出川哲朗の出ていたコインチェック社のCMはうるさくて好きではなかったのだが、それどころではないことが起こった。
techwave.jp
仮想通貨NEMの約580億円相当が流出。外部からの侵入者にごっそり抜かれてしまった。どうやらセキュリティに大きな問題があったらしい。
NEM財団のファウンダーLon Wong氏が言うところによるとコインチェック社は「マルチシグ(=マルチ・シグネチャー(署名))を使ったスマートコントラクト技術を使うことをアドバイスしていたにもかかわらず、それを使用しなかったためにハッキングされた可能性がある」ということです。
マルチシグは、異なる署名データを持つアカウントを複数用意し認証を高度化することによって、仮に一つのアカウントがハッキングされても防げるというもの。
また、重要な秘密鍵とよばれるデータ等はインターネットネットにつながっていない機器等で保管する「コールドウォレット」という方法を使うのはもはや常識でしたが、1月26日深夜に行われた記者会見ではコインチェック社は「準備段階で未実装だった」ことを明らかにしています。
マルチシグとコールドウォレット、どちらもやっていなかったというのは責められてもしょうがないだろう。記者会見でも実質それを認めている。
www.huffingtonpost.jp
ソフトウェアシステム(特にネットワークにつながるもの)のセキュリティは大事だと改めて思わされる。
和田社長とともに会見をしていたCOOの大塚雄介氏は「いまさら聞けない ビットコインとブロックチェーン」という本を書いた人で、私はこの本の内容を紹介するcakesの連載をずっと読んでいたので、今回の件には二重に驚かされた。連載の中にはこんな記事もあったのである。
cakes.mu
記事自体は仮想通貨の中でもビットコインに関する話で、NEMのことではないが、セキュリティの基本は同じ。有料会員でないと読めない部分なので引用は控えるが、この記事の中でビットコインの管理について
- 顧客からの預かり資産の大部分はインターネットに接続されていないところで厳重に管理している
- 複数の人が承認しないと送れないしくみも取り入れている
のが普通だと解説している。まさにコールドウォレットとマルチシグ。自分のところがNEMに関してはこれらをやっていなくて盗まれたのだから痛恨だろう。
これだけの金額が流出したらユーザには戻ってこないだろうなと思っていたら、補償するという発表が今日あった。
corporate.coincheck.com
総額463億円。これだけの額を出せるのだから、儲かっていたのだろうなと誰でも思う。これからは苦難の道を歩むと思うが。
普通の法定通貨と違って、仮想通貨は取引を追跡できる(人物は特定できないが)。NEM財団から、今回NEMを流出されたアカウントにタグづけをしたという発表があった。
coinpost.jp
NEMはコインチェックのハッキングで不正にネムを取得したアカウントに対してタグをつける機能を実装し、ハッカーのアカウントかどうか見分ける確認方法を取引所と共有するとのことです。
@coincheckjp のハッキング最新情報:NEMが24~48時間以内に自動タグをつけるシステムを開発しました。
この自動化されたシステムは、お金を追跡し、盗まれたお金を受け取った全てのアカウントをタグ付けします。
NEMは、すでに取引所に対し、そのアカウントがタグ付けされているか否かの確認方法を公開しています。
良いニュースは、(このシステムとタグ付けしたアカウントの確認方法を取引所に共有したことで)取引所のハッキングによって盗まれたネムは売却できない事です。
この情報はぜひ共有してください。歴史上最大のハッキングは、NEMによって数時間で解決されたのです。
これがNEMプラットフォーム及び、NEMチームの力です。
流出したNEMをコインチェック社に戻すことはできないが、 使おうとした時には検出できるようになったということになる。犯人たちがそれをかいくぐろうとしてどういう動きをするのかが注目される。
流出時の履歴を解析したという記事も出ている。
www.businessinsider.jp
不正送金先となったアドレス「NC4C6PSUW5CLTDT5SXAGJDQJGZNESKFK5MCN77OG」から別のアドレスへの送金は、コインチェック社が記者会見をしていた最中にもなされていたという。これはどういうことなのだろう。流出に気づいてからでもそこからの送金を防ぐことは不可能だったということなのだろうか。