500億円超の仮想通貨がわずか20分で消失した。1月26日、仮想通貨取引所コインチェック(東京都渋谷区)が預かっていた仮想通貨NEM(ネム)が不正に送金された。
世界中でやりとりされるネムの取引データが記録された「ブロックチェーン」(ネット上の取引台帳)には送金記録が残っており、26日0時2分から21分の間に5億2300万XEM(ゼム、NEMの通貨単位)、約576億円が送金されたことが分かった。同社によれば流出したNEMはすべて利用者の資産だった。被害者は26万人。
仮想通貨の流出事件としては、2014年に起きた仮想通貨取引所マウントゴックスからの流出額470億円などを上回り、過去最悪となった。金融庁は1月29日、コインチェックに業務改善を命ずる行政処分を下した。
ずさんな管理
コインチェックからの流出は、仮想通貨の送金に必要となる「秘密鍵」が盗まれたために起きた。秘密鍵とは仮想通貨を保管するウォレット(財布)のパスワードにあたる文字列だ。ウォレットに入っている仮想通貨は秘密鍵を使って出し入れされる。
仮想通貨の送金は秘密鍵とインターネット環境さえあれば可能だ。秘密鍵が手に入れば、取引所のシステムに侵入する必要もなく、パソコンからでも送金できてしまう。仮想通貨に関する技術に詳しい杉井靖典カレンシーポート社長は、「今回の問題は秘密鍵をいかに厳重に管理するかに集約される」と指摘する。
このため秘密鍵は不正アクセスされやすい「オンライン環境」ではなく、ネットから切り離した「オフライン環境」で管理することが望ましい。これを「コールド保管」という。コインチェックは、仮想通貨のビットコインやイーサリアムについては秘密鍵をコールド保管していたが、ネムにはしていなかった。
安全性を犠牲に利便性を追求
もう一つの問題が5億2300万XEMという大量のネムを一つのウォレットで管理していたことだ。財布が一つということは一回の不正アクセスで大量に盗まれるリスクが高いということだ。実際、大半が最初の5分間で流出している。仮想通貨に詳しい中島真志・麗澤大学教授は「“たくさんの卵を一つの籠に入れるな”という鉄則がある」と話す。卵とは機密性の高いデータ、籠とはデータを格納する場所を指す。
さらに、コインチェックは送金にあたって複数の秘密鍵が必要となる「マルチシグネチャー」という仕組みも導入しておらず、一つの秘密鍵で入出金できる「シングルシグネチャー」方式だった。コールド保管もマルチシグネチャーも「技術的には導入はさほど難しくない」(杉井氏)にもかかわらず、コインチェックが導入していなかったのは、ユーザー獲得のために取引の安全性を犠牲にし、利便性を追求していたためと見られる。
「即日出金」と仮想通貨の種類の多さが強みだった
コインチェックの強みは仮想通貨の送金時間が短く「即日出金」に対応している点だ。スマートフォンから簡単に注文でき、こうした利便性の高さによって推定200万人を超えるユーザーを獲得している。取り扱い仮想通貨も13種類と国内トップクラスで、現物取引高も国内首位にある。
だが、こうした利便性は、安全性との両立が難しい。例えば、コールド保管の場合はオフラインからオンラインへの移動という処理が必要なため、即日出金への対応は難しくなる。また、マルチシグネチャーにするとデータの処理量が増え、利用者から取る手数料が上がることになる。
さらに、仮想通貨は個々に技術的特徴が異なり、管理方法も個別に構築する必要があるが、それに必要なコストや人材を十分に割いてこなかったとみられる。和田晃一良コインチェックCEO(最高経営責任者)は26日深夜の会見で「セキュリティーは最優先だった」と話したが、実態を見る限り顧客獲得を優先していたと見るほかない。
売買手数料で数千億円稼ぐ
コインチェックは、ネムを預けていた利用者に日本円で返還する方針を示した。返金総額は460億円。保有する仮想通貨の売却や第三者の支援に頼らず「現預金で対応する」とした。資本金9200万円のコインチェックのどこから潤沢な資金が出てくるのか。
コインチェックはビットコインを含め13種類の仮想通貨を取り扱っている。人気が集中するビットコインは、どの取引所も利用者の獲得競争で優位に立つため「(送金)手数料無料」などのキャンペーンを行っている。一方、「アルトコイン」(ビットコイン以外の仮想通貨)はビットコインほど人気がないため、取引所間で競争原理が働かず、手数料は実質的に取引所の「言い値」になっている。
コインチェックのアルトコイン販売所では手数料を明記していないが、実質的な手数料にあたる「スプレッド」(売値と買値の差)はおおむね3%から10%程度だった。コインチェックはネムだけで残高が576億円あった。その他のアルトコインも含めれば数千億円の残高は確実で、さらに売買が頻繁に行われ、そこから数%の手数料を徴収していたのだから460億円の現預金が手元にあったとしても不思議はない。
投機マネーで潤う取引所
仮想通貨全体の時価総額は足元で50兆円以上に膨らんでいる。仮想通貨と交換される法定通貨のシェアを見ると円が約50%と圧倒的に多く、世界的に見ても国内取引所が「主戦場」になっていることが分かる。膨大な投機マネーが取引所を通過し、その過程で取引所は巨額の手数料を吸い上げている。
17年4月に施行された「改正資金決済法」は、仮想通貨取引所を認可制として市場を整備し、最終的には「フィンテックの促進」を図ることが目標だったはずだ。しかし、現実には個人投資家に“仮想通貨に国がお墨付きを与えた”との誤認を広めて大量の投機マネーを呼び込み、取引を仲介する取引所に巨額のお金がため込まれる結果になっている。これではフィンテック促進とは程遠い。「金融庁は、“お墨付き”というイメージを早めに変えるべきだった」。(中島氏)
不正流出の再発リスクも
金融庁は1月27日、コインチェックはじめ認可を得てはいないが改正資金決済法施行前から仮想通貨取引業務を行っていた「みなし業者」を含め、全取引所へセキュリティー体制などの自己点検を求めた。結果次第では立ち入り検査も辞さない強い態度を示している。
しかし、技術進歩の早い仮想通貨業界では法令対応だけでは限界がある。柔軟な自主規制による対応も必要だ。
国内に二つある仮想通貨業界団体の一つ「日本仮想通貨事業者協会(JCBA)」の奥山泰全(たいぜん)会長は「業界としては、管理体制を高めるために自主規制で徹底させる必要はある」としている。
ただ、現状はJCBAと「日本ブロックチェーン協会(JBA)」の2団体が両立し、意見の相違などから統合への道筋が見えていない状況だ。
仮想通貨は、中央銀行が発行し流通量を自由にコントロールする法定通貨と違い、個々の利用者側が主体的に関わることで公平な価値交換システムを実現するという理想があったはずだ。業界団体も仮想通貨の利用者には違いない。統合がままならなければ、不正流出が再発するリスクはくすぶり続ける。
(高城泰・金融ライター/編集部)
*週刊エコノミスト2018年2月13日号「FLASH!」掲載
