法といわれるコールドウォレットでの保管を行っていたので、内部の犯行も疑われています。
(5) 2015年1月 Bitstamp事件
マウントゴックスの閉鎖後に最大規模を誇っていた取引所「Bitstamp」は、2015年1月、ハッキングによって500万ドル相当のビットコイン(BTC)を奪われてしまいました。
(6) 2014年2月マウントゴックス事件
2014年2月、世界最大の取引所に成長していた「マウントゴックス」が、ハッカーによる攻撃によってビットコインを盗まれたとして取引を中止。75万BTCと現金28億円、総額114億円相当が消失したとされ、取引所を閉鎖した上、経営破綻してしまいました。
しかし、警察の調べが進むに連れて、この事件はハッキングではなく、マウントゴックスの経営陣や取引先、関連企業等の横領が発覚しました。経営者も事件に関与していたため、その後逮捕されてしまいます。
結局、顧客の資産は戻らず、投資家は多大な損失を被りました。
まとめ
流出事件で狙われているのが「ホットウォレット」というオンラインでネットワークにつながった取引所の仮想通貨の保管場所です。ネットワークから切断された「コールドウォレット」に保管されている場合は安全性が確保されていると言えますが、内部犯行の場合は別です。
日本では改正資金決済法で、金融庁はホットウォレットを使う際、同種・同量の仮想通貨の保持を交換業者に義務付けました。また、ネットワークにつなげる作業は短時間でも必要なため、コールドウォレットにしたとしても100%安全というわけではありません。サイトとしてのセキュリティシステム全体が問われるでしょう。
コメントを残す