2018-01-26
Coincheckで発生した暗号通貨NEMの不正送金事案についてまとめてみた
インシデントまとめ | | 
2018年1月26日、コインチェック社が運営する取引所Coincheckにおいて、同社が管理するNEMが外部に送金される事案が発生しました。ここでは関連情報をまとめます。
公式発表
プレス
- 2018年1月27日 Coincheckサービスにおける一部機能の停止について (魚拓)
ブログ
インシデントタイムライン
| 日時 | 出来事 |
|---|---|
| 2018年1月26日 2時57分~3時29分 | NEMの外部流出が発生。 |
| 〃 11時25分頃 | コインチェックが異常を検知。 |
| 〃 12時07分頃 | コインチェックがNEMの入金一時停止を発表。 |
| 〃 12時38分頃 | コインチェックがNEMの売買一時停止を発表。 |
| 〃 12時52分頃 | コインチェックがNEMの出金一時停止を発表。 |
| 〃 14時06分 | Twitter上でNEMの大量移動の記録が指摘される。 |
| 〃 14時40分頃 | コインチェックがNEM.io財団へ事態収束のためにコンタクト。*1 |
| 〃 16時33分頃 | コインチェックがすべての取引通貨の出金一時停止を発表。 |
| 〃 17時23分頃 | コインチェックがビットコイン以外の売買一時停止を発表。 |
| 〃 18時50分頃 | コインチェックがクレジットカード、ペイジー、コンビニの入金一時停止を発表。 |
| 同日中 | コインチェックが金融庁へ報告。 |
| 同日中 | コインチェックが警視庁へ被害相談。 |
| 〃 23時30分頃 | コインチェックが記者会見。同社保有のNEMが外部へ流出したと発表。 |
NEM外部流出の被害状況・影響
NEM外部流出
- コインチェックが同社サービスで保有する暗号通貨 NEMが外部へ流出した。
- 被害を受けたNEMは全て顧客資金。*2
- 被害金額は5億2300万XEM。(XEMはNEMの通貨単位) 2018年1月26日時点の時価換算で約580億円に相当。
- 時価総額で見た場合の被害金額はこれまでの過去最大規模。
- コインチェックが同サービスで管理している他の暗号通貨(Bitcoin等)、及び日本円は被害を受けていない。
- 外部流出により被害を受けた顧客の数は調査中であり不明。
同社サービスの取引停止
他暗号通貨価格への影響
不正送金が発生した原因
不正な活動痕跡の状況
外部への送金が行われたとみられる送金記録
http://explorer.ournem.com/#/s_account?account=NC4C6PSUW5CLTDT5SXAGJDQJGZNESKFK5MCN77OG
| 発生時間 | NEM送金額(単位XEM) | Hash |
|---|---|---|
| 2018/1/26 2:57 | 30,000,000 | 77b1a737756aa0bec76a109fbd712639869ed390d68c907cedc0f10258df7600 |
| 2018/1/26 2:58 | 50,000,000 | c088ad69ea7ef4f3895081e8c3b5495162e2083647a15364574bd3eeb1cba057 |
| 2018/1/26 3:00 | 50,000,000 | 1efe1dd9cdb87fafcba2228a36f5dd3b5a29e456d85e49a22688234797be920a |
| 2018/1/26 3:02 | 750,000 | 73078db7610025490da5bda2c430b35c0c5dca74fd506895137257d5734f8672 |
| 2018/1/26 3:14 | 100,000,000 | 5d3da55670fb26339484612f2917d10f3f41eea19cafde981f03ceaf7299d43c |
| 2018/1/26 3:18 | 100,000,000 | 7d8693ea074a44aafac69ed05cd4bd23b6ad2177605c8f14ac8657e7931fa974 |
| 2018/1/26 3:28 | 100,000,000 | bf46435b77bac25284e1c082acce28ca065ecd650476045650f18dbfc2d8eb23 |
| 2018/1/26 3:29 | 92,250,000 | c39cce21c937167b211c7eb104a98e66f1c496103a8f35caea30968bab233dc1 |
| 合計 | 523,000,000 |
不正送金被害に対する顧客への補償
- コインチェックは顧客保護を最優先として検討を進めると回答。
- 具体的な保証は検討中。*5
コインチェックのNEMの管理状況
- コインチェックはNEMの管理をコールドウォレットではなくホットウォレットで行っていた。
- NEM.io財団が推奨するマルチシグの実装は行われていなかった。
- マルチシグが実装されなかった理由として、他の優先事項が高い項目があったこと、システム的な難易度の高さを回答。*6
コインチェックの暗号通貨の管理状況 (判明分のみ掲載)
| 暗号通貨 | 被害発生時の管理状況 |
|---|---|
| ビットコイン | コールドウォレットにて管理、マルチシグを実装 |
| イーサリアム | コールドウォレットにて管理(イーサリアムはマルチシグ機能無し) |
| NEM | ホットウォレットにて管理、マルチシグは実装されておらず |
管理不十分を指摘する質問への会見時コメント
- オフラインにするには技術的な難しさがある。人材が不足していた。
- 資産を預かっている立場としてできる限り十分な対応はしていた。
- コインチェックは全て自社で開発。開発者は約40人。セキュリティも含めた開発に従事。
流出事案を受けてコインチェックの対応
NEM.io財団との接触
- NEM.io財団に対して今回の事案発生を受け事態収束に向けた接触を行っていた。
- 財団からはハードフォークによる被害救済の措置はできかねると回答があった。
- ロールバックやソフトウェアアップデートによる対応の是非は財団側は名言はされておらず、現在も協議中との状況。*7
その他関連情報
NEM.io財団のコメント
コインチェックの2018年1月26日未明の記者会見文字起こし
- 【全文1/4】コインチェック、仮想通貨「NEM」の不正流出を受けて緊急会見 被害額は約580億円相当
- 【全文2/4】コインチェックはセキュリティ不足を狙われた? 仮想通貨「NEM」流失騒動のてん末を追う
- 【全文3/4】コインチェック、27歳の若き社長に問われる経営責任 今後は顧客最優先の対応を検討
- 【全文4/4】出来高や営業収益を明かさぬコインチェック 報道陣からの追及に言葉を詰まらせる場面も
コインチェックの仮想通貨交換事業者の登録に関すること
- コインチェックは仮想通貨交換事業者の登録を申請した状況で、まだ登録はされていない。
- コインチェックは 「みなし仮想通貨交換業者」の位置づけ。
- 法律上、今回のような事案発生時は金融庁へみなし事業者は報告義務がある。
- コインチェックが申請をしたのは2017年9月13日付。関東財務局へ申請。
- 大塚取締役は「セキュリティ上の不備があって登録をしていないということはない」とコメント。
- 2018年1月26日夜時点で金融庁は現在も審査中とコメント。*9
- 監督財務局の関係者によれば匿名性の高いコインの取り扱いをする意向が強く見送られていたと説明。
登録前にCMを流していたことに対して
更新履歴
- 2018年1月27日 AM 新規作成
*1:ビットコイン取引所「コインチェック」で620億円以上が不正に引き出される被害が発生(追記あり),Yahoo!ニュース,2018年1月27日アクセス
*2:仮想通貨取引所コインチェックからNEM580億円相当が不正流出,Bloomberg,2018年1月27日アクセス
*3:コインチェック 580億円相当不正流出 サイバー攻撃か,毎日新聞,2018年1月27日アクセス
*4:速報:仮想通貨取引所コインチェックからNEMが不正に外部送信。「原因究明中、判明次第再発防止策を講じる」,engadjet,2018年1月27日アクセス
*5:コインチェック、580億円分の仮想通貨流出 社長謝罪,朝日新聞,2018年1月
*6:コインチェックが580億円のNEM不正流出について説明、補償や取引再開のめどは立たず,techcrunch,2018年1月27日アクセス
*7:580億円分の仮想通貨が流出、大手取引所への不正アクセスで,ITpro,2018年1月27日アクセス
*8:Coincheck Theft: "The Biggest Theft in the History of the World",cryptonews,2018年1月27日アクセス
*9:仮想通貨580億円流出のコインチェックとは? アルトコインの取扱いで急成長,BUSINESS INSIDER,2018年1月26日アクセス
