事件発覚後、BTCが大暴落した
仮想通貨取引所である『Bitfinex』でビットコインが盗難されるといった事件が起こりました。その額、当時のレートにして約770億円相当と言われています。では、何故このような事件が起こってしまったのか、そして今後このような事件が起こらないようにするにはどうしたら良いのか見ていきましょう。
事件の経緯
事件が発覚したのは、2016年8月2日のことでした。Bitfinexのホームページ上で、取引所のセキュリティに対して侵入した者がいると報告したのです。『侵入者が現れた=ハッキングされた』という不安に駆られました。残念ながら、その不安は見事に的中してしまったのです。
当時の発表では、どのような損害があったかなどの報告はありませんでした。しかし、実際にどのような損害があったのか発表したのはBitfinexの従業員だったのです。その従業員は、119,756ものビットコインが盗難に遭ったと報告しました。いわゆる内部告発によって真実が明らかになったのです。
当時のレートで、約770億円というとんでもないハッキング事件となりました。ビットコインのレートが上がっている時期だったからこそ狙われた可能性も高く、多くの人が仮想通貨のことを良くも悪くも知ったきっかけになった事件でもあります。(後に発生してしまうコインチェック事件の知名度には劣りますが…)
BTCが大暴落を起こす
このような盗難事件が発生すると仮想通貨は軒並み価格が下落していきます。仮想通貨の信用が落ちるということは、売りが優先してしまうからです。信用と安全で成り立っているのが仮想通貨ですから、それも当然のことでした。そして、周りが売ることによって価格は下落、下落する前に売る人が増えてさらに下落、それがループのように続いて結果的に暴落に繋がってしまいました。
さらに、ハッキング被害に遭ってしまうと取引所は取引を停止してしまいます。出金も入金もトレードも出来なくなり、下落は加速していったのです。そして、それ以上に下落の原因になったのがBitfinexによる報告が一切なかったことでしょう。先ほども書きましたが、Bitfinexによる事件の詳細な情報や被害・補償に関する情報が一切出回っていなかったのです。
一気に不安になった投資家たちによって市場の大混乱に陥りました。そして、結果的にビットコインは最大で20%近くも暴落してしまったのです。650ドルもあった価格が、たったの5時間で480ドルにまで下落したのですから、どれほどの混乱だったのかよく分かりますよね。
それと同時に、他の仮想通貨も下落傾向になってしまいました。アルトコイン(※ビットコイン以外の仮想通貨の名称)は、ビットコインの価格変動に大きな影響を受けてしまうからです。ビットコインが上がればアルトコインも上がり、ビットコインが下がればアルトコインも上がる、アルトコインの価値はビットコインで決まってる部分もあるということですね。
初期の対応に難あり!?
仮想通貨取引所にとって、ハッキング被害に遭ったというのは非常に大きなマイナス点になります。しかし、伝えたくない情報でも伝えなければいけません。そんな中で、今回のBitfinexの初期対応には疑問の声が上がったのです。前述した通り、ハッキング被害が発生したことは報告されました。ただし、詳細な情報や経緯は伏せられたままであったことから不安は増大していきました。
公式発表として報告があったものは、『ビットコインがハッキングによって損失してしまったこと』や『取引所での取引を含む営業を停止すること』というものだったのです。その後、顧客に対しての対応はアナウンスされ続けるのですが、肝心の事件の経緯を発表することはありませんでした。被害額も内部告発があるまでは伏せられていたため、状況はどんどん悪化していくのです。
一応、2016年8月3日にBitfinexとパートナーシップを結んでいる『BitGo社』がツイッターで『BitGoのサーバーに侵入者の痕跡はなかった』という呟きを残しました。それに続くかのように、Bitfinexも『問題発生時にセキュリティは正常で、BitGo社にも問題はありませんでした』という報告がありました。
BitGo社に被害がなかったことで、固有ウォレットを生成していた多くのユーザーの資産は全額保管されたままでした。それによって、多くの安堵の声が出たのは良い傾向だったのかもしれません。それでも、一部のユーザーのウォレット残高は空っぽになってしまったことからも、しっかりとした対応をすべきだったと感じます。
Bitfinex事件が起きた原因
では、どうしてこのようなハッキング事件が発生してしまったのでしょうか。その原因を知ることによって、今後の保管方法にも繋がっていきますよ。
マルチシグウォレットを使用していた!?
マルチシグウォレット(multisignature wallet)とは、複数の電子署名がないと取引することが不可能なウォレットのことを指します。複数の電子署名が必要なことから、一つの不正署名だけではビットコインを盗難することは出来ず、他の人も署名をしなければ資産移動が出来ません。このような仕組みがあるため、非常に高い安全性を誇っています。どの取引所でも利用してほしいくらいです。
Bitfinexでは、このマルチシグウォレットを利用していたみたいです。少し前に出てきたBitGo社が提供してくれていたもので、それが本当であればハッキングするのは困難だったと考えられます。なぜ『本当であれば…』という記述をしたのかというと、Bitfinex以外真実が分からないからです。真実は闇の中ってやつですね。
一応、Bitfinexで利用されていたのは『2-of-3マルチシグウォレット』と呼ばれているものでした。指定された3つの署名の内、2つが実行されると送金処理が実行されるタイプです。3つある内の2つさえ分かってしまえばハッキングも完了してしまうということです。問題は、その3つをどのように保管していたかということ。
Bitfinexの管理としては、Bitfinexが2つ、BitGo社が1つの秘密鍵(電子署名)を分散所有することになっていました。それによってセキュリティ強化していた訳です。当然、このような秘密鍵を全てオンライン上に保管する訳もなく、1つはオフラインでの保管が成されていました。これだけでも多くのリスクが軽減されます。しかし、ある出来事によって秘密鍵を2つともオンラインでの管理にしなくてはいけなくなったのです。
CFTCによる注意勧告
その出来事とは、アメリカのCFTC(米商品先物取引委員会)による注意勧告です。今回の事件が発生する少し前の2016年6月2日、CFTCによってBitfinexは75,000ドルという罰金を命じました。その理由が、商品取引員の認定をしていないこと、商品取引所法に準拠していないことでした。Bitfinex側からしたら思いもよらぬ注意勧告・罰金命令だったことでしょう。
しかし、CFTC側も『すぐに支払え!』と言ってきた訳ではありません。注意勧告をするのと同時に、罰金を回避する方法を提示しました。それが『これから28日以内に、顧客が自分の資産を即時コントロール可能な状態にすること』というものです。ただし、これは秘密鍵を全てオンライン上へと移行しなければいけない(誰でもコントロール可能にするため)、ということと同義でした。
考えた結果、Bitfinexは提示された条件を承諾し、今までオフラインで管理していた秘密鍵もオンライン上へと移行したのです。そして、2ヶ月後にハッキング事件が発生してしまいました。罰金を払いたくないBitfinexがやってしまったこととは言え、一部の被害者の意見としてはCFTCがハッキング被害を起こさせた原因とも指摘しています。
ただし、今回の事件に使われた秘密鍵がBitfinexの2つだったのか、BitfinexとBitGo社から1つずつ漏洩したのかは分かっていません。ただし、BitGo社のセキュリティサービスを使っている他の会社に対する攻撃がなかったことから、Bitfinexの秘密鍵が2つとも漏洩したのではないかと考えられています。BitfinexもBitGo社も『BitGo社には侵入した形跡は存在しない』と発表していることですしね。
いずれにせよ、ハッカーが秘密鍵を入手してビットコインを盗み出したことに間違いはありません。真相を知っているのは、未だに見つかっていない犯人だけです。こういったハッキング事件は、真相が分かるまで不安が残ってしまいます。仮想通貨業界の信頼回復のためにも、早く犯人を見つけて真相解明して欲しいですね。
ユーザーへの対応
仮想通貨が流出した際に一番気になるのは、被害に遭ったユーザーに対してどのような対応・補償がされるかということです。この事件対応がbitfinexの信頼を大きく落としてしまう結果となりました。大量の資金が盗まれてしまった訳ですから、普通に考えたら自社が保有している資産で補償する、他の会社に業務提携を申し込むなどして資金援助をしてもらう、などでしょう。
しかし、bitfinexが発表したものは思いもよらぬものでした。それが『今回発生してしまったハッキングによる被害の損失分を補填するために、全ユーザーの資産から一律で36.067%分を徴収すること』というものです。全ユーザーというのは、被害に遭っていないユーザーや、そもそも資産を預けていないユーザーまで含まれています。そんなの当然ですが納得いきませんよね。
原因ははっきりしていないので全てが取引所の責任ではありませんが、取引所に預けていたものが大規模な被害に遭ったのは事実です。それを補填するために、関係ない人たちの預けていた資産を徴収する訳ですから意味が分かりません。当時のユーザーたちは堪ったものではなかったでしょう。自分であれば二度と使わない選択肢も出てきてしまうほどです。
その後、bitfinexは徴収した資産の代わりに全ユーザーに取引所で交換可能な『BFXトークン』を配布することにしました。徴収分だけではなく、被害に遭ったユーザーにも被害額と同等分のBFXトークンが配布されました。bitfinexは、BFXトークンをユーザーから買い戻すことによって被害額を補償することが出来たのです。
最終的にハッキングが発生してから244日の月日が流れて、bitfinexは被害顧客のBFXトークンを100%買い戻し、補償が完了しました。初期対応から補償の対応まで、多くのユーザーを振り回したBitfinexでしたが、補償も完了したということで一先ず落ち着いた事件となりました。
Bitfinex事件から学ぶ教訓とは
では、このような事件を回避するにはどうしたら良いのでしょうか?
仮想通貨のハッキング事件はいつどこで起こるか分かりません。Bitfinexでこのようなハッキング事件が起こった後でも、コインチェックでネムの流出事件が起こりました。これもコインチェック側のセキュリティに対する甘さからくるものでした。まずは、自分で出来ることから始めてみましょう。
マルチシグウォレットでの管理を優先する
マルチシグウォレットとは、シングルシグウォレットと違って複数の秘密鍵を要するものです。電子署名が一つあれば誰でも使えるシングルシグウォレットと比べると、圧倒的に安全性は高いと言えます。暗証番号だけあれば使えるクレジットカードと、暗証番号・指紋認証・パスコードがないと使えないクレジットカードのようなものです。
しかし、秘密鍵が複数あるということは、それだけ管理が難しいということにも直結していきます。管理が出来ていないと、高い安全性を保持することは出来ないのです。たとえば、秘密鍵の一つでもハッキングしてバレてしまったら安全度は急激に低下します。一つなら問題ない、という認識ではなく一つバレてしまって危険だ、そういった認識を持ちましょう。
そのため、秘密鍵をオンライン上に保管するのは推奨しません。出来れば、全ての秘密鍵をオフラインでの管理に切り替えるべきだと考えます。Bitfinexもオフラインでの管理であれば、今回のような事件が起きなかったかもしれませんよね。他人の資産を預かっているものとして、しっかりとした管理を徹底してほしいです。
もし、全ての秘密鍵をオフラインで管理するのは難しいと思う人は、一つをオフライン管理、もう一つをユーザー自身での管理、もう一つを取引所のサーバーに管理、などに分けるのも一つの手段です。安全性は少し下がってしまいますが、全てを取引所に委託するのではなく、分担して全ての秘密鍵の漏洩を防ぐといった感じです。
保管にはコールドウォレットが最適
秘密鍵を増やしてセキュリティを高めるのも必要ですが、保管する場所も出来るだけオフラインにするようにしましょう。ネットに繋がった状態での保管が一番危険で、ハッカーにとって絶好の獲物です。
ハードウェアウォレットやペーパーウォレットなどであれば、ハッキング自体は防ぐことが出来ます。リスクが0になることはありませんが、安全性は格段に高まります。
まとめ
全ての資産を外部の手に委ねきっているのは危険です。
仮想通貨業界では有名な『マウントゴックス事件』も、取引所のセキュリティに脆弱性があったため発生してしまいました。
Bitfinex事件は、秘密鍵の管理体制を完璧に構築していたにも関わらず起こってしまいました。ハッカーにとって、わずかな隙は大チャンスなのです。ユーザーの危機管理意識を向上させていくのが大事になってくるでしょう。
ゼロトラストを前提として管理することが、唯一の安全な手法なのです。
自分の大切な資産を守るためにも、以下のページから安全性の高い取引所を選ぶようにしてください。