仮想通貨取引所大手のコインチェック株式会社から仮想通貨NEM、約 580億円分(5億2300万XEM)が不正アクセスによって流出したと報じられています。仮想通貨の流出と言えば、2014年のマウントゴックスが消失したビットコインが約470億円分と言われており、仮想通貨の流出事件としては、過去最大の被害金額となっています。仮想通貨に限らず、あらゆる投資にはリスクがつきものです。しかし、今回の事件の報道等を表面的な部分を聞いただけでは、そのリスクを見誤る可能性があります。
今回は現時点で公開されている情報に基づき、この流出事件の概要と原因を確認した上で、企業や組織が情報セキュリティに対してどのように向き合うかを再考する助けとして頂ければと考えております。

仮想通貨NEM流出の経緯と問題点

コインチェック社が公開したプレスリリースによる今回の事件の経緯、及び対応については以下の通りです。

様々な報道から、今回の流出事件の原因は以下にあるとされています。
(1)NEMを「コールドウォレット」で管理していなかった
(2)NEMを「マルチシグ対応」していなかった

(1)について、ウォレットとは、仮想通貨における銀行口座のようなものです。仮想通貨取引所では外部からの不正アクセスが仮に成功しても被害を受けないよう、ハッカーに手の届かないオフライン環境で管理する「コールドウォレット」とすることが一般的ですが、コインチェック社ではインターネットに接続できる状態の「ホットウォレット」であったため、顧客の保有するウォレットから簡単に外部に仮想通貨を流出できる環境でした。

(2)について、ウォレットを管理するためには「秘密鍵」が必要です。銀行口座で言えば印鑑のようなものです。この秘密鍵が失われるとウォレット保有者以外の者でも自由にウォレットの仮想通貨を引き出すことができます。そのため、この秘密鍵を複数に分割して単一の秘密鍵では中身を取り出せない仕組みを「マルチシグ」と呼びます。仮想通貨NEMはこの「マルチシグ」に対応しており、かつNEM財団も「マルチシグ」に対応することを推奨していました。しかし、コインチェック社では「マルチシグ」未対応のため、単一の「秘密鍵」が盗まれた結果、すべての顧客のウォレットに簡単にアクセスし、中身を抜き取って外部に送信されたと考えられます。

上記(1)(2)は確かに今回の流出事件の直接的な原因ですが、それ以上に問題なのは
「コインチェック社のセキュリティに対する考えが甘すぎた」
ということにあります。それは、時系列表で提示した3つのポイントに表されています。
①仮想通貨流出前のアラートが不明確(ない)
②流出発覚までに約半日を要している
③記者会見で垣間見えたセキュリティ認識
以下、この3つのポイントについて確認します。なお、一部推測等を交える部分も含まれますので、ご注意ください。

ポイント①:仮想通貨流出前のアラートが不明確(ない)

報道等から、今回の仮想通貨MEMの流出に要した時間はおよそ30分とされています。また、直接被害に遭われた被害者はおよそ23万人とされています。実際に仮想通貨を流出させる大まかなプロセスは以下の通りです。

1.何らかの手法でコインチェック社のネットワークに侵入する。
2.仮想通貨NEMが保管されているウォレットの秘密鍵約23万個を盗み出す。
3.それぞれの秘密鍵を使用して23万顧客のウォレットにアクセスし、流出先のウォレットに送信する。

さらに、1.の前後で今回問題とされている
・コインチェック社では仮想通貨NEMをホットウォレットで管理
・コインチェック社では仮想通貨NEMのウォレットを単一の秘密鍵で管理
といった脆弱性の情報を押さえている必要があります。よって、流出に要した30分は上記プロセスの3.に過ぎず、それ以前の手順を行うため、ある程度の期間はコインチェック社のネットワーク内をリサーチする必要があります。さらには、コインチェック社のネットワークに不正アクセスするにもかなりの試行を繰り返す必要があります。セキュリティ能力が「高い」と自負する企業はこの時点で攻撃に晒されていることを認識し、様々な対策を行うはずです。
以上から、コインチェック社では外部からの不正アクセスに対する備えが不十分、特に攻撃されているかどうかを検知するモニタリングがほとんど行われていないことが想定されます。また、記者会見では否定していましたが、委託業者を含む内部犯行の可能性も否定できません。上記で述べたセキュリティ上の脆弱性情報を把握するまで、未知の状態で探ろうとするとかなりの期間を要します。しかし、ある程度、またはあらゆる内部情報が把握できる立場にあれば、仮想通貨流出までの期間を短縮化でき、途中で犯行が発覚するリスクを減じることも可能です。実際の不正アクセスは外部からでも、内部からの情報提供があったかもしれません。もし、内部情報からではなく、不正アクセスによるリサーチのみだとしたら、秘密鍵の管理もかなりずさんだったことが推測されます。

ポイント②:流出発覚までに約半日を要している

真夜中に仮想通貨が流出後、およそ半日が経過した11:30頃に仮想通貨NEMの残高がほとんどなくなっていることにようやく気付きます。記者会見では
「アラートのようなものがあったが、検知されなかった」
という発言がありました。これは想像になりますが、恐らくはアラートのようなものはなく、日常業務の中で、またはウォレットを持つ顧客の問い合わせ等で異常に気付き、「どうやら流出したらしい」と判断したのが11:30だったのでは、と推測されます。
また、仮にアラートのようなものがあったとしても、実際に事象が発生したのが深夜であることから、果たしてアラートを受け取るべき人物が適時に通知を受け取り、対応できる体制ができていたかどうか、疑問が残ります。

ポイント③:記者会見で垣間見えたセキュリティ認識

仮想通貨流出から約1日、コインチェック社が事件を認識してから約半日後、記者会見が行われました。私も事後に動画サイトで確認しましたが、事象発覚後半日で事実確認を行いながら、自社のダメージを最小化したいという思いが感じられました。しかし一方で、コインチェック社のセキュリティに対するリスクや認識の甘さを露呈した内容でもありました。
幾つかの発言を抜き出してみると、コールドウォレットに関しては、
「コールドウォレットによる管理はシステム的に難易度が高いため、対応できていなかった。技術的な難しさと人材不足が原因。」
マルチシグの対応については、
「マルチシグの対応予定はあったが、他に優先すべき事象があった。他の仮想通貨でもマルチシグ対応は一部のみ。」
全般的なセキュリティ意識に関しては、
「他の取引所と比べてセキュリティが甘いという認識はない。ぬかりなくやってきた。セキュリティを高くやってきた。」
という発言をしながら、記者会見の終盤では
「「セキュリティが高い」と驕っていたことはない。「セキュリティは高めていかなければいけない」という認識のもと、やれる範囲でやるべきことを行ってきた」
と、若干トーンを下げてきました。
また、不正アクセスの状況等についても調査中の一言で済ましていました。これは恐らく、不正アクセス等に関するログ、秘密鍵に対するアクセス権やアクセスログといった、様々な証拠物件を提示したくてもできなかった、つまりログ等を取得していなかったか、取得のみで内容を確認していなかったことが想定されます。
そもそも、仮想通貨は国家が保証して中央銀行が管理する法定通貨とは異なり、テクノロジーによって担保された目には見えない通貨です。それ故、国家に束縛されない自由を確保する一方で、適切なセキュリティ対策を行わないと簡単に流出するリスクを有しています。ネット企業で、しかも顧客の財産を預かる会社として、本来ならば事業を始める前に実施すべきことを「難易度が高い」「他の施策の優先度が高い」という理由で後回しにしてサービス提供することは、利益追求に偏重し過ぎでは?と感じずにいられません。

セキュリティ意識の低い企業はコインチェック社だけではない

以上の様に、今回の流出事件は
コインチェック社のセキュリティ対策に関する意識の低さ
が根本の原因であると考えられます。
しかし、こうした事象がコインチェック社固有のものだと考えることは大きな間違いであり、セキュリティ意識の低い企業は意外と多く存在します。その理由としては以下の通りです。

・セキュリティ対策は利益を生まない
基本的にセキュリティは企業の情報や資産を守るものであるため、利益を生み出す性質のものではありません。そのため、できれば投資を控えたいという意識が働くことです。セキュリティ投資をするくらいなら顧客獲得に向けたプロモーションに向けて資金を投入すべきだと考える企業もあります。金融機関や公共インフラなど、国レベルで高度なセキュリティ対策を要求されているような業種を除けば、整備すべきセキュリティレベルは企業に委ねられます。そのため、セキュリティ対策の内容ではなく、金額ベースで制約を受けるような事象も多く見られます。

・自社に不正アクセスなどのセキュリティ事故が起こるわけない、という根拠のない自信
セキュリティリスクは一般企業にとって中々実感する機会がないものです。日常的に発生しやすいのはウィルス感染やメール誤送信などだと考えられますが、せいぜいその程度の対策さえすればいいと考えている経営層もかなり存在します。これに似た感情で
「我社には盗られるデータはない」
という会社も多いです。しかし、不正アクセスの目的の一つとして、ある企業を攻撃する際の踏み台として利用するということもあります。攻撃目標が自社であれ他社であれ、不正アクセスが行われた企業の信頼性は大きく低下します。セキュリティ事故は起こり得るという考えの元で対策を進めることが重要です。

・セキュリティ対策を行うと業務が非効率
セキュリティ対策の内容によっては、日常業務を遂行する上で効率性やパフォーマンスを損なうケースも散見されます。今回の流出事件で言えば、コールドウォレットやマルチシグの実装はセキュリティレベルを高める一方で、仮想通貨を取引したりする際の操作は煩雑になり、処理時間も掛かるようになります。他の業種でも、セキュリティレベルを上げる仕組みがありながら、「操作が遅くなる」「手順が面倒」という理由でそのセキュリティの仕組を利用しないで業務を行う現場も多々見られます。

以上の様に、セキュリティ対策を考えるときはマイナスの要因しか思い浮かばず、日々恩恵を受けているとは感じにくいものです。しかし、しっかりしたセキュリティ対策を行うことは、平穏無事な日常を送ることです。まずは必要なセキュリティ対策は実施する、という意思を持つことが重要です。その上で、具体的に自社にどのようなリスクがあり、どのような対策が有効なのか、費用対効果はどうなのか、という検討を行えばいいのであり、場合によっては外部の力を借りることで、より良いセキュリティ環境を実現することも可能となります。

上記内容に関するご相談やお問い合わせについては、「お問い合せ」のページからご連絡ください。

デルタエッジコンサルタントでは情報セキュリティ全般にわたっての
・脆弱生の可能性を確認する簡易診断
・情報セキュリティに関する現状評価や見直し支援、ルール等の作成支援
・情報セキュリティに関する研修や訓練等の支援
等のコンサルティングサービスを提供しております。
詳細は、こちらのページをご確認ください。
==>「情報セキュリティ対策支援サービス

興味や関心がございましたら、ぜひご連絡ください。