2018年3月5日に放映されたNHK 視点・論点「仮想通貨 不正流出事件の行方」の原稿がNHKのサイトにアップされていたのですが、掲載が終了したようなので、改めて原稿を貼っておきます。その後、盗まれた580億円余りのNEMは完全にロンダリングされ、大金がまんまと犯罪者の懐に入るという、残念な事件となりました。この事件を機に、仮想通貨取引所のセキュリティを向上させる必要性が強く認識されるようになりました。
視点・論点 「仮想通貨 不正流出事件の行方」
京都大学 公共政策大学院 教授 岩下直行
1月26日の午前0時に、大手仮想通貨取扱業者、コインチェック社が顧客から預かっていた580億円相当の仮想通貨ネムが何者かに不正に送金され、同社から流出する事件が起きました。同社は、10時間以上経ってから流出の事実を確認し、監督官庁である金融庁や警察に報告しました。本日は、このコインチェック社の事件を元に、仮想通貨取扱業者のセキュリティ対策と利用者保護について考えたいと思います。
一般に、仮想通貨とは、インターネット上で受け渡し可能で、円やドルなどの法定通貨と交換したり、支払い手段として利用されたりする、独自の通貨単位を持つ特殊なデジタルデータのことを指します。2009年に出現したビットコインがその代表例です。ビットコインは、当初は極めて安い価格で法定通貨と交換されていましたが、2013年頃から値上がりし始め、昨年1年間で約20倍に高騰し、注目を集めました。今回盗難に遭ったネムも、昨年1年間でなんと250倍にも高騰した仮想通貨です。
仮想通貨の価格が大きく値上がりするとともに、仮想通貨を投資目的で購入する人の数も増加しています。コインチェック社は、今回の事件の被害者、つまり同社を通じてネムを購入した人が26万人に上ることを発表しています。わが国でビットコインなどの仮想通貨に投資する人の数は百万人を超え、現在も増え続けています。そのほとんどが個人投資家です。
ではこの不正流出が起こった原因はどこにあるのでしょうか。まず大量流出の経緯をたどります。報道によれば、コインチェック社は、顧客が購入したり、交換して得た仮想通貨ネム580億円分を、インターネットに接続されたウォレットと呼ばれる装置で管理していました。仮想通貨をウォレットに入れていた、という言い方もしますが、それは例え話であり、「価値のあるデジタルデータを記録媒体に書き込んでいた」ということではありません。より厳密にいえば、仮想通貨の実態は、インターネットに繋がった世界中のコンピューターの中に書き込まれた膨大なデジタルデータ全体です。ウォレットには、その情報を書き換えるための秘密鍵と呼ばれる文字列が格納されていて、この秘密鍵を使って取引が行われます。
今回の盗難事件では、本来、部外者に知られてはならない秘密鍵を攻撃者に勝手に使われて、世界中のコンピューターの中の情報を書き換える指令が出されました。その結果、580億円分のネムは、コインチェック社のアドレスから、犯人が用意したアドレスに送金されてしまったのです。
つまり、今回の事件は、コインチェック社が580億円分の仮想通貨を、たった一つの秘密鍵で管理していたこと、その大事な鍵が不正に使われてしまうような杜撰な管理をしていたことが原因です。コインチェック社は、ネム以外の仮想通貨はより厳格に管理していました。ウォレットを複数に分けて異なる秘密鍵を格納することや、装置をインターネットに常時接続せず、必要な際にのみ、手動で接続することにより、盗み出されるリスクを下げる対策が講じられていたのです。犯人は、そうした対策の講じられていなかったネムを狙って、攻撃を仕掛けてきたと考えられます。
今回の事件の詳細が明らかになるに連れて、コインチェック社への批判が強まっています。特に、同社が、顧客から預かった仮想通貨をひとつにまとめて管理していたために、一遍に全ての仮想通貨が盗まれてしまった点については、投資家の一部からは、「裏切られた」という声が聞かれます。仮想通貨の入門書には、一人一人の取引情報が、世界中のシステムに書き込まれ、決して書き換えられない状態で保管されるから安全だ、という説明が書かれています。もし、そうした説明とは異なる手法を使っていたのであれば、あらかじめそれを顧客に説明することが必要でしょう。そして、預かった仮想通貨をひとまとめにして管理する場合であっても、セキュリティが確保できる対策を適用し、その対策の有効性を顧客が納得できるよう説明するべきでしょう。
今回の問題は、ひとりコインチェック社の問題ではありません。仮想通貨取扱業者は、過去にも攻撃されて仮想通貨を盗まれた事例が数多く知られています。現在営業している取扱業者の中にも、同じような問題を抱え、顧客からの預り資産をリスクにさらしている業者がいるかもしれません。現在の仮想通貨業界は、統一的なセキュリティ基準も存在せず、経営体制やガバナンス、セキュリティ対策の充足状況に関する情報開示も行われていないのです。
わが国は、他国に先駆けて仮想通貨取扱業者を規制する法律を施行し、業者の登録制度を運用してきました。国際的な送金に利用可能で、資金洗浄やテロ資金調達に使われかねない仮想通貨を、本人確認を徹底させつつ利用を認めるわが国の対応は、世界の模範となりうるものです。
しかし、現在の仮想通貨法は、取扱業者が多額の顧客資産を預かる存在であることを意識した、十分な利用者保護の仕組みを備えていません。法律制定時には想定されていなかった状況が生じている以上、投資家・消費者保護の視点からの法規制の強化が必要ではないでしょうか。また、業界の自主的な対応としても、信託や保険の仕組みを活用した制度的な対策が考えられます。業界が自ら自主的にセキュリティ対策の基準を制定することにより、利用者の不安の払拭に努めることも必要です。こうした事件が再び起きないように、常に対策を最新のものとし、徹底させることが必要でしょう。
今回の事件で誰もが不思議に思うのは、不正送金されたネムが犯人のアドレスに送金されていることは誰でも確認できるのに、それを取り戻すことができないという点です。これがもし、銀行預金であったならば、盗まれた大金がどこかの預金口座にあることが分かった時点で、当局に差し押さえられ、最終的には盗まれた人に返還されると期待できます。
ビットコインが注目され始めた当初から、その背景に特殊な思想があることが注目されていました。それは、信頼できる中央機関を決して置かないという「非中央集権」と呼ばれるポリシーです。仮想通貨は、こうしたポリシーを持つからこそ、法律や政治体制の違いによる国境の壁を易々と越えて、国際的な利用が可能になったとも言えます。
これに対し、私たちは、政府、中央銀行、裁判所といった信頼できる中央機関の存在を前提に構成された普通の世界に住んでいます。そうした立場からは、仮想通貨の世界は、きわめて特殊な、危なっかしいものに見えます。今回流出したネムもまた、信頼できる中央機関を置かないポリシーを持つ仕組みであるために、国家権力を含めて、何者も情報を恣意的に書き換えることはできないのです。今回盗難に遭ったネムの問題をみれば、「非中央集権」というポリシーは、両刃の剣であることが分かります。
こうした仮想通貨という異質な存在を、国家が適切に制御すること、つまり、その利点を生かし、欠点を補うことができるのでしょうか。この新たな課題に向き合うためには、国際的な規制対応も含め、関係者が知恵を絞っていくことが必要です。わが国は、これまでの貴重な経験を活かして、国際的な議論をリードしていくことが期待されています。
