580億円相当のNEMが流出した事件で金融庁から業務改善命令を受けていたコインチェック。同社は3月8日16時より、「これまでの経緯及び今後の対応」を説明するとして記者会見を開いた。

会見に先駆けてコインチェックは同日午前11時、今回のNEM流出事件に関連し、金融庁から2度目の業務改善命令を受けたことも明らかにしている。そのプレスリリースによれば、コインチェックは金融庁に対し、3月22日までに業務改善計画を書面で提出するとともに、業務改善計画の実施完了までのあいだ、1ヶ月ごとの進捗・実施状況を翌月10日までに書面で報告するとしている。

コインチェックは流出事件が発覚したあと、自社および外部のセキュリティ会社5社による調査を実施した。同社は記者会見のなかで発生原因の調査結果を明らかにした。以下はその概要だ。

今回の流出事件を起こした外部の攻撃者は、コインチェック従業員の端末にマルウェアを感染させ、外部ネットワークから当該従業員の端末経由で同社のネットワークに不正にアクセス。攻撃者は、遠隔操作ツールにより同社のNEMのサーバー上で通信傍受を行いNEMの秘密鍵を窃取したという。その秘密鍵を利用した不正送金を防げなかったのは、コインチェックがNEMをホットウォレットで管理していたのが原因だ。

コインチェック取締役の大塚雄介氏によれば、同社はセキュリティ強化策の一環として、以下を実施したという。

• ネットワークの再構築：外部ネットワークから社内ネットワークへの接続に対する入口対策の強化および、社内から外部への接続に対する出口対策の強化。
• サーバーの再設計及び再構築：各サーバー間の通信のアクセス制限の強化、システム及びサーバーの構成の見直しを実施
• 端末のセキュリティ強化：業務に使用する端末を新規購入し、既存端末を入れ替え
• セキュリティ監視：社内のモニタリング強化など
• 仮想通貨の入出金等の安全性の検証：コールドウォレットへの対応など、安全に入出金がなどが行える技術的な検証を進める。

また、同社はこれらの技術的なセキュリティ対応に加えて、以下のシステムリスク管理態勢の強化を図る。

• システムセキュリティ責任者の選定と専門組織の設置
• システムリスク委員会を設置
• 内部監査態勢の強化
• その他経営体制の強化

これらの対応をとったうえで、同社は「一時停止中のサービスの再開に向けて全力を挙げて取り組むとともに、金融庁への仮想通貨交換業者の登録に向けた取り組みも継続し、事業を継続する」と述べている。

また、注目されていたNEM保有者への保障については、来週中をめどに実施することを明らかにした。補償総額を算出するNEMと日本円のレートは、先日同社が発表していた1 NEM = 88.549円となる。

現在、コインチェックの記者会見では質疑応答が進行中だ。その概要はのちほどアップデートしてお伝えする。


[アップデート 3月8日19:00]

質疑応答で得られた新情報をまとめると以下のようになる。

まずはコインチェック代表取締役の和田晃一氏と大塚雄介氏の経営責任を追求する質問があがった。これに関して大塚氏は、業務改善命令にある「経営体制の抜本的な見直し」という内容を吟味した上で改めて報告するとした。また、関東財務局が発表した報告には「監査役も機能を発揮していない」という指摘があった。コインチェックの監査役はベンチャーキャピタリストの佐俣安理氏が務めている。この指摘についても大塚氏は、経営体制の見直しという言葉には監査役も対象に含まれているとの認識を述べた。

今回の流出事件の引き金となったフィッシングメールについての質問もあがった。大塚氏は、従業員がメールを受信した日時は現段階では把握していないものの、フィッシングメールは複数の従業員に送られていたと話した（これらのメール内容が同一のものであったかは不明）。また、大塚氏によれば、コインチェックはフィッシングメールの送信元が誰なのか把握しているという。ただし、それが誰なのかは捜査中のため明かせないとした。

コインチェックは来週中にも「一部サービスを再開」する予定だが、それがどの仮想通貨を指すのか、そして売買も可能になるのかなどの詳細は、来週同社が発表するプレスリリースの中で明らかになる。

コインチェックの累計口座数は170万アカウントとなっており、2017年7月には2868億円だった仮想通貨の取引高は、その5ヶ月後の2017年12月には3兆8537億円だったことも明らかになった。サービス再開後、コインチェックのユーザーがどのような行動を示すのかにも、より一層注目が集まりそうだ。