NHK 解説委員室

解説アーカイブス これまでの解説記事

「仮想通貨流出 安全対策の設定を」(時論公論)

三輪 誠司  解説委員

仮想通貨の交換所「Zaif(ザイフ)」は、不正アクセスによって大量のビットコインなどが流出したと発表しました。仮想通貨の大量流出はことし1月、別の交換所のコインチェックから580億円相当が流出した事件に続くものです。

j180926_00mado.jpg

仮想通貨は、インターネットを通じてやりとりするお金のようなものでおよそ2000種類。利用者はパソコンやスマートフォンで、電子メールを送信するように送金をすることができます。買い物の支払いにも使えますが、価格が激しく変動することから、投機目的で購入する人がほとんどです。

j180926_02.jpg

昨年度の国内の取り引き総額は、69兆円にのぼると見られています。海外では仮想通貨を禁止する国もある中で、日本は、現金と仮想通貨をいわば両替する交換所というサービスを法律によって認め、その際の消費税もかからないようにするなど、世界的にも仮想通貨にお墨付きを与えた国と位置づけられています。そして、Zaifは、審査によって一定の基準を満たしたとして登録を受けた業者です。そこから膨大な額の仮想通貨が流出したことについて、国は、登録制度を設け、審査を行った当事者としての責任を自覚しなければなりません。

今回の流出の経緯を見てみます。Zaifを運営する大阪の「テックビューロ」のサーバーには、大きく分けて二種類の仮想通貨の口座がありました。

j180926_03_0.jpg

一部はセキュリティーを考慮してインターネットから切り離したコールドウォレットというもの。もうひとつはネット接続した「ホットウォレット」でした。
仮想通貨の流出は今月14日の午後5時半ごろから1時間半の間に起きました。ホットウォレットの仮想通貨、70億円分が複数回にわたり、知らない人物が管理している口座に勝手に送信されたのです。このうち、顧客から預かっていたのは45億円分でした。

またその直後から翌日にかけて、追跡を逃れる動きが見られました。仮想通貨は、別の3万以上の口座に移し変えられて分散し、犯人の特定が難しくなっています。

j180926_03_1.jpg

1月に発生したコインチェックのケースと較べてみます。コインチェックで不備が指摘されたセキュリティー対策のひとつが、ネットから切り離したコールドウォレットを利用していなかったことでした。切り離せばネット経由での流出を食い止められるという対策です。

Zaifはそのような対策を取っていましたが、仮想通貨がインターネットを通じて取り引きされるという特徴を考えると、一部はどうしてもネットに接続しておく必要があり、そこが被害にあいました。

Zaifの運営会社は、具体的な手口は、犯罪としての捜査中であることを理由に、公表していません。しかし、短時間に大量流出させていることや、直後から追跡を防ぐための大規模な分散行為をしていることを考えると、かなり巧妙です。
用意周到で計画的なサイバー攻撃であった可能性は否定できないと思います。

Zaifは、これまでにもシステムトラブルなどが相次いでいました。このため、今回の問題は、Zaif特有の問題だという意見も聞かれます。しかし、仮想通貨サービスそのものは、ばく大な資産を扱っている割には、サイバー攻撃に対する強靭さを備えていません。つまり、同じような流出はほかの業者にも起こる恐れは否定できません。

一つ目の理由は、サイバー攻撃の防御方法が確立してないことです。防御のためには、手口の分析が必要ですが、新しい業界であるため、攻撃の実態がはっきりしていません。ことしの5月には、仮想通貨の根幹技術を攻略する新しい手口も見つかっています。さらに、今回のZaifのケースのように、手口をまったく公開しない会社すらあります。仮想通貨を安全なものにしようという意識が業界の中に欠けていると言わざるをえません。

二つ目の理由は、利用者保護の視点が欠けていることです。国内にあるほとんどの仮想通貨の交換所の利用規約には、不正アクセスやシステムの欠陥によって、顧客が損害を受けても、交換所は責任を負わない、または賠償は手数料の範囲を上限とすると記載されています。会社側の免責事項を広く設定している会社が、顧客の資産を守る対策にどこまで真剣になれるが疑問です。こうした現状では、サイバー攻撃によるいかなる損害があっても、仮想通貨に手を出した人の自己責任となっているのです。

j180926_04.jpg

コインチェック事件のあと、国は、交換所に相次いで立ち入り検査に入るなど監督を強めました。内部の管理体制が不十分だとして、20回以上にわたり業務停止命令や、業務改善命令を出しています。しかし業界側からは、新しい金融サービスの発展や、技術革新・イノベーションのために、できるだけ国は規制をせず、具体的なセキュリティー対策は自分たちに任せてほしいという要望が根強くあります。国もそれを配慮して規制のバランスに気を遣っています。

しかし、交換所にばく大な資産が集まる中で、何百、何十億という被害が相次いでいる業界の自主規制をどの程度信用できるでしょうか。国はもっと積極的に業界への関与に踏み切るべきだと思います。

具体的には、管理する仮想通貨の量を制限することです。特に、ネットに接続した状態で使うホットウォレットに一定数以上の仮想通貨を入れさせないようにすることです。万が一流出したとしても、甚大な被害を食い止めることができます。

次に、不正アクセス対策の研究です。たとえば、不正アクセスと見られる通信記録を各社が持ち寄って分析する仕組みです。こうした業界の取り組みは、電力、自動車、クレジットカードなどですでに行われています。仮想通貨業界にもこうした取り組みを導入させるべきです。

さらに、犯罪を抑止する法整備も必要です。コインチェックの事件では、犯人側は、盗んだ仮想通貨を闇市場で安売りしましたが、日本人の投資家も先を争って買いあさり、犯罪者の利益に加担していました。これを取り締まれなかったのは、盗まれたものを買い取ることを禁じた法律が、物ではない仮想通貨には適用できなかったからです。マネーロンダリングを防ぐため、デジタル時代に対応した法整備を急ぐべきです。

j180926_05.jpg

国が、交換所の登録制度を設けたのは、4年前に110億円以上のビットコインが消失したと発表して交換所が破綻したマウントゴックス事件のようなケースを防止するためでした。しかし、この制度は、当初の目的を果たしているといえるでしょうか。Zaifは、顧客の資産に影響がないように補償する方針を示していますが、サイバー犯罪者が巨額の資産を手に入れたことは間違いありません。

このままでは、日本の仮想通貨業界が甘く見られ、今後も標的になり続ける恐れがあります。国は、今こそ、仮想通貨業界の現状を見極め、ばく大な資産を預かる企業としてふさわしい対策を取るよう強く促していくことが求められます。

(三輪 誠司 解説委員)

キーワード

関連記事