2018年1月28日日曜日

ビットコインも他人事ではない===コインチェック580億円不正送金事件

いまこの投稿をしている2018年1月28日日曜日12時過ぎの時点で、コインチェック社は、NEMの売買停止(金曜日午後12時過ぎ)から補償方針公表(土曜日23時)までの加重平均を用いて、日本円で、自己資金で、返金するとしています。

なぜこのような太っ腹な対応が、週末のたった2日弱のあいだに、また技術者とも思えないしどろもどろの記者会見の間に、意思決定できたのか?

ほんとうに不正に、すなわち仮想通貨交換所の側での(重)過失があったにせよ故意害意なく詐取されたものであるならば、それはそれで疑問です。

半年以上ぶりにブログを更新するのは、そこの真相究明が目的ではありません。

仮想通貨「通」を自称する人たちも呟き合っているSNS参加者の見立てでは、

今回の、マウントゴックス不正送金(?)事件を遥かに超える金額の、仮想通貨「交換所」スキャンダルは、


  1. さまざまな仮想通貨の種類が雨後の筍のように産まれている中で、NEM独特の脆弱性によるもの
    1. コールドウォレットの設定ができなかった=出典「コインチェック社謝罪記者会見
    2. コールドウォレットの設定が「できる」ビットコインなどほかの種類の仮想通貨なら大丈夫?
  2. さまざまな仮想通貨交換所が事業を行っている中で、コインチェック社独特の情報セキュリティ管理の杜撰さによるもの
    1. 改正資金決済法に基づく交換業登録を済ませている他の交換所は大丈夫?

ビットコインは安全。コインチェック社でなかったら安全。と言えるでしょうか?

仮想通貨FXをはじめ、交換業登録も目指すわたくしたちも他山の石としなければならない、論より証拠を。


金額の多寡が問題ではありません。もちろんわたくしは、コインチェック社が580億円相当も盗まれたということ以上に、580億円相当(マイナス値上がり分)も「集金」していたことのほうに実は驚いているのですが!!

(2)そして古いところでは、我が国のマウントゴックスの事件があります。ここでは仮想通貨交換所(注3)が倒産に追い込まれ社長が逮捕訴追されました。サイバー攻撃により不正に送金させられた(詐取された)という当時の社長の言い分が、いったんは聞き入れてもらえず、御白州に。しかし、裁判はまだ終わっていない中、昨年、マウントゴックスからビットコインを詐取した真犯人としてライバル交換所(?)BTC-eの社長が逮捕され、同取引所は米国で口座凍結業務停止処分となっています。

北朝鮮ハッカー集団が詐取した仮想通貨は、同国のミサイルに、BTC-e(所在地ブルガリア)が詐取したビットコインは、昨年の米国大統領選挙に絡み、敗北したヒラリー・クリントン陣営や民主党本部のメールのハッキングなどの資金に使われたという疑惑が出ています。BTC-eはブルガリアに本拠のある世界最古参の仮想通貨交換所ですが、逮捕された社長はロシア人です。ロシアゲートと仮想通貨は隣り合わせだったことになります。

(3)極め付きにもうひとつ。時期的には(1)と(2)の間で場所は日本。仮想通貨交換業登録済のかなり広告宣伝も打っている大手交換所でビットコインが詐取が複数発生していて、その被害総額はコインチェック社の今回の金額には及ばないものの、複数の裁判が継続中です。詐取した犯人が、第三者(外部のハッカー)なのか(?)、同交換所の内部者なのか(!?)、交換所自体なのか(!!??)、まだわかりません。3つの可能性のうちどれであってもそれぞれに事態は深刻であると言えます。

(注1)手口が米国ソニーエンターテインメント社に対するサイバー攻撃と同じであることから米国諜報当局が北朝鮮の仕業であると特定。北朝鮮はこれを否定。
(注2)これもNEMだったか、これはビットコインだったか、それ以外かはWSJの報道には載っていません。
(注3)この時点では本邦でも資金決済法による仮想通貨交換業登録制度はなかった。

ちょうど(1)の報道がWSJ紙でされた週の月曜日、こちらのブログでもしばしばご紹介している異端の経済学者(もともとは数学者)の塩沢由典先生の勉強会で、ビットコインに関するプレゼンテーションを行ったばかりでした。3時間の持ち時間のうち2時間は暗号理論と情報処理論に割きました。

2017年はビットコインをはじめとする仮想通貨(≒暗号通貨)が話題を総なめした一年となり、様々な解説本が出てきました。しかしこれらを複数読んでも、
うーん、わからないなぁ。
腑に落ちないなぁ。
俺って頭悪いのかなぁ。
理系じゃないと無理かなぁ。
・・・・・・
まぁ、背景はわからなくても、安く買って高く売ればそれで良いか???
などなどと自問自答された方がきっと何百万人もいらっしゃったのではないでしょうか???

心配にはおよびません。マイニング(=プルーフ・オブ・ワーク)、公開鍵暗号、ハッシュ関数、ノンス、、、などの核心部分において、ちゃんと理解してもらおうとして(それ以前に著者がちゃんと理解して)書かれているまともな本はほとんどないからです。

そのなかでこれは良かったという稀有な一冊をご紹介します。

「現代暗号入門」神永正博著(講談社ブルーバックス2017年10月20日)

さて、対象がビットコインであれ、NEMなどのその他仮想通貨(オルトコイン)であれ、仮想通貨交換所って何をやっているのでしょうか?

  1. 法定通貨で仮想通貨を買いたい人と、仮想通貨で法定通貨を買いたい人のマッチング
    1. ただし参加者はその交換所に「ウォレット(?)」という名の管理口座を開設している人(および自己勘定としての「交換所」自身)
    2. ライバル「交換所」や、マイナーなど仮想通貨ネットワークにノードを保有している世界中の人たちの売りニーズ買いニーズは反映されない。
    3. ビットコインの入出金の履歴には、ウォレットアドレスやトランザクションIDが記載されるいっぽう、取引所や販売所の取引履歴を見てもそれらは記載されていない(自分のウォレットアドレスでブロックチェーンを検索すると、入出金の履歴はヒットするが取引所や販売所の取引履歴は見つからない)。これぞ論より証拠。
  2. 他人に仮想通貨を送金したいときに、「交換所」に管理口座を開設している仮想通貨保有者(送金人)に《代行》して手続きを行う
    1. 上記(1)と、(2)の相手方(受取人)が同一「交換所」の管理口座保有者ならば、売買の決済(上記(1)の場合)および送金の決済((2)の場合)は瞬時に出来る。なぜなら、取引には公開鍵暗号が用いられずブロックチェーンに書き込まれないから(マイニングに要する「約10分」が不要)
    2. 送金の相手方(受取人)がライバル「交換所」の口座保有者だったり他の独立したノードである場合(注4)は、公開鍵暗号が用いられマイニングを経てブロックチェーンに書き込まれることになる。
    3. しかし、「交換所」はこの場合に、かかる「外部」送金を依頼する口座保有者から《代行》するために備えて、口座保有者から予め預かっていた公開鍵(アドレス)に対応する秘密鍵を「交換所」自らが使用する。
    4. さらに言えば、口座保有者は秘密鍵を「交換所」に預けているどころか「交換所」は秘密鍵(のコード)を口座保有者に明かしていない点がポイント


(注4)ビットコインはパブリックチェーンであるから誰でもノードになれる。その目的はマイニングや「交換所」経営に限らない。投資、送金をする+送金を受け取るなど、「交換所」に依存せず仮想通貨を売買したい送金したい、ネットワークを監視したい等。

きょうのブログの題名、「ビットコインも他人事ではない」のこころは、「交換所」と口座保有者の間では、「外部」送金も含めて、管理口座(≠本来のウォレット)のログイン情報(例:メアド+パスワード≠秘密鍵)だけを以って本人確認し、預かりっぱなしの秘密鍵を用いて、送金代行任務を完遂できてしまうという実態です。

これが、コインチェック社に限られた話ではない仮想通貨「交換所」や、下記の北朝鮮ハッカーによる韓国「交換所」に預けられていた仮想通貨の盗難が(足跡を残さずに)出来てしまうハッカー集団にとっての狙い目だと言えないでしょうか?

仮想通貨を原資産とする派生商品(いわゆる仮想通貨FX)を別とすると、仮想通貨を現物資産として取り扱う業務を行うには改正資金決済法の交換業登録が必要であるという法令規制制度を裏返すと、業登録ができると、取引所や販売所など(上記1.)だけでなく送金代行(上記2.)も出来てしまう、ということになります。果たして制度設計として、なんでも出来たほうが良いのかどうか疑問です。株式取引やFX取引のような利便性を仮想通貨に当て嵌めたいというビジネスニーズは、安全のためビットコインは保有者ひとりひとりがコールドウォレットで保管しましょうと呼びかけるモチベーションと相矛盾するのではないか。売買注文の《取次》が主な収益源だと思われる「交換所」が、主な収入源とは思えない送金《代行》のためにひとりひとり異なる秘密鍵を口座保有者にオフライン管理させあとは自己責任でという業務運営を進んでやる気になるでしょうか。これはもはや「交換業」ではなく、ノード作成代行業です。