国内暗号資産取引所・DMM Bitcoinでビットコインの不正流出事件が発生した。事件の概要とその後の対応から、取引所の安全性について考えてみよう。
◉伊藤将史
38歳、フリーライター。Web3.0を中心に最新テクノロジーを専門分野にしている。暗号資産のハッキングに遭ったことはないが、自分の勘違いで暗号資産を誤送金して失った経験は少なくない。
◉石川コウ
43歳、会社経営。主にセキュリティ施策やセキュリティインシデントへの対応を行うコンサルタントとして活動している。セキュリティ対策はするにこしたことはないが、100%防ぐことは誰にもできないため、重要なのは事後対応であると考えている。
伊藤:5月に、日本の暗号資産取引所の1つであるDMM Bitcoinから、ビットコインが不正流出するという事件が起きました。今回は、本件について事件のあらましや取引所の対応、暗号資産のセキュリティに関する問題について話しましょう。
石川:では、DMM Bitcoinによる公式発表をもとに本件の概要を振り返ってみましょう。まず、事件が発生したのは2024年5月31日。DMM Bitcoinのウォレットから、4,502.9BTC、日本円にして約482億円相当のビットコインが不正流出したことが明らかになりました。
伊藤:ウォレットというのは暗号資産を管理するためのソフトウェアですね。要するに、DMM Bitcoin社が保有していたビットコインが、何らかの理由で外部に流出してしまったと。
石川:この被害額は、これまでの暗号資産関連のハッキングや不正流出事件のなかでも7番目の規模となるものです。
伊藤:2018年に起きたコインチェックのNEM流出事件の際の被害額が580億円程。2011年に起きたマウントゴックスという取引所でのハッキング事件は被害額480億円程なので、国内では2番目か3番目に大きな被害額ということになりますね。
石川:本件発生後、DMM Bitcoinはただちに被害が起きたことを公表しました。また、事件当日に「お客様の預りビットコイン(BTC)全量については、流出相当分のBTCを、グループ会社からの支援のもと調達を行い、全額保証いたしますのでご安心ください」と発表しています。
伊藤:非常に迅速な対応ですね。
石川:これまで、暗号資産のハッキング事件などが起きた際は、利用者や暗号資産市場に不安感が広がり、暗号資産価格が暴落した事例が数多くあります。それをいち早く防いだ一手といえるでしょう。その後、6月中にグループ会社からの借り入れや増資によって、補償分の資金を確保しています。
伊藤:ビットコイン価格への影響はあったのでしょうか?
石川:ほとんどなかった、といっても差し支えないようにみえます。流出の発覚後から数十万円規模の価格下落は起きていますが、事件の5日後には再び高騰しています。ビットコイン価格はすでに1,000万円前後になっていて、数十万円程度の上下動は日常茶飯事ですので、事件の影響で暴落が起きたとはいえないでしょうね。すでに事件から1カ月半ほど経過していますが、やはり事件が暴落を引き起こしたという様子はありません。コインチックのハッキング事件の際は、事件後から10日ほどでビットコイン価格が約35%下落しています。それと比べれば、ほとんど影響がなかったといえるでしょう。
伊藤:なぜ価格にほとんど影響がなかったのでしょうか?
石川:まずはDMM Bitcoinの対応が非常に優れていたという点が大きいでしょう。事件発覚当日中に事実を公表し、ユーザーの資産は保証すると明言しています。過去の事例から、このような事件が発覚した際は迅速な対応が必要になると学んでいたのでしょう。DMMグループは日本の超大手IT企業なので、グループ企業からの資金調達が決して不可能ではないだろうと多くの人が予測できたことも、安心材料になりました。
そのほかの理由としては、ビットコイン自体の市場規模が大きくなっているため、この規模の流出事件が起きたとしても相対的に市場への影響は小さくなっているからと考えられます。また、過去に何度も起きている暗号資産の不正流出・ハッキング事件を経ても、結局ビットコイン価格は上がり続けてきたという歴史が、信頼の裏付けになっているともいえますね。
伊藤:過去に暗号資産の流出事件などが起きると、「ビットコインは終わった」とか「暗号資産は結局すべて詐欺」というような声もよく聞こえてきました。今回は、そのような意見もあまり耳にしません。
石川:過去の事例もそうですが、ビットコインという仕組み自体に問題があるのか、それを保管している取引所などの仕組みに問題があるのか、という2点を切り分けて考える必要があります。
伊藤:今回の事例は後者ですよね。ビットコインという仕組み自体に何か問題が起きたのではなく、管理方法に問題があったと。
石川:これまでも、ビットコイン自体の仕組みがハッキングされたというような事件は発生したことがありません。あくまでも、それを管理している側の問題だということです。
たとえば、伊藤さんの銀行口座から預金が盗まれてしまった場合、普通はその銀行のシステムに何か問題があったか、伊藤さんの管理方法に問題があったと考えますよね。それなのに「お金を盗まれたということは日本円というもの自体が詐欺なんだ!怪しい!」と訴えても、誰も相手にしてくれないでしょう(笑)。
伊藤:そのあたりを混同してしまうような考えの人も徐々に少なくなっているのでしょうね。だから、取引所で不正流出が起きたとしてもビットコイン自体への信頼感が揺らぐことはないし、それによって価格が暴落するようなこともないと。
石川:そうですね。ただし、ビットコインはハッキングなどをされたことはありませんが、そのほかのブロックチェーンや暗号資産のなかには実際にハッキングされてしまったものも数多く存在します。なので、「暗号資産やブロックチェーンはすべて安全なんだ」という考えも、また誤りであることは強調しておきます。
伊藤:そうですね。ちなみに、今回の事件は国内取引所で久々に起きた流出事件となりました。国内取引所は海外取引所と比べて安全といわれていますが、それは正しいのでしょうか?
石川:セキュリティ的な観点での安全性と、心理的な理由による安心感というのを切り分けて考えた方が良いと思います。セキュリティ的な観点で国内取引所の方が安全といわれているのは、取引所に関する法整備が進んでいて、海外事業者よりも厳密な資金管理が行われていること、そしてセキュリティ体制や営業体制のチェックが金融庁によって行われているからです。たとえば国内取引所は顧客から預かった資産の大半、もしくは100%をコールドウォレットで管理しています。
伊藤:コールドウォレットというのは外部通信環境(インターネットやイントラネット)と隔離した状態のウォレットですね。つまり、外部からの不正アクセスなどによって資金が奪われる心配がない状態で保管しているということです。
石川:そのような管理方法も含めて、国内取引所は海外取引所や海外の暗号資産サービスなどと比べてもセキュリティが高いということは間違いありません。ただし、今回の事件ではそのセキュリティを乗り越えて不正流出が発生してしまっています。セキュリティというのは強固にする手段は大量にありますが、どんな状態であっても100%安全というのはありえないということを、改めて認識する機会になりました。
伊藤:強固なはずのセキュリティがどのように突破されたのかについては、後で話しましょう。心理的に国内取引所の方が安心できる理由というのは?
石川:日本を拠点にして日本語で情報を発信してくれる国内取引所の方が、我々日本人は情報を得やすいし、補償などの発表についても十分な信頼感を持つことができるということです。今回はDMMだったので、補償に関する発表を信頼できましたが、おそらく聞いたこともないような海外取引所による発表を聞いても、多くの人は不信感を拭えないですよね。
つまり、日本の取引所だから優れているというよりも、我々利用者が日本人だから日本の取引所の方が安心できるということです。
伊藤:実際、国内取引所に上場されていないコインを取引したいとか、DeFiなどのサービスを利用したいといった特別な事情がない限り、日本人にとっては国内取引所を使った方が安心安全であるというのは間違いないでしょうね。
石川:今回流出事件が起きてしまったことはたしかに良くないことですが、これからも日本の取引所の方が安心であるという点は間違いないと思います。ただし、インターネットサービスである以上は、このような事件が起きるリスクが常にあるということも認識しておく必要があります。なので対策として、資産の分散管理もしておくのが良いでしょう。1箇所の取引所にすべての資金を集中するのではなく、いくつかの取引所を利用する。さらにウォレットを使って自分で管理するのも良いでしょう。また、そもそもすべての資金を暗号資産にしておくのは避ける、というのも基本的な資産防衛手段です。
伊藤:ではここからは、今回の流出事件についてもう少し詳しくみていきましょう。どのような手口でビットコインが奪われたのでしょうか?
石川:公式な発表に基づけば、7月10日時点ではまだ原因については明確になっていません。DMM Bitcoinによる最新の報告書でも「不正流出の原因究明等につきましては、現在も調査を継続して実施しております」とだけ発表されています。ただし、SNSではオンチェーン情報などを使って、どのように不正流出が行われたのかを究明している人たちもいます。伊藤:オンチェーンというのは、ブロックチェーンに刻まれた情報のことですね。ビットコインの取引履歴、つまり「どこからどこへ、いくらのBTCが送られたのか」という情報はすべてブロックチェーンに記録されていて、それを誰もが閲覧できるようになっています。
石川:その情報を追うことで、どのような手口で犯人のものと思しきウォレットに不正送金がなされたのか、送金されたビットコインが今どうなっているのかがわかるんです。
そして、今回の流出事件ではおそらく「アドレスポイズニング」が行われたとみられています。
伊藤:アドレスポイズニングとは?
石川:その前に、取引所において暗号資産が出金される際の一般的な流れについて解説しておきましょう。国内取引所の場合、顧客の暗号資産はコールドウォレットに保管されており、外部に出金する際はまずコールドウォレットからホットウォレットに送られます。
伊藤:ホットウォレットは外部通信環境に接続されているウォレットのことですね。
石川:この2つは、DMM Bitcoinの管理下にあるウォレットです。そしてコールドウォレットからホットウォレットに送る際は、マルチシグと呼ばれる手法が取られています。これは、ウォレットからウォレットへと暗号資産を送る際に2人以上の署名が必要になるというものです。
伊藤:誤操作による送信や、悪意を持った内部犯による流出を防ぐために、二重チェック体制がとられているということですね。石川:オンチェーン情報は誰でも閲覧できるようになっているため、すでにSNSなどではDMM Bitcoinが管理しているビットコインアドレスも、特定されています。もちろん公式にそのような発表をしたわけではないので、あくまでも推測に過ぎませんが、過去の資産状況などをみてもほぼ間違いないと思われます。ビットコインのアドレスは「1A2b3c……」というように27文字から34文字の英数字で構成されているのですが、今回の事件ではDMM Bitcoinのアドレスから約4,500BTCが犯人のものと思われるアドレスに送金されていました。
伊藤:誰が、なぜそのような送金をしたのかが問題ということですね。
石川:はい。コールドウォレットなのかは不明ですが、DMM Bitcoinが管理しているはずのウォレットから、いつもならDMM Bitcoinのホットウォレットにビットコインが送金されます。しかし今回の事件では、いつものホットウォレットではなく、別のアドレスにビットコインが送られてしまったのです。ここで先ほど話した「アドレスポイズニング」が行われたのではないかと疑われているのです。アドレスポイズニングというのは、特定のアドレスに非常によく似ているアドレスを作成して、送金先を誤認させるという手法です。
アドレスポイズニングは2023年頃から増加しており、大手ウォレットのメタマスクなども注意喚起をしている。よくある手法としては、標的が頻繁に送金しているアドレス(たいていは取引所アドレスなど)と類似したアドレスを作り、そのニセアドレスから超少額を標的に送金。この送金履歴がウォレットの履歴ページなどに残るため、標的が「いつものアドレスに送金する」つもりで、取引履歴からニセアドレスをコピペしてしまう、というものである。対策としては、毎回必ず正しいアドレスであるかをチェックするしかない。それが面倒な場合でも、高額な送金をする際はまず少額でテスト送金してみて、正しく着金するかを確認しよう。
伊藤:本来は「AABBCC」というアドレスに送金しなくてはいけないのに、「AAB”D”CC」というアドレスを作って、そこに送金させるということですね。
石川:はい。ビットコインアドレスは約30文字ほどの文字列ですが、人間はたいていは最初の数文字と最後の数文字しか認識していません。なので、そこがほぼ同じ文字列であれば、誤って資金を送金してしまうことがあるのです。
ちなみにこの手法は、暗号資産業界における詐欺やハッキングにおいてメジャーな手法でもあるので覚えておきましょう。
そして、今回の事件で利用された犯人のアドレスと本来の業務用ホットウォレットアドレスは先頭と末尾の文字列が非常によく似ています。
もし、ビットコインの送金先を人間が目視だけでチェックしていれば誤認してしまう可能性は大いにあるでしょう。
伊藤:つまり本来ビットコインを送るはずだったウォレットアドレスとよく似た別のアドレスに送金してしまったことで、流出が起きたわけですね。でも、仮によく似たアドレスがあったとしてもビットコインの送金は頻繁に行われていたはずなので「いつものアドレスに送金」という業務フローを守っていれば、誤ったアドレスに送金することなんてないように思えますが。
石川:そうですね。なのでアドレスポイズニングをする時は似ているアドレスを作るだけではなく、たとえば「いつもの送金先アドレス」として記録している媒体やメモ自体をすり替える必要があります。
伊藤:たとえば担当者が自分のPCのメモ帳にそれを記入していたとしたら、偽物のアドレスにすり替えないといけないわけですね。
石川:はい。実際は取引所の業務用ウォレットというのは専用のソフトウェアとして作られているので、記録済みのウォレットアドレスを何らかの手法で書き換えたということでしょう。どのような手法でそれが行われたのかは不明ですが、対象の業務PCをマルウェアなどに感染させた上で書き換える、などが考えられます。また、SNSなどでは内部犯行の可能性などを指摘しているアカウントもありますが、あまり迂闊に推測だけで”犯人探し”をするべきではないでしょう。いずれにしても、手法については今後の内部調査を経て公表されるのを待つしかありません。
伊藤:なるほど。ただ、ウォレット間の暗号資産の送金は複数人による署名で行われるのですよね。いつもと違うアドレスであることに複数人が気付かず送金してしまったということでしょうか?
石川:そのあたりは実状がみえないとなんともいえませんが、「いつもと同じ流れ」の業務としてこなしていれば、厳密なチェックをせずにすり抜けてしまうことはあるでしょうね。
伊藤:つまり、アドレスポイズニングが行われた上で誤送金されてしまった、というのがもっともありそうな話ということでしょうか?
石川:実はそうでもありません。過去の発表資料などをみると、DMM Bitcoinの預かり資産はおおよそ400億円とされています。今回流出したのは482億円相当のビットコインですが、ビットコイン価格の高騰などで預かり資産額が上がっていたとしても、その大半を一度に送金するようなことは、通常はありえません。仮にアドレスポイズニングで送金先アドレスが変わっていることを見抜けなかったとしても、これほど大きな金額を送金するというのはそもそもありえないので、かなり厳重にチェックをされるはずです。
伊藤:つまり単なる誤送金ではなく、明確な犯意に基づいた送金ということですね。
石川:そう考えると、何らかの手法で犯人はDMM Bitcoinのウォレットを操作して外部にビットコインを流出させたということになります。ただし、その場合はなぜわざわざアドレスポイズニングをする必要があったのかがよくわかりませんが。可能性は低いですが、たまたま似たようなアドレスが使われただけで、実はアドレスポイズニングではなかった可能性もあります。
伊藤:とても不思議な事件ですね。あとは正式な調査と報告を待つしかないというところでしょうか。
石川:そうですね。ただ、どのような理由にせよ、人為的なミスや誰かの意図的な操作によって今回の事件が起きたことは間違いありません。ビットコインのブロックチェーンがハッキングされなかったとしても、取引所のように人の手を介す部分がある限り、今後もハッキングや流出事件は起きてしまうのだと認識しておく必要があります。
巨額の暗号資産詐欺やハッキング事件が起きた際、犯人はどのようにしてその暗号資産をドルなどのお金に替えるのかが問題になる。当然ながら、犯人の身元がわかってしまうような方法で換金してしまうと、捕まってしまうからだ。取引所の多くは登録時に本人確認書類の提出を義務付けているため、盗んだ暗号資産をそのまま取引所に送って換金することはできない。そこで、多くのハッキング事件では、複数の暗号資産取引を混ぜて取引履歴をわからなくしてしまうミキシングサービスなどが使われる。ただし、著名なミキシングサービス事業者が海外で有罪判決を受けた例などもあり、この手法も難しくなっているのが現状である。そのほかに、「被害者から一定の金額をもらい暗号資産を返還する」といった交渉が行われるケースもある。
伊藤:利用者としては可能な限り信頼できる取引所やウォレットサービスを利用しつつ、資産を分散管理するということを心がけるしかなさそうですね。石川:ちなみに、今回の流出事件では「お客様の預りビットコイン(BTC)全量については、流出相当分のビットコイン(BTC)を、グループ会社からの支援のもと調達し、全量保証いたします」と発表があった通り、利用者が保有していたビットコインはそのままビットコインで保証されるようです。伊藤:それが、何か特別なことなんですか?
石川:以前コインチェックで起きたハッキング事件の際は、補償は日本円で行われました。流出したNEMの「特定のタイミングでの価格」を基準にして、日本円換算した金額がユーザーに補償されたのです。実はこれだと、「暗号資産を利確して日本円にした」ということになるので、利用者には自動的に税金が発生してしまったのです。しっかりと補償した事自体は評価できますが、結果的に利用者に不利益があったかもしれないわけです。それに比べれば今回のDMM Bitcoinの対応は、流出事件への対応としては100点満点といえるかもしれません。もちろん、本来は流出事件が起きない方がいいんですけどね。
伊藤:今後、日本の取引所で同様の事件が起きた際も、今回のDMM Bitcoinの対応が基準となればいいですね。
石川:同じような保証体制をすべての事業者がとれるかはわかりませんが、今回は国内取引所の対応としてほぼ文句のつけようがない事例になったといえるかもしれません。
最後に、今回の事件は実はまだすべて終わったわけではない、という話もしておきましょう。流出事件を起こした犯人は、最終的にはそのビットコインをドルなどのお金に替える必要がありますが、7月時点ではまだそれは行われていません。これも、流出したビットコインの取引履歴を追っていけば、誰でもチェックできます。480億円相当のお金ですから、それを換金するのもかなり大変なはずです。
伊藤:当然、取引所に送って換金しようとすれば、犯人の身元もわかってしまうわけですもんね。
石川:なのでこのような事件では、実は「被害者が被害額よりもかなり少ない一定の金額を犯人に支払って暗号資産を返してもらう」というケースも珍しくないのです。それくらい、身元が判明しないように暗号資産を換金するのは難しいということですね。ただ、今のところそのような動きもないようなので、今後も流出したビットコインの動向は多くの人が注視することになるでしょうね。
①流出の経緯は不明だが、アドレスポイズニングなどの手法が用いられたと予想されている。
②被害発覚後、ただちに事実を公表して保証体制についても告知。市場に混乱はほぼ起きなかった。
③顧客資産保証のための資金調達も完了済み。流出事件が発生した事自体はマイナスだが、事後対応としてはこれ以上はないという対応が取れている。
Interview Iolite FACE vol.10 デービッド・シュワルツ、平田路依 PHOTO & INTERVIEW「ゆうこす」 特集「日本国内の暗号資産業界動向」「トランプvsハリス 暗号資産業界はどうなる? 」「評価経済社会は予言書だったのか」 Interview :株式会社メタプラネット サイモン・ゲロヴィッチ、CALIVERSE キム・ドンギュ 連載 Tech and Future 佐々木俊尚…等
