ビットポイントジャパンの不正流出の経緯や今後の対応について

国内ニュース

30億円相当の暗号資産が不正に流出した問題を受け、暗号資産交換業者のビットポイントジャパンが都内で緊急記者会見を開き、同社の小田社長らが出席し、不正流出の経緯や今後の対応について説明しました。

ビットポイントジャパンは金融庁に対し、本事案に関わる事実関係、被害状況、被害拡大を防ぐための当面の対策と作業のスケジュール、顧客の預託資産の対応を報告しました。

今回の不正流出の原因は、インターネットに接続している状態で保管する「ホットウォレット」と呼ばれるタイプのもので、このウォレットの秘密鍵が不正に盗み取られたことですが、なぜ、盗み取られたかは現在調査中です。

盗み出された通貨は、ビットコイン・イーサリアム・リップル・ビットコインキャッシュ・ライトコインの5銘柄で約30億2000万円相当が流出しました。

通貨の内訳は、ビットコイン15億3000万円(顧客預かり金:12億8000万円)、イーサリアム3億3000万円(顧客預かり金:2億4000万円)、リップル10億2000万円(顧客預かり金:4億4000万円)、、ビットコインキャッシュ7000万円(顧客預かり金:4000万円)、ライトコイン5000万円(顧客預かり金:4000万円)に上り、ビットポイントジャパンが取引所システムを提供している複数の海外の取引所でも、同じような手法でおよそ2億5000万円相当が流出しているとのことです。

ビットポイントジャパンは登録ユーザー数が11万人おり、そのうちの5万人が被害に合い、被害額は20億6000万円相当で、顧客から預かっている資産の13%に当たり、被害の補填は暗号資産で行います。

流出した暗号資産を保管していたホットウォレットは「マルチシグ」という送金の承認に複数の秘密鍵を必要とする技術を使用しており、2重のセキュリティー対策を施していました。

このホットウォレットから盗み出すためには、各暗号資産のホットウォレットに対応している秘密鍵を管理するサーバーから、全ての秘密鍵の入手と、暗号化の解読をしなければなりません。

仮想通貨交換業協会が発足している「ホットウォレットによる保管割合を20%以下する」という自主規制ルールがありますが、ビットポイントジャパンは規定以内である13%で保管しており、マルチシグを採用し2重セキュリティー対策を施していました。

また、過去にはホワイトハッカーによるペネトレーションテストという、ネットワークに接続されているコンピュータシステムに対し、実際に既知の技術を用いて侵入を試みることで、システムに脆弱性がないかを確かめるテストも行っており、さらに、情報セキュリティ格付会社である株式会社アイ・エス・レーティングの情報セキュリティ格付けにより金融・証券企業のセキュリティレベルと同等の「A(シングルエー)」を取得しているなどから、ビットポイントジャパンのセキュリティー対策強化の姿勢が伺えます。

なお、この犯行が外部のものなのか、内部のものなのかは現在調査中です。

小田社長は「本事案の原因究明、被害拡大防止策の実施、再発防止策の検討・実施、経営管理態勢の見直し等を行い、取引の安全性及びお客様の財産保全を確実にすることを大前提として、お客様による取引機会の確保を実現すべく、可及的速やかにサービス再開を目指します。」と述べ、記者会見の最後には「仮想通貨が再び盛り上がりを見せる中、流出を起こしてしまったことを大変申し訳ないと思っています。」と、謝罪しています。

自分の暗号資産がハッキングされ盗まれないためにも、ホットウォレットでの保管は避け、取引しない通貨は取引所に入れっぱなしにするのではなく、コールドウォレットに保存するようにしましょう。

 

伊藤健次
このニュース、 伊藤が解説します。

 

今回の流出は残念な結果となってしまいましたが、セキュリティ対策で言えば過去の教訓が生きていると感じます。

暗号資産のセキュリティはホットウォレット(オンライン)とコールドウォレット(オフライン)で比較されることが多く、コールドウォレットを推奨する声が日々高まっております。

本件が内部犯行であった場合、コールドウォレットであっても完全なセキュリティ対策となりません。

また、外部犯行であった場合、どのようなパスワード管理をしていてもホットウォレットでは狙われたら終わりであるという印象をつけることになります。

取引所のセキュリティが現時点でも個人のセキュリティよりも高いのは明白で、個人のウォレットがハッキングの対象となった場合、ほとんど防ぐことができません。

結論、今の時点では 各自コールドウォレットに保管をし、コールドウォレットが盗難されないように管理を徹底することが一番のセキュリティ対策となります。  

また、個人のコールドウォレットから盗難された過去の事例は「友人・知人」など知り合いによる犯行である事例が多いことも付け加えさせて頂きます。

 

あわせて読みたい

パスワードの見直しを!ハッキングする側の目線を記事にしてみました⇒⇒詳しく知りたい方はこちら

Zaifハッキング事件から見る日本の取引所ビジネスの闇⇒⇒詳しく知りたい方はこちら