2018年1月26日、仮想通貨取引所のコインチェック(coincheck)で5.26億XEM(579億円相当)のNEM(XEM)が不正に引き出された件の速報をお送りします。
ちなみに、筆者もXEMを5桁枚程コインチェックに入れていたので当事者としての立場でもあります。
あわせて読みたい
時経緯
・1/26 3:00頃 コインチェックのNEMアドレスから5.23NEMが送信された。580億円相当。
・1/26 11:25 NEMの残高が異常に減っていることを検知
・1/26 11:58 NEMの出入金を停止
・1/26 12:57 NEMの売買停止
・1/26 16:00 JPY含む全通貨出金送信停止
・1/26 17:23 BTC以外の全通貨の売買を停止
本事象は金融庁及び警視庁に報告済み。NEM財団、国内外の取引所と連携を行い、送信されたNEMの追跡及び売買停止の協力要請中。
[the_ad id=”7916″]
記者会見の動画がYouTubeにアップロードされていたので、実際に見てみたい方は以下よりどうぞ。
質疑応答
記者会見では、代表取締役の和田晃一良、取締役の大塚雄介、顧問弁護士の3人になりました。。
筆者が聞きとれなかったもの、記者の見当違いの質問については抜いております。
<盗難被害が起こった規模は?>
580億円は顧客の資産、人数は何名が該当しているか確認中。
規模感はまだ把握できていない。
<補償について>
現在検討中。顧客の保護が最優先検討。
財務的にどれくらいの影響を与えるかは精査中。できるだけ顧客に迷惑をかけないようにしたい。
NEMで補償するか、円で補償するかは検討していく。
<NEMハードフォークを利用した救済の可能性はあるのか?>
コインチェック側で決められない。
注:NEM財団からはハードフォークはやらないと明言されています。
<サービス再開はいつ?>
安全性が確認できてから再開。今のところ未定。
<不正アクセスはどこから受けたか?>
調査中。
<店頭のビットコイン決済などの他サービスに影響を及ぼすのか?>
現時点では検討中。
<盗まれてしまったら取り戻せるのか?>
取り戻せない。
<3時にNEMが送信されたが、一気に送信されたのか?>
そうではない。
<大きく残高が減った時にアラートが出るシステムにしていないのか?>
そういうシステムにはしていた。詳しい事象は確認中。
<金融庁の仮想通貨の登録状況についてどうなっているか?>
コインチェックとしては登録される前提で準備をしている。まだ取得はできていない。
現在はみなし事業者として対応している。
[the_ad id=”7916″]
<マルチシグをかけてNEMを保管していたのか?>
していなかった。
マルチシグの実装予定はあった。いつまでに実装するかということろまでは決まっていなかった。
<NEM以外の仮想通貨にはマルチシグはかかっている?>
一部ではマルチシグがかかっている。
<取引所で仮想通貨が消失した場合の補償規定がないが?>
本件の事態に即した条項がないので、今後どうするかか検討する。
顧客の資産の保護を第一に検討する。
<580億円の補償をする手段は持ち併せているのか?>
検討中。
<日本円の部分だけでも出金させて貰えないのかという声が出ているが>
どのようなことを対応できるか検討中。
<事業そのものを継続できるのか?破綻も検討するのか?>
基本的には継続で検討している。
<手元の現預金はいくらあるのか?>
確認中。公表するかは株主とも検討する。
<セキュリティ面にどれくらいの投資をしていたのか?>
内製しているので規模感は出せない。全体80人のうち40人がエンジニアで、エンジニアがセキュリティの対応もしていた。
<補償で顧客と話し合いを持つ場を作ることは考えている?>
検討中。
<韓国でGOXした時に、社内で危機感はなかったのか?>
そのような状況がある可能性があるとして、危機感は持っていた。
<和田代表の発言が少ないが、どういうすみ分け?>
大塚は事実経緯。和田は開発の統括。
[the_ad id=”7916″]
<NEM以外の仮想通貨については棄損される可能性があるのか?>
現時点で棄損される可能性はない。NEM以外も守られるという保証があるわけではないが、顧客資産を守れるように取り組んでいく。
今回ハッキングされた理由の内容により、他の通貨が抽出する可能性も考えられる。
<今後の調査は外部も入れるのか?>
検討していく。
<今後の調査のスケジュール感は?>
第一には顧客の資産保護、次に原因の調査(感染経路、そもそもの原因)、その後に今後の対応方針。
スケジュールについては明言できない。決定次第に報告。
<基本的に今回の事件は不可抗力があったということなのか?>
事象の内容が確認でき次第報告することになる。
<「なりすまし補償」があるが?これは実施済み?>
なりすまし補償はIDパスワードで他者に入られた場合のみ。今回とは別。
<どうして情報開示しないのか?>
非上場企業である。また、情報開示体制が整っていなかった。今後整えていく。
<今回の件の所感は?>
このような事態を引き落としてしまったことについて深く反省している。
<NEMはホットウォレットでマルチシグなしどうしてか?>
ビットコインを先に取り扱っていたので、こちらが先に実装された。
<盗まれたNEMはコインチェック保有のNEMのすべてか?>
ほぼすべてになる。100%ではないが、100%に近い割合になる。具体的には追って報告する。
<内部の犯行はないか?>
現時点で確認されていない。
<最悪のケース何を想定されているか?>
最悪のケースは顧客の資産が棄損し、返すことができなくなること。
<見ている人に何か伝えてください>
この度はこのような状況を招いてしまいまして深く反省しております。申し訳ございません。
<和田・大塚の身の処し方は?>
どのように対処していくかは検討中。
[the_ad id=”7916″]
筆者所感
筆者はコインチェックにNEMを預けていた身で、元々システムエンジニアをしていましたが、セキュリティは完璧にできない難しさを感じていました。
個人的に、コールドウォレットを用いていてセキュリティ上は安心ですという点に惹かれてコインチェックを使っていたものの、NEMに関してはホットウォレットだったので、その点は管理の甘さを感じざるを得ませんでした。