仮想通貨取引所

ハッキングがあった国内取引所【2019年版】被害額・補填内容まとめ

ハッキングがあった国内取引所【2019年版】被害額・補填内容まとめ

資産価値をインターネット上の取引データに置き替えることで、国や地域・政治的背景・物理的な距離や時間など、実体経済に於けるさまざまな障壁を乗り越える「新たな経済システム」として、仮想通貨が開発され驚くべき速度で世界的な普及をみせました。

しかし仮想通貨創成期から10年以上経過する現在でも、法定通貨のように国家の担保がなく紙幣や通貨をもたない仮想通貨に対して、不信感や抵抗感をもつ方は一定数存在します。

これは仮想通貨がオンライン上にのみ存在することに起因すると考えられます。

さらに近年頻発する、仮想通貨取引所へのハッキングによる不正流出事件も大きく関係していると言えるでしょう。

これまでにハッキングがあった取引所取引所・被害額・補填内容を見直し、仮想通貨に潜む脆弱性やハッキングが起こる原因やハッキング対策について考えます。

仮想通貨ブームと共に多発する不正流出発生件数と被害総額

仮想通貨の普及により資産価値としての認知が広まると同時に、仮想通貨取引を仲介する仮想通貨取引所に対するハッキング攻撃が始まっています。

仮想通貨史上初の仮想通貨流出事件は、2011年にMTGOX(マウントゴックス)社を舞台に日本国内で発生し、その後2019年8月現在までに、合計32件発生しています。

発生原因はハッキングによるものだと言われています。

2014年に再びマウントゴックス社で発生したBitcoin消失事件は、約75万BTCと現金28億円が消失。

仮想通貨の被害総額は当時のレートで約480億円にも上り、仮想通貨の巨額消失(流出)事件とセンセーショナルに報じられました。

国別の仮想通貨取引所不正流出事件発生件数は次のとおりです。

発生国発生件数被害総額
日本5件約1,165億円
アメリカ5件約12.78億円
韓国4件約84.8億円
イギリス3件約51.9億円
中国3件約7.65億円
デンマーク2件約7.7億円
シンガポール2件約6.74億円
イタリア1件約210億円
香港1件約77億円
スロベニア1件約76億円
マルタ共和国1件約44億円
ニュージーランド1件約17億円
インド1件約3.6億円
オーストラリア1件約1.3億円
ポーランド1件約0.29億円

※ 2017年に韓国のYouBitで発生した流出事件の被害総額はYouBitの総資産の1.7%となっているため、加算していません。

日本国内の仮想通貨取引所で発生する不正流出事件は、発生件数や被害総額が多いのが特徴的で、特に被害総額は発生件数が同数のアメリカと比べると約90倍にも上ります。

また、欧米圏よりもアジア諸国での被害総額が高額な傾向にあると言えますが、これは世界的な仮想通貨ブームが巻き起こった2017年前後から発生した不正流出事件の被害総額が高額化したことに起因します。

仮想通貨取引所を舞台とした、不正流出事件の年度別発生件数と被害総額は次のとおりです。

年度発生件数被害総額
2011件2件約880万円
2012年2件約5,610万円
2013年4件約14.5億円
2014年6件約496億円
2015年3件約50億円
2016年1件約77億円
2017年3件約82億円
2018年6件約943億円
2019年5件約103億円

※ 2017年に韓国のYouBitで発生した流出事件の被害総額はYouBitの総資産の1.7%となっているため、加算していません。

2014年の被害総額はマウントゴックス社の被害総額が480億円ですので、この額を除くと5件の流出事件の合計被害額は約16億円となります。

また被害額が突出している2018年には国内で2件の不正流出事件が発生し、2件の被害総額合計が約650億円であることから他の4件の合計被害額は293億円となります。

やはり国内の仮想通貨取引所で発生する不正流出事件の被害総額の多さが突出していると言えるでしょう。

国内取引所を舞台とした不正流出事件の被害と補填内容

世界的規模で比較すると日本国内で発生する仮想通貨取引所の不正流出事件は、被害規模が大きな点が特徴的であることがわかります。

国内で発生した5件の不正流出事件の概要と被害総額・補填内容を紹介します。

1. マウントゴックス社

MTGOX
発生年月2011年7月
被害総額約330万円
流出通貨銘柄Bitcoin(BTC)

仮想通貨史上初のハッキングによる不正流出事件となったのが国内取引所のMTGOX(マウントゴックス)での流出事件です。

社内システムをハッキングされ約2,000BTCの不当送金が行われました。

さらに市場価格1BTC=約13ドルのところ、マウントゴックス内の取引価格を1BTC=1セントに引き下げる価格操作が行われ、約650BTCの取引も不正に行われ3万ドル前後(約330万円)の被害が発生しましたが、補填は行われていません。

2. マウントゴックス社

MTGOX
発生年月2014年2月
被害総額約480億円+現金28億円
流出通貨銘柄Bitcoin(BTC)

世界で最初のハッキングによる不正流出事件が発生したマウントゴックス社を再び舞台として発生したのが、Bitcoin消失事件です。

社長就任直後から発生した2度の不正流出事件により経営者が逮捕され、組織ぐるみの内部犯行説が取りざたされましたが、2017年7月にマウントゴックス社に対するハッキング容疑でロシア人男性が逮捕されたことで、新たな展開をみせようとしています。

しかし現在も係争中のため、真実は解明されておらず、被害者に対する補填も行われていませんが、2018年6月には民事再生手続きが開始され、2019年には債権者補填が行われるのではないかと言われています。

3. CoinCheck

CoinCheck
発生年月2018年1月
被害総額約580億円
流出通貨銘柄XEM(XEM)

マウントゴックスの被害規模を超え、仮想通貨の事件で最大規模となったのが、ハッキングによってCoincheckから約5億2300万XEM(約580億円)が不正流出した事件です。

CoinCheckの利用規約ではハッキングによる被害に関しては補填を行わないことが明記されていましたが、事件発生翌日にはCoinCheck側から日本円での補填が発表され、事件発生から約1.5ヶ月後の2018年3月12日に「88.549円 × 保有数」がCoinCheckから被害者に支払われました。

4. Zaif

Zaif
発生年月2018年9月
被害総額約70億円
流出通貨銘柄Bitcoin(BTC)・Bitcoin Cash(BCH)・Monacoin(MONA)

世界最大規模の流出事件が発生した約8ヶ月後に再び国内の取扱所で発生したのが、ZaifからBitcoin・Bitcoin Cash・Monacoinの3銘柄が不正流出した事件です。

約70億円の被害が発生しました。

流出事件発生後にZaifは、同額のBitcoinとBitcoin Cashを補填することを発表。

Monacoinは被害額の60.3%をMonacoin、39.7%を1MONA=144.548円で換算した日本円での補填を発表し、同意した利用者に対しては2019年4月12日に補填を完了しています。

5. BITPoint

BITPoint
発生年月2019年7月
被害総額約35億円
流出通貨銘柄Bitcoin(BTC)・Bitcoin Cash(BCH)・Ethereum(ETH)・Litecoin(LTC)・Ripple(XRP)

本稿執筆の直近に発生したのが、BITPointで発生したBitcoinを含む5銘柄の仮想通貨が不正流出した事件です。

被害総額は約35銘柄に上ると言われています。

事件発生から4日後の16日に行われた会見では「強制利確とならない仮想通貨での補填」が発表されました。

25日には36.7億円を特別損失として計上し、新株発行で調達した5億円を対策費用等に割り当てることが報じられましたが、現在まだ実際に補填が行われた報道は行われていません。
fko-r

ハッキング被害はなぜ発生するのか?

仮想通貨取引所はインターネット上で仮想通貨取引の仲介を行うため、事業運営のためにはシステムをインターネットに接続する必要があります。

各取引所が強力なセキュリティシステムの構築に力を注いではいるものの、全てのセキュリティシステムに必ず存在する脆弱性を突かれ、いつかは破られる運命にあるのも事実です。

仮想通貨取引所には常に新たなセキュリティシステムを構築し続けることが求められ、アップデートが繰り返されていますが、これは永遠に終わることのないイタチごっこだと言えるでしょう。

ホットウォレットとコールドウォレット

ハッキングによる不正流出事件が起きる度に「利用者の資産をホットウォレットで管理」というキーワードが登場します。

ホットウォレットインターネットに接続状態のウォレット
コールドウォレットオフラインのウォレット

不正流出被害にあうのは「ホットウォレット」で管理されていたことが要因となるのが一般的です。

オンライン上のホットウォレットはハッキングのターゲットとなるため、取引所はマルチシグ管理などでハッキングからのプロテクトを行いますが、BITPointでの例を見る限り、マルチシグと言えども万全とは言い切れないと考えられます。

しかし、コールドウォレットと言っても、一度でもインターネットに接続した経験がある機器は、厳密にはコールドウォレットには成り得ないと言われています。

購入したパソコン環境を構築するためにインターネット接続を行った時点で、ウィルス感染の可能性は否定できず、通常オフラインのウォレットでも使用時の接続で情報流出するリスクは存在します。

とはいえ、常時インターネットに接続されているホットウォレットと比べると、コールドウォレットの方が安全性は期待できるため、仮想通貨取引所はオフラインのコールドウォレットで資産管理を行うべきだと言えます。

しかし利用者の入出金や取引のリクエストに対する対応速度は、仮想通貨取引所の利便性に直結するため、ユーザビリティ向上を目指す仮想通貨取引所では、リクエストに即応できるホットウォレットで利用者の資産管理が行われる傾向にあると言えます。

コールドウォレット管理の仮想通貨取引所

下記はコールドウォレット管理の取引所です。

国内仮想通貨取引所

海外仮想通貨取引所

ハッキングリスクのある仮想通貨の資産運用は危険?

代表的なアルトコイン銘柄であるEthereumは、2016年に発生したThe DAO事件によってシステムをハッキングされ大規模なハードフォークを行い、これをきっかけにEthereumとEthereumClassicに分裂したという経緯があります。

これは「ハッキングリスクのないシステム」だと考えられていた仮想通貨にとって衝撃的な事件となり、ロールバックによって流出したEthereumの無効化が行われたことなどで注目を集めました。

しかし実はThe DAO事件は、Ethereumのシステムではなく、The DAOへの投資資金を移動させるSplitシステムがハッキングされ不正利用されたもので、本質的にはEthereumのシステムハッキングが行われたものではありません。

紙幣や貨幣が存在しない仮想通貨は、インターネット上のみに存在していることが特徴です。

インターネット環境に存在、または接続するということは、外部からの不正アクセスを受ける可能性があるということを意味します。

非常に高いセキュリティレベルをもつブロックチェーン上に構築されている仮想通貨自体は、ハッキング被害に遭うリスクは低いシステムだと考えられます。

仮想通貨での資産運用におけるハッキングリスクは仮想通貨そのものではなく、仮想通貨の保管環境にあると言えるでしょう。

既に紹介したとおり、仮想通貨取引所はユーザビリティとセキュリティという相反する条件の両立が求められている状態で、ユーザビリティが重視される傾向にあると考えられます。

仮想通貨での資産運用を行うときは、保有する仮想通貨を「どこで・どのようにして保管するか?」でハッキングリスクが異なります。

仮想通貨取引で効果的なハッキング対策はある?

仮想通貨取を行うとき「安全が保障された仮想通貨取引所」で取引を行いたいと考えるものですが、既述のとおり、残念ながら仮想通貨取引所の安全性は完全に保障されることはありません。

各社が多額の投資を行ってセキュリティ対策強化に励んでいますが、完全な安全性の確率は不可能であると言えます。

しかし、2段階認証やマルチシグを採用する仮想通貨取引所を利用することでハッキングリスクの軽減が行えますので、取引所選定では、これらのセキュリティシステムを導入している取引所を選ぶべきです。

また、保有する仮想通貨の保管は仮想通貨取引所のウォレットを使用せず、自身の保有するコールドウォレットで行うことでハッキングリスクはさらに軽減されます。

自分のウォレットで管理を行うと取引速度が落ちるデメリットはありますが、すぐに取引に使用しない分は取引所のウォレットに入れっぱなしにせず、分散管理を行うことでハッキングリスクが軽減されます。

利用規約をしっかり読み、リスクに備えよう!

仮想通貨取引所を選ぶとき、手数料やスプレッド幅などに目が行きがちですが、せっかく仮想通貨取引で増やした資産がハッキングで流出してしまうのでは、リスクを負って取引を行う意味がありませんよね。

ですので、取引所のセキュリティレベルのチェックは重要です。

ハッキング被害にあったとき、補填対応が期待できる取引所を利用するのが効果的ですが、ハッキング被害にあわないように資産管理を仮想通貨取引所任せにしないことが仮想通貨取引を行う上で非常に重要だと考えられられます。

コールドウォレットを使用した資産管理を強くおすすめします。