仮想通貨そのものと取引所の不備は分離する必要がある
── 仮想通貨取引所特有の問題として知るべきことはあるか。
安田 仮想通貨の取引所で特有の問題としては、今回の事件で話題となったコールドウォレットの管理とマルチシグがある。報道では同列に扱われることが多いが、セキュリティ対策としてはコールドウォレットの比重が大きい。コインチェック社からは、技術的に難しく実現できなかったという説明があった。NEMをコールドウォレットで管理すること自体は技術的に難しいとは言えない。仮想通貨取引所としての運用上の課題があった可能性はあるが、「どのように難しかったか」という説明はないため、判断できない。
── コールドウォレットやマルチシグとは何か。
安田 コールドは“オフライン”、ホットは“オンライン”という意味だ。つまりコールドウォレットに仮想通貨を保管するとは、ネットワークに接続しない(または通常ネットワークとは分離した)オフライン環境に秘密鍵を保管することである。コールドウォレットから送金をする場合、まずオンライン上にあるウォレットで送金データを作り、それを秘密鍵が保管されているオフラインの環境に移動して署名し、また署名済みの送金データをオンライン環境に戻す、などの方法が取られる。運用にやや手間はかかる。ちなみに、報道などでは仮想通貨を保管する小型のデバイスがコールドウォレットの例として示される場合があるが、これは個人向けのハードウェアウォレットと呼ばれるものであり、仮想通貨取引所など事業者がコールドウォレット運用を行う際に必ずしもそのようなデバイスを利用しているわけではない。
個人が利用するウォレットでは、その人が送金したいと考えれば送金することができる。しかし企業でウォレットを運用する際には、複数の担当者が許可することではじめて送金できる仕組みを取り入れたいケースがある。これを実現するのがマルチシグだ。担当者のひとりが退職した場合には、その人のアカウントを無効にすることができる。また、新たに承認用のアカウントを追加することもできる。企業における仮想通貨の管理には必須の機能といえる。NEMは比較的簡単にマルチシグの機能を使うことができる仮想通貨のひとつだ。
ーー コールドウォレット対策の比重が高いとは?
安田 例えば、マルチシグを導入していたとしても、複数の承認者アカウント(秘密鍵)が送金に必要な数だけ奪われてしまった場合には不正送金が行われてしまう。また、マルチシグ機能の脆弱性が攻撃される可能性もある。ネットワークから遮断された環境に秘密鍵を保管するコールドウォレットの方が、外部から侵入してくる攻撃者を想定した場合のセキュリティ対策としては優先度が高い。
寺尾 もうひとつ注意したいのは、コールドウォレットもセキュリティを担保する細かな技術要素の一部に過ぎない点だ。コインチェックはそもそも、セキュリティ保持のための体制やポリシーの徹底が不十分だったのではないか。報道では、細部の技術的な部分に陽が当たりすぎているきらいがある。細かな内容を理解しなくても、言葉で示されると納得してしまう面もある。
ーー 仮想通貨にはビットコインを始めとしてたくさんの種類がある。一様の対応が可能なのか?
安田 仮想通貨によって対応方法は異なる。マルチシグに関しては、利用できない仮想通貨もある。ただし先に述べた通り、NEMは比較的簡単にマルチシグを利用できる仮想通貨のひとつだ。一方、コールドウォレットによる仮想通貨の保管は、例外はあるもののどの仮想通貨でも基本的には対応が可能だ。
ーー 仮想通貨そのものに危険性はあるか?
寺尾 仮想通貨自体はブロックチェーン技術などを使って管理されている。しかし取引所はその外側にあり、分けて考える必要がある。今回のケースに関しては取引所側のセキュリティ対応に問題があった。
ーー NEMが狙われた理由は?
安田 短期間に大量の現金(法定通貨)を入手することが狙いだった場合、NEMを狙うことのメリットは大きくない。NEMはビットコインなどと比較して流通量が多いわけではない。また市場での取引量は日本の取引所が大きい割合を占めている。日本の取引所で仮想通貨の売買を行うためには本人確認が必要であり、身元が割れやすい。一方、海外の取引所ではいまだにメールアドレスだけで登録できるものもある。そのような取引所で取引量の多い仮想通貨や、匿名性の高い仮想通貨を狙った方が、他の仮想通貨や法定通貨への換金を行うには効率的だったはずだ。
寺尾 換金のしにくい通貨をなぜ狙ったのかという疑問はある。さらにNEMの場合は取引履歴がすべて透けて見えてしまう。あえてNEMを狙ったとは考えにくい。
ーー 取引所内で偶然セキュリティの弱い部分を見つけたということか?
安田 ここは判断できない。
寺尾 コインチェックはほかの仮想通貨も扱っている。なぜコインチェックを狙ったのか。なぜNEMだったのかは断言できない。偶然の可能性も、かく乱を狙った可能性もあり、一概には言えない。「日本で狙われた取引所がコインチェックだった」という事実だけがある。取引所が狙われる傾向が高いのは、世界で共通している。
安田 例えばNANOという、NEMよりもマイナーな仮想通貨があるが、2月にはイタリアの取引所がクラッキングの被害を受け、211億円相当(事件当時)のNANOが盗難されたとの報道があった。以前はビットコインやEthereumなど比較的メジャーな仮想通貨や規模の大きい取引所が狙われるケースが多かったが、そのような取引所のセキュリティ対策が進んでくると、今後は徐々にマイナーな仮想通貨や規模の大きくない取引所が狙われる傾向に変わってくるかもしれない。
