「テレビCMでよく見るコインチェック。気になるけど危険性はないのだろうか?」

そんな風に思っていませんか?
コインチェック(coincheck)という取引所が有名になりました。
ビットフライヤー(bitFlyer)と並んで知られていますね。

タレントの出川哲朗のCMで一気に知名度を上げました。
2017年12月にはビットコインが大きく高騰して資金が流入し、一躍知名度を上げたところで、580億円相当のネム(XEM)がハッキング被害にあってしまいました。

実は、コインチェックはセキュリティ対策をしていると言いながら、していなかったのです。そのため、セキュリティが万全ではなく、ハッカーに狙われてしまいました。
今回は、コインチェックのセキュリティ対策はそもそも何ができていて、何ができていなかったのかを確認したいと思います。

セキュリティ対策が不十分だった

コインチェックのセキュリティ対策は、いざハッカーに破られてみると非常に脆弱なものでした。
できていたのは3つしかありません。

  • 厳重な身分証明書による本人確認
  • 二段階認証
  • SSLで安全に通信

コインチェックのセキュリティ対策のうち、実施されていたものはこれだけです。

厳重な身分証明書による本人確認

これは、できていました。
IDセルフィーを提出しなければならず、身分証明が厳重だったので、なかなか口座開設に時間がかかっていました。

二段階認証

ログインする際に、二段階認証を設置することができます。
二段階認証を設定すると、安全性は高まります。
少なくともスマホをなくしてビットコインが盗難された、ということは起こりづらくなっていました。

SSLで安全に通信

コインチェックの通信はすべてSSLによって暗号化され、途中で覗き見られてもみえない仕組みになっていました。

ただし、SSLは、常識と言ってもいいくらいの対策です。
「やって当たり前」レベルの対策でしかありません。

「セキュリティ対策をしている」と
ウソを付いていた

実はコインチェック、上記以外にも公にはセキュリティ対策をしていたと明言していたのですが、実際にはしていませんでした。
つまり、すべてウソだったのです。

今回は、そのコインチェックの嘘をみていこうと思います。

ウソ1
コールドウォレットで管理していなかった

コインチェックはサーバー上のセキュリティが甘く、ハッキング被害にあってしまいました。

ビットコインやネムといった仮想通貨は、アドレスで送金のやりとりをします。
仮想通貨の送金は銀行と違い、相手の保証はされません。送金したら終わりなのです。

今回のハッキング被害では、ネムが580億円分、ハッカーのアドレスに送金されてしまいました。
本来はそういったことを防ぐために、「ウォレット(財布)」と呼ばれる秘密鍵を保管するデータ保存場所に、データを保存して退避させます。
物理的に、外付けUSBメモリに保管することができ、トレードを行わないので盗まれるリスクが極端に減ります。

インターネットにつながっていない、オフラインのウォレットを、「コールドウォレット」といいます。
コインチェックは、インターネットにつながっていないコールドウォレットに預り金を保管し、物理的に保管しています。
そのため、盗難のリスクを大幅に下げていると説明していました。

しかし、コインチェックはオフラインで管理するコールドウォレットを実施していませんでした。
オンラインで管理するホットウォレット上に、仮想通貨を置いていました。

なぜなら、コールドウォレットに保管すると、出し入れに時間がかかり、トレードの迅速さがなくなるからです。
その点、ホットウォレットはインターネットに接続されているので素早くトレードができます。
しかし、その分だけハッキングに弱くなってしまいます。
今回はそこを狙われた形となりました。

ウソ2
マルチシグを行っていなかった

仮想通貨は秘密鍵を使って送金します。
しかし、秘密鍵がひとつだと、盗難に遭いやすいのです。
家の鍵と同じですね。

秘密鍵を3つ以上にすることを、マルチシグ(マルチシグネチャ)と呼びます。
マルチシグは仮想通貨セキュリティの基本で、コールドウォレットと同時に使ってより効果を発揮します。

マルチシグをコインチェックは使っていなかったことが、ハッキング後の会見で明らかとなりました。
つまり秘密鍵はひとつで、しかもホットウォレット上で管理されていたのです。

マルチシグを使っていれば、今回の大規模盗難は防げた可能性が高いのです。
コインチェックはセキュリティが万全ですと言っていました。
実態は、非常にザルで、簡単にハッキングできるような体制になっていました。

ウソ3
不正ログインの損失補償は、未実施だった

コインチェックには、不正ログインの損失補償があるとうたわれていました。

不正ログインがあって、悪意のある人がなりすましでトレードしたり、ビットコインを不正送金したりしたとします。
これで損害が出た場合に、100万円まで損失を補償してくれるサービスです。
これによって、スマホ盗難によるコインチェックの不正ログインが補償されると思って、安心していた人は多かったはずです。

しかし、この損失補償は実施されていなかったことが、会見で明らかになりました。
詐欺と言われても仕方がありません。

しかも、今回のネム盗難は、特定のユーザーがハッキングされたわけではありません。
コインチェックという取引所そのものがハッキングされ、ネムがまるごと盗まれてしまったものです。
コインチェックは、今回盗難にあったネムを1XEM = 88円で自腹補填すると明かしていますが、いつになるかは未定です。

番外編
不正流出が発覚するまで8時間半かかった

ネムを盗難したのは誰か、いまだにわかっていないのですが、日本時間の深夜2:57に盗難が発生しています。
しかし、コインチェックがネムの残高があまりに少なすぎると気がついたのが11:25だったので、8時間半もかかっているのです。

送金は数度に渡って行われ、インターネット上で騒ぎになりました。
コインチェックのみならず、仮想通貨のトレードは、送金履歴がすべてインターネット上に公開されています。
誰から誰に送られたのかが、アドレス上ではわからないだけで、巨額の送金履歴はつねに誰でも見ることができるのです。

それによって、まず日頃からコインチェックを利用していたユーザーが、ネムの大量移動に気づきました。
SNSなどでハッキングかと騒ぎになってからはじめて、コインチェックも残高を確認した形です。

あまりにルーズかつ迅速性に欠ける対応として、批判されました。
これはコインチェックの社員が10人程度の小さな会社であることから起こったミスといえます。
巨額の資金を預かりながら、ほとんどセキュリティに人員を割いていなかったのです。

コインチェックには良い点もあった

しかしコインチェックには良い点もありました。
それが、ビットコインほか仮想通貨の取引手数料が無料だった点です。
これでビットコインは大きく躍進し、仮想通貨の知名度を向上させるのに役立ちました。

さらには、コインチェックは取扱の仮想通貨が多いのも特徴的です。
最近ビットフライヤーに上場したLISKも、初期の頃から扱っていたため、さまざまなコインに触れることができたのです。

今から始めるならビットフライヤーがおすすめ

セキュリティー対策がしっかりされていれば、コインチェックはおすすめできる取引所でした。
しかし、盗難はとても怖いですよね。
コインチェックのずさんな会社体制が明らかとなった以上、オススメできません。
これから仮想通貨の取引を始めるなら、ビットフライヤーがおすすめです。

いま、暴落や盗難があったばかりなので仮想通貨は非常にお買い得になっています。
暴落してもその時以上の値を戻してきたのが仮想通貨です。
どうせなら、かなり値下がっている今こそ買いましょう。

ビットフライヤーに無料登録

ビットフライヤーは、セキュリティー対策に力を入れている取引所です。
コインの上場(取り扱いの開始)も厳密に審査されます。
コインチェックのネム盗難を受けて、セキュリティをますます強化し、コールドウォレットとマルチシグ、さらには人員強化でセキュリティに努めています。

安全性からはビットフライヤーをおすすめします。
登録はこちらからしてみましょう。
身分証明書の準備を忘れずに。

bitFlyer ビットコインを始めるなら安心・安全な取引所で