(2)複数の鍵に分割しておく「マルチシグ」に未対応
今回流出したNEMという仮想通貨は、暗号強度が高くセキュリティが高いとの評価がある。そのひとつが「マルチシグ」に対応していること。マルチシグとはマルチシグネチャーの略で、複数の鍵に分割することで流出での被害を防ぐ仕組みだ。一般的に仮想通貨では、秘密鍵と呼ばれる文字列をとられると、他人が勝手に送金することができてしまう。秘密鍵がもっとも重要なものなのだ。
マルチシグはこの秘密鍵を、たとえば3つの署名に分け、3つとも揃ったときだけ有効にする仕組みだ。乱暴なたとえをすると、家のドアに3つの鍵を付けるイメージを考えるといいだろう。鍵をひとつ盗まれてもドアは開かないので、流出を防ぐことができる。
残念ながらコインチェック社のNEMはマルチシグに対応していなかった。マルチシグに対応していれば、流出を防ぐことができたかもしれない(ただしマルチシグでも仮想通貨が盗まれた例がある。マルチシグは万能ではなく、安全性を高めるひとつの手段にすぎない)。
資金決済法の取引所登録ができないまま
もう一点、コインチェック社が仮想通貨取引所としての登録が済んでいないという問題点がある。
2017年4月に改正資金決済法が施行され、仮想通貨の扱いが法律で決められた。仮想通貨取引所は金融庁への登録が必要になり、9月29日までに11社が登録された。しかしコインチェック社はこの11社に入っておらず、現在も仮想通貨取引所として登録されていない。
コインチェック社では12月にプレスリリースを出し、「9月13日に仮想通貨交換業者の登録を申請している。『仮想通貨交換業者に関する内閣府令』第36条に記載の通り、申請より2ヶ月の経過後に関しても、通常通りサービスをご提供させていただくことが可能」だとしている。
この「仮想通貨交換業者に関する内閣府令第36条」とは、申請してから2カ月以内に処理することを定めたもの。ただし例外として、「申請の補正」「申請の変更」「資料追加」は2カ月の期間に含めないとしている(仮想通貨交換業者への登録状況のご報告)。
つまりコインチェック社は9月13日に申請したものの、2カ月以上過ぎても登録されていないのはこれらの「申請の補正」「申請の変更」「資料追加」があったからとして、今も問題はないとしているのだ。
しかし実際問題として、未登録の仮想通貨取引所として営業しているわけで、グレーな部分があることは否めない。
読売新聞は、金融庁が「改正資金決済法に基づく業務改善命令を出す方向で検討」と報道している。「金融庁はコインチェックに報告を求める命令を出し、28日には同社の幹部らが被害状況や対応について報告する予定」とのことで、行政処分される可能性がある。
拡大を急ぎすぎた代償か? 補償金の手当に注目が集まる
このようにコインチェック社は、システムの脆弱性(と思われる点)や、仮想通貨の管理方法の甘さ、法律上未登録であることなどの問題が明らかになった。
コインチェック社は、和田社長がMt.GOX(マウントゴックス)社の事件を見て、チャンスと思い起業したものだ。先行しているビットフライヤー社に追いつくために、スマホやウェブサイトを使いやすくする、取り扱う仮想通貨の種類を増やす、テレビCMを打つなどの方法で急拡大してきた。
筆者もコインチェックを使っているが、スマホアプリは使いやすいし操作も簡単だ。そのため仮想通貨初心者が多く使っていた。
しかし拡大を急ぐあまり、仮想通貨の種類を増やしすぎて、安全性が二の次になっていた可能性がある。記者会見によれば、社員は80名、技術者は40名とのこと。ここからは筆者の個人的意見だが、40名で13種類の仮想通貨取引のシステムを開発するのは無理があったと想像できる。開発ができたとして、セキュリティは後回しになっていたのではないか。
IT企業では、拡大のために安全性やコンプライアンスが後回しになることがよくある。スピードが求められるITビジネスでは仕方のない面もあるが、金銭を直接扱う取引所は慎重になるべきだと思う。取引再開の前に、原因をしっかり究明し、セキュリティを向上させることを願いたい。
もうひとつの注目は、事故発生翌日に「現金での補償」を打ち出した原資がどこにあるか、だろう。自己資金で補償ということなので、「463億円ものキャッシュを確保できる」というのは、仮想通貨取引所が儲かるビジネスということかもしれない。もしくは大企業による増資があるならば、このチャンスに仮想通貨取引所に参入したい大企業が乗り出した可能性もある。今後の世界の仮想通貨市場を左右する動きなので注目したい。
(文=三上洋/ITジャーナリスト)