仮想通貨がまた多額流出:交換業者の登録審査再開に暗雲

経済・ビジネス

日本でまた、仮想通貨の多額流出事件が起きた。被害総額は70億円分。この仮想通貨交換所は、流出前に2度にわたって業務改善命令を受けていた。

登録業者で初の大規模流出

2018年9月14日夕刻、テックビューロ(大阪市)の運営する仮想通貨交換所「Zaif」に不正アクセスがあり、約70億円分の仮想通貨(ビットコイン、ビットコインキャッシュ、モナコイン)が流出した。17日に流出が判明して翌18日に近畿財務局に報告、20日午前3時前に公表された。

仮想通貨交換所を巡っては、今年1月コインチェックから約580億円分のNEMが流出し、金融庁はモニタリング体制を強化、近畿財務局がZaifに対しても2度にわたって業務改善命令を出した矢先の出来事だった。改正資金決済法の施行前から営業していた「みなし事業者」のコインチェックと異なり、今回の流出は登録仮想通貨交換業者で初の大規模流出事案となる。

テックビューロはZaifからの仮想通貨の流出の発表と同時に、JASDAQ上場のフィスコが子会社を通じて株式の過半数を取得して50億円の金融支援を行う資本提携を締結、これらを原資として仮想通貨を取得し、利用者に対して現物で補償すると発表した。

フィスコも20日、同社の子会社が運営する仮想通貨交換所はZaifのシステムと無関係であること、そしてZaifの金融支援へ向けて正式合意を目指す検討を開始することを発表した。フィスコの時価総額は執筆時点で約98億円、決算短信によると同社の6月末時点での手元現金は約12.5億円だが、テックビューロ社の買収と金融支援に要する資金をどのように調達するかは明らかにされていない。

コインチェック事件を受けて中断していた仮想通貨交換業者の登録は、8月10日に金融庁が「仮想通貨交換業者等の検査・モニタリング 中間とりまとめ」を公表後、登録審査が再開されることが期待されていた。今回の事件によって、マネックスグループ傘下で再建を目指しているコインチェックだけでなく、百数十社が滞留しているともいわれる仮想通貨交換業者の登録審査の再開が遅れることが懸念される。また、仮想通貨の証拠金取引や仮想通貨による資金調達(Initial Coin Offering) の法的位置づけを巡る議論にも影響することが考えられる。

流出から2日以上気付かず

現時点でZaifがどのように不正アクセスされたのかについては公表されていないが、不正アクセスによって仮想通貨を即座に送金できる状態で保管するサーバー上の「ホットウォレット」の秘密鍵が盗まれたか、ホットウォレットから出金を行うAPIに不正アクセスが行われたことが想定される。

一般に仮想通貨交換所は預かり仮想通貨の大部分をホットウォレットではなく、ネットワークから切り離され、人手による操作がなければ送金できないコールドウォレットに置くのが一般的だ。なぜ50億円分ものビットコインがホットウォレット上に置かれていたのか、預かり資産に占めるホットウォレット・コールドウォレットの比率について、テックビューロ社は公表していない。

また、9月14日夕刻に数十億円規模の仮想通貨が流出したにもかかわらず、17日まで気付かなかったのも不可解だ。ホットウォレット上の仮想通貨が払底したことで、14日金曜日の夕刻には利用者からの出金指示に対してエラーが発生していたと考えられる。

また交換所のデータベース上の仮想通貨残高と、ウォレット上で実際に保存されている仮想通貨残高とに食い違いがないか、日次で棚卸しを行うことが一般的である。14日夕刻に盗難されたのであれば、同日中か遅くとも翌15日には発見していないとおかしい。この週は17日月曜日が祝日だったため、仮に休日・祝日に棚卸しが行われていなかった場合には、発見は18日にずれ込んでいたはずだ。

「安全な交換所」見極めは困難か

コインチェック事件を受けて、仮想通貨の取引は違法な海外の取引所や、登録申請の途上にある「みなし業者」ではなく、正規に登録されている仮想通貨交換業者を通じて行ったほうが安全といわれてきた。ところが今回のZaif事件で、金融庁に登録された交換業者であっても信頼できないことが明らかとなった。登録業者のうち実際に営業している業者は全て何かしらの業務改善命令を受けていたために、業務改善命令を受けていない業者を選ぶこともできなかった。

これから仮想通貨の取引を考える際には、登録されているかどうかだけでなく、具体的な業務改善命令の内容に基づいて実態を把握して、決算公告などから事故が起こった際に補償できるか否か、財務基盤を見極める必要がありそうだ。とはいえ投資が自己責任と言っても、多くの消費者にとって仮想通貨の仕組みや値動きの因果関係を理解して、業務改善命令の内容や決算公告を読み解き、安全な仮想通貨と交換所を見極めることまでを要求することは、かなり難しいのではないだろうか。

1年に2度も3億円事件を超える仮想通貨の巨額盗難事件が起きたことを受けて、登録審査の再開へ向けては事件の再発防止が求められる。しかし、防止策の徹底は容易ではない。

銀行や証券といった金融機関はFISC(金融情報システムセンター)が自主的に安全対策基準を定めているが、仮想通貨交換業者が守るべき情報システムの技術的なセキュリティ基準は検討の途上にある。伝統的な金融機関と比べて小規模で歴史の浅いベンチャー企業が多いことから、厳し過ぎる規制はイノベーションを阻害することが懸念されるが、マウントゴックス(MtGOX)事件をはじめ、これまでの被害の規模と頻度を考えると、銀行よりも厳しい規制をかけるべきだという声が上がってもおかしくない。

「オンライン上で取引完結」のわな

仮想通貨の安全な取り扱いが従前の法定通貨や金融商品と比べて難しいのは、仮想通貨の送金のためにはインターネットへの接続が不可欠で、かつオンライン上で価値の移動が完結する点にある。法定通貨や金融商品はインターネットとつながっていない閉域網で扱うことができ、巨額の決済には人手による作業を要する場合が多い。これまで何度もあったサイバー攻撃や操作ミスによる巨額で深刻な誤送金は、すんでのところで手作業によって食い止められてきた。

これまで仮想通貨のメリットと考えられてきた、止まらずに24時間365日動き続けることや、人手を介さず取引がオンライン上で完結すること自体が、人手で運用する仮想通貨交換所にとっては安全に運営する体制を整えるためのハードルを高いものとしてきた。24時間365日体制で要員を張り付けることもできないベンチャー企業もみな、仮想通貨の仕組みに引っ張られて交換所の24時間365日運用を続けてきた。

信頼回復へ正念場

果たしてZaifから約67億円を盗んだ犯人は、このまま逃げおおせるのだろうか。残念ながら2014年のMtGOX事件の犯人も、1月に起きたコインチェック事件の犯人も今のところ捕まっていない。MtGOX事件で盗まれたビットコインの資金洗浄に関与したとされるロシアの交換所「BTC-e」のオーナー、アレクサンダー・ビニック氏はギリシャで逮捕され、フランスや米国が逮捕状を出しているが、日本での捜査は進んでいない。コインチェック事件も警視庁が100人体制で捜査しているとされるが、進展は伝えられていない。

暗号技術を駆使して構築され、簡単に国境を超えて資金洗浄される仮想通貨絡みの事件では、高度なIT知識と海外の捜査機関との域外執行協力が不可欠だが、実際に捜査を担当する都道府県警察は体制も経験も追いついていないのが実情だ。

世界で最も事件が起きている地の利を活かして交換所のセキュリティ対策のレベルを引き上げ、規制当局や捜査機関は場数を踏んで世界をリードする体制を構築できるだろうか。利用者が安全かつ便利に仮想通貨を使える日がくるのか、信頼回復の端緒をつかめぬまま規制強化に突き進むのか、日本における仮想通貨を取り巻く環境は正念場を迎えている。

バナー写真:Anesthesia / PIXTA

犯罪・事件 仮想通貨 金融