コインチェックからビッサムまで:今年起きた安全への侵害

 6月19日、韓国トップの仮想通貨取引所ビッサムがハッキングの被害に遭った。3000万ドル(約33億2000万円)相当の仮想通貨が盗まれ、今年最大の盗難事件の1つとなった。同取引所は、すでにユーザーに補償を約束したが、ダメージは出た。最大手の組織でも、完全な安全は保証できないということが、改めて明らかになったのだ。

 確かに、仮想通貨の世界はマウントゴックスの倒産以降、変わってしまった。それでも、ハッキングの事後にどのように対処するかにかかっている。行方をくらましたり、責任を拡散させるものもいれば、コミュニティーに堅実に償いをし、一歩づつ評判を取り戻していくものもある。18年でこれまでに起こった主要なハッキングの経緯とその結果をまとめた。

Bithumb

 ビッサム:顧客には「損害なし」

 時期:18年6月

 ハッカーの得たもの:3000万ドル相当の仮想通貨

 結果:評価の低下

 6月19日、韓国最大の仮想通貨取引所ビッサムがハッキングの被害に遭った。350億ウォン以上の仮想通貨が盗まれた。ハッキング時点では、ビッサムは取引規模で世界第6位に位置していたが、その後10位にまで下落した。

 コインテレグラフジャパンは、ハッカーがビッサムのホットウォレットを攻撃したと伝えた。偶然にも、同取引所は攻撃の数日前の6月16日、セキュリティーシステムのアップグレードのために「すべての資産」をコールドウォレットに移動し始めたところだった。

 自社サービスがハッキングを受けていることに気付いたビッサムチームは、すべての預け入れ、引き出しサービスを停止した。6月21日付の公式声明のなかで同取引所は、盗難の影響を受けたユーザーに対する補償の意思を正式に表明した。さらにビッサムは、今後の攻撃を防ぐためにウォレットシステムに「抜本的な変革」を行っており、顧客に対して盗難の結果としての「損害はない」と述べ、顧客と企業資産の厳格な分離を強調した。

 地元メディアの報道によれば、韓国科学技術情報通信部がハッキングの捜査を開始した。報道によれば、攻撃がどのように起こったのかを解明するために、韓国インターネット振興院(KISA)も捜査に参加し、地元警察やその他の当局と緊密に連携を取っている。当局は、同社のコンピューターからデータや記録を集めるためにソウルにあるビッサムのオフィスにも捜査員を送ったとも報じられている。

 ハッキングは、3か月に及ぶ捜査を経て、違法行為の証拠を発見できなかった韓国政府がビッサムの潔白を証明したものの、300億ウォン(約2800万ドル)の税金を課したほんの数週間後に起こった。

 ビッサムは以前にもハッキングの被害を受けている。17年7月、3万人の顧客の個人情報が、従業員コンピューターへの不正侵入によって盗まれ、損害を訴えたユーザーもいた。

Coinrail

 コインレール:FUD(恐怖、不安、疑念)の危険性

 時期:18年6月

 ハッカーの得たもの:400億ウォン(約41億2000万円)

 結果:主流メディアの過剰反応

 

 韓国の取引所コインレールがハッキングの被害を受けた時、主流メディアは大挙して反応した。ブルームバーグ、ウォールストリートジャーナル、ロイター、そしてガーディアンはすべて、コインレールは当時第99位の仮想通貨取引所と、かなり小規模であることを認識しながらも、このサイバー攻撃を当時約11%値を下げたビットコインとアルトコインの価格下落に結びつけた。さらに、それらの記事の中には、同時期に起こっていた、アメリカの規制当局による仮想通貨の相場操縦に対する捜査といった、価格下落の原因の可能性となる別のものに言及するものはなかった。もちろんそのことが、コミュニティーを憤慨させた。

 コインレールは、210億ウォン相当のPundi X、149億ウォン相当のストンコインを含む、約400億ウォン(3720万ドル)相当の仮想通貨を失ったと報じられた。地元メディアSedailyが指摘した通り、コインレールは攻撃の1週間前にサービス規約から補償に関する部分を削除していた。しかし同取引所は、契約条件の改定のために政府と連携を進めていたとして、削除の理由を説明したと報じられている。

 同取引所のウェブサイトによれば、資産の70%はコールドストレージに移動されており、盗まれたコインの「約80%」は何らかの方法で、凍結もしくは引き出され、取引所は「システムメンテナンス」の最中である。コインレールは7月15日頃に再開を予定している。

Verge

 バージ:知らぬが仏

 時期:4〜5月

 ハッカーが得たもの:3500万XVG(約170万ドル)

 結果:損なわれた評判

 プライバシーにフォーカスした仮想通貨バージ(XVG)はここ数か月で2度、3月にツイッターアカウントが乗っ取られたことを数えると3度ハッキングの被害に遭った。

 4月のはじめ、バージがハッキングを受けたとする報道が浮上し始めた。ハッカーは、ブロックマイニングのタイムスタンプの操作を可能にするバグを悪用したようである。コードの欠陥を利用し、何もないところから不法コインを作り出し、結果として25万XVGを盗むことに成功した。バージは本件を「小規模なハッシュ攻撃」とし、資金は3時間だけ不正利用可能だったと主張した。Bitcointalk.orgでは、バージのチームのメンバーが「今回の事件はもっと酷くなる可能性もあったがそこまでに至らなくてある意味嬉しく思っている」と投稿した。それに対する反応として、メッセージボードのユーザーOCMinerは、開発者がハードフォークを誤ってローンチすることで「解決した」らしいことに言及した。XVGの価格は、ニュースを受けて約25%下落した。

 5月21日、バージは再びハッキングの被害を受け、チームはマイニングプールがDDoS攻撃を受けているとツイートした。今回は、3500万XVG(約170万ドル)が数時間の間に盗まれ、XVGは14%強下落した。

 最初のセキュリティー侵害の問題提起をしたOCMinerは、バージの脆弱性をメッセージボードで再び指摘し、「前回の攻撃に対して(一時しのぎのみで)ほとんど何もなされなかったために、ハッカーは今回、自ら利用するためにチェーンを分岐するのに2つのアルゴリズムを利用しただけで、何百万も手に入れている」と述べた。コインマーケットキャップによれば、当記事執筆時点でのXVGの価格は、過去3か月で最低の0.026131ドルである。

Coincheck

 コインチェック:コンプライアンスと透明性

 時期:1月

 ハッカーの得たもの:5億2300万ネムコイン

 結果:コインチェックはハッキングと金融庁の圧力を乗り切った、という話が信じられた

 

 東京を拠点とした取引所コインチェックは、1月にハッキングの被害に遭った。コインチェックは当時約5億3400万ドルの価値があった5億2300万のネムコインを1月26日に失った後、すべての業務の停止を余儀なくされた。コインは、ネムコインが保管されていたホットウォレット(コインチェックの担当者によれば、ハッカーはそのプライベートキーを盗むことに成功した)から、資金を流出させることを可能にする数回の不正取引によって盗まれた。同日、ネム財団のロン・ウォン代表は事件を「史上最悪の盗難事件」と呼んだ。コインチェクのハッキングは、盗まれた資金の点ではマウントゴックスのハッキングよりも約5000万ドル大きなものであった。

 セキュリティ侵害の直後、コインチェックは記者会見を開いた。会見場でコインチェックのチームは、取引所でのセキュリティー設定はコイン毎に異なっており、ネムコインはより安全性の高いマルチシグウォレットではなく、シンプルなホットウォレットに保管されていたと説明した。チームは、プラットフォームの他の仮想通貨はマルチシグウォレットに保管されていたと強調し、盗まれた資金は顧客のものであったことを認めた。コインチェクチームは顧客に補償を約束した。

 地元メディア日経アジアンレビューは3月、攻撃の数週間前にコインチェックの複数のスタッフにマルウェアメールが送られ、それによって従業員メールシステムが開かれ、ハッカーがプライベートキーを盗むことができた可能性があると報じた。

 攻撃を受けて2月中旬には、10人の仮想通貨投資家がコインチェックお仮想通貨引き出しの凍結に対して訴訟を起こした。3月初旬にはさらに132人の仮想通貨投資家が別の訴訟を起こし、約2億2800万円の損害賠償を求めた。コインチェックはその約束を守って、3月中旬には被害を受けた顧客に返金を開始し、特定の仮想通貨の引き出しおよび販売を可能にした。

 影響に対処するプロセスの中で、コインチェックは日本国内で仮想通貨業界を監督する金融庁に完全なコンプライアンスを見せた。サイバー攻撃の直後、金融庁は15の取引所の立入検査を行い、その内コインチェックを含む7の取引所に対して業務改善命令を出した。検査の後、コインチェックは3つの匿名性をベースにしたコインを取り扱いリストから外すことを選んだ。

 4月には、日本の従来型金融サービス提供業者マネックスグループがコインチェック社の株式を36億円で完全買収した。新しいオーナーのマネックスグループは、すぐにグローバル展開の計画を発表。全体としては、コインチェックは大きな打撃の後に回復を見せたようである。

BitGrail

 ビットグレイル:非難合戦をし(訴えられ)よう

 時期:2月

 ハッカーが得たもの:1700万XRBトークン

 結果:同社のウォレットが裁判所を通じて押収

 

 イタリアの仮想通貨取引所ビットグレイルは2月8日、1億9500万ドル相当の顧客の仮想通貨ナノ(XRB、かつてのライブロックス)が、ハッキングによって盗まれたと主張した。いまだに責任がビットグレイルの創設者フランチェスコ・フィラノ氏とナノの開発チームの間で揺れ動き、このリスト上で最も不可解なハッキング事件である。

 基本的には、ビットグレイルが「ハッキングされ」、同取引所のウォレットから1700万XRBトークンが流出した次の日、ナノの開発者たちは、ビットグレイルのオーナーで運営者のフランチェスコ・「ザ・ボンバー」・フィラノ氏がコインの台帳を変更するように求めたことを示す公式コメントを発表した。

「(前略)フィラノ氏はビットグレイルのウォレットから資金が無くなっていることを我々に知らせてきた。フィラノ氏が提案したオプションは、彼の損失をカバーするために、台帳を修正するというものだった。それは不可能であり、我々が取ることの決してない道だ」とナノはミディアムに投稿した。

 ナノチームはそして、フィラノ氏がハッキングの結果と主張した引き出しの一部は、早くは17年の10月になされていたことを示す証拠とされるものを発表した。ナノは取引日時をブロックチェーンに直接記録しないために異議を唱えることも可能なそれらの所見をフィラノ氏は否定した。ある時点では、フィラノ氏は取引が何らかの形で取り除れ、その後再挿入されたと示唆していたが、ブロックチェーンの性質上それは技術的に不可能である。

 コインテレグラフとのインタビューの中でフィラノ氏は、「盗まれた金額を返金することは不可能」と述べ、ナノのタイムスタンプテクノロジーと仮想通貨のブロックエクスプローラは信頼できないと主張した。ナノブロックチェーンネットワークは、ノードの再同期を行い、1月19日以前に行方不明だったすべてのブロックと取引にタイムスタンプを付与した。このことは、実際にはすべての取引が正確に記録されていたことを示唆している。

 それでも、ビットグレイルのユーザーは事件につながった正確な原因について明確な答えをいまだに得ておらず、彼らは裁判に訴えた。4月5日、アメリカで投資家を代表して集団訴訟が起こされた。ナノチームは原告団をサポートし、ビットグレイルと裁判所で戦いたい者の弁護士費用を助成するとまで述べた。

 3月、法的圧力がかけられた後、ビットグレイルはユーザーへの返金計画を発表したが、ユーザーが同取引を訴えないことを条件としていた。プレスリリースの中でビットグレイルは、「盗難被害者のためのプラットフォームの利用は、示談合意への署名を条件とする。示談合意は、ユーザーによるあらゆる法的措置の放棄の表明を特徴としており、書面の記入によって正式なものとなる」と述べた。

 こうして、ビットグレイルはビットグレイル・シェア(BGS)というトークンを作成することでユーザーへの補償を計画している。盗難の被害を受けた顧客は、損失額の20%をXRBで受け取り、残りの80%をBGSで受け取ることになっている。それでも、ビットグレイルは改めてハッキングの責任は取らないと主張し、ナノと問題があったとされるプロトコルに非難の矛先を向け続けている。

 6月15日、ビットグレイルの1件は新たなる展開を迎え、同社ウォレットに保管されていたBTCがイタリア当局に押収された。6月5日付のフィレンツェ地裁の命令を受けて資金が押収されたが、押収された資産の現在の価値は明らかにされなかった。裁判所命令は、ビットグレイルのハッキング被害者による申し立てに基づくものであった。

MyEtherWallet, BlackWallet and Binance

小規模なハッキング:マイイーサウォレット、ブラックウォレット、バイナンス

 1月、DNSのハイジャックにより、 ハッカーはBlackwallet.coのウォレットから40万ドル相当のステラ(XLM)コインを窃取した。ハッカーはサービスのホストサーバーを乗っ取り、設定を変更して、自らのアドレスにコインを送った。

 4月にも同様に、仮想通貨ウォレット、マイイーサウォレット(MEW)へのDNS攻撃によって、15万ドル強相当のETHが盗まれた。この攻撃は、アルトコインのイーサリアムブルーの開発者たちが1月にMEWに突きつけ、当時MEWチームが「馬鹿げた嘘」と呼んですっかり否定したDNS攻撃の疑惑を思い起こさせた。

 取引規模で世界最大の仮想通貨取引所バイナンスのユーザーは3月7日、第三者ソフトウェアによるハッキングの影響を受けた。それのことが、ユーザーのアカウントから不正な取引が行われることにつながった。しかし、バイナンスの趙長鵬CEOはすぐに、すべてのユーザーの資金は安全であると宣言し、同取引所は通常運営に戻った。バイナンスは3月11日、ハッカーの逮捕につながる情報の最初の提供者にバイナンスコインで25万ドルを支払うと述べた。