id:hirokiky です。 正直、今回のような時事ネタはブログやTwitterではあまり書かないようにしているんですが、 さすがに今回は書いておこうと思います。
なぜか。
理由は僕自身がcoincheck (コインチェック)を2016年ごろから使ってきたことが大きいです。 また、同じようにサービス(オンライン教育サービス PyQ)を作る人として思うところがあったのでブログにまとめました。 雑文なのはお許しください。
coincheckはUIも使いやすく、取扱い仮想通貨も多い+対応が速いという点が好きで使っていました。 成長も早く、たしかにセキュリティ面や法務面での怪しさはありましたが、成長に期待しつつ僕自身でも安全面に対応して使おうと決めていました。
が、そんな中 coincheck からNEMという仮想通貨が580億円相当盗まれたとの情報がありました。 coincheckでは取引の停止、全通貨の出金停止(日本円を含む)となりました。
その後に2018-01-26 11時30分 PMからの記者会見がありました。 このブログは、その記者会見の内容やポイントに触れつつ、仮想通貨や僕の被害状況、サービス提供者としての考えをまとめたものです。
僕はニコ生で、coincheckの記者会見を見ていました 仮想通貨取引所「コインチェック」売買停止トラブル 記者会見 生中継 - 2018/01/26 23:30開始 - ニコニコ生放送。
(YouTubeであるのはこことかでしょうか YouTube)
追記: 1月28日
coincheckからNEMの保有者に現金での補償があるそうです。
http://corporate.coincheck.com/2018/01/28/30.html
NEM持っていた方は本当に良かったですね。。 訴訟などしても時間はお互いに返ってこないですし、coincheckの早急な対応は素晴らしいと思います。
簡単なキーワード解説
あくまで簡単な説明と振り返りなので、大きな嘘でない限りはご容赦ください
- NEM:仮想通貨の一つです
- コールドウォレット:仮想通貨を、オンラインではない場所に退避させるもの
- 取引所であれば、顧客の資産すべてを常にオンラインにおいておく必要はありません
- 取引量などを見つつ、何割かをコールドウォレットに逃がす必要があります
- マルチシグ:仮想通貨の「お財布」の「鍵」を複数にして安全性を高めること
仮想通貨における「お財布」にはアドレスと鍵があります。アドレスは口座番号で、「鍵」(秘密鍵)は送金に必要なものです。
仮想通貨は世界中の皆が帳簿を共有して「誰々さんがいくら持ってる」と管理するものなので、財布と言っても、言ってしまえば単なる口座番号(と鍵)でしかありません。「みんながどこ(口座番号、アドレス)にいくら入ってる」と保証してくれているだけになります(僕たちの日本円や株式、債権も物理でなく帳簿上にあるだけのものがほとんどでしょう。誰がどう保証しているかの違いでしかありません)。 紙幣や硬貨っぽくなっている仮想通貨もありますが、単にアドレスと秘密鍵が入った財布です。
コールドウォレットというものは、その秘密鍵をオンラインから切り離された場所に保管する(すぐには送金できないようにする)ことです。 ハードウェアウォレット(専用のデバイス)を使ったり、紙に書いたりするのがこれです(スマホアプリは十分ホットウォレットです)。
僕の中での会見のポイント
- coincheckのNEMが580億円相当盗まれた。本当にNEMが盗まれた
- coincheckはNEMを全額ホットウォレットに入れていた。コールドウォレットに移動はしていなかった
- マルチシグ対応はしていなかった
コールドウォレットについてはサイト上でも「サービスの安全性」の項目で対応していると明記されていますので、 僕としては一番衝撃だった部分はこの点でした。以下、サイトからの引用。
コールドウォレットによるビットコインの管理
当時、Mt.GOX(マウントゴックス)のコールドウォレットの管理は完全なオフライン状態で行われていなかったため、安全性が確保されていませんでした。 coincheckでは、お客様からの預り金の内、流動しない分に関しては安全に保管するために、秘密鍵をインターネットから完全に物理的に隔離された状態で保管しています。
コールドウォレットの冗長化と暗号化
コールドウォレットは冗長化され複数の場所に分散されて保管されているため、万が一、災害等で一部失われたとしても問題ありません。 また、AES-256 の規格を持ってコールドウォレットは暗号化されており、第三者が盗むことはできません。 AESとは、Advanced Encryption Standard の略称で米国商務省標準技術局(NIST)によって制定された、米国政府の新世代標準暗号化方式です。AESの後に付与されている数字は暗号アルゴリズム強度指数を表しており、256が最大のものとなっています。
コールドウォレットについては明記されているのに対応されていなかったというのは一番マズイと思います。 たしかに「コールドウォレットによる ビットコインの管理 」とありますが、これはかなり恣意的で、良くないと思います。 これは 「投資家の自己責任」では済まない 内容ではないかと思っています 「いや、コールドウォレット対応はビットコインの管理であってNEMではないよ」と言えるのは僕も理解しています 。がそれってどうなの、と。
マルチシグ対応していないというのは、会見の前からNEM公式などから指摘があったので知っているところではありました。 coincheckの公式や会見よりも、TwitterのNEM公式や仮想通貨のトランザクションを見ている人たち、coincheck内のチャットのほうが情報が速いというのが面白いところでした。
マルチシグ対応していないのはcoincheckの問題であり、NEMという仮想通貨が脆弱というわけではありません 。
"As far as #NEM is concerned, tech is intact. We are not forking. Also, we would advise all exchanges to make use of our multi-signature smart contract which is among the best in the landscape..." - Lon Wong, https://t.co/OrsmNzmN1w Foundation President
— NEM (@NEMofficial) 2018年1月27日
"Coincheck didn't use them and that's why they could have been hacked. They were very relaxed with their security measures," Lon Wong, https://t.co/OrsmNzmN1w Foundation President
— NEM (@NEMofficial) 2018年1月27日
僕の会見の感想
- 本当に盗まれたのか。。嘘だと言ってよバーニィ
- coincheckがコールドウォレット対応していなかったは良くない
- 嘘の情報(すべての仮想通貨でコールドウォレット対応してるように見えるのにしてなかった)をサイトに書いていたのはかなり良くない
- 東洋経済、日経など経済誌と朝日の記者さんは分かった上でちゃんと質問しててすごい
- 逆に、知ってる人じゃないと仮想通貨への理解はかなり低いと分かった
- CMを大きくうつと人の目に晒される
- 認知度は上がるが、問題が起こった場合の心象に大きく影響する
- 「CMより優先すべきことがあったのでは」という記者の質問がそれを語っていた
- 会見中「株主と検討が必要」という言葉を繰り返す => 会見の2人が株の過半数を持っている、はコントだなと思った
- 同じサービスを提供する身として気をつけないといけない
マルチシグ対応していないこともそうですが、コールドウォレットに関してはサイトに掲載している内容なのでマズイ(少なくとも誤解を発生させるものだったかどうかの争点にはなる)と思います (ビットコインというワードを使ったときに仮想通貨全般を指す言葉のように感じられる点、NEMなど一部の仮想通貨ではコールドウォレットに移動していないと書いていなかった点、などは争点になるかなと思います)。
Twitterで見た声に対する個人的な感想
- 分かる: 「coincheckも被害者である」
- 分かる: 「一部記者が無知だ。攻撃的すぎる」
- 分かったうえでちゃんと質問してる人もいた
- 過激に記者側を叩くのはそれはそれでおかしい
- 分かる: 「会見でcoincheck代表、取締役、顧問弁護士が「検討」「確認」しか言ってなくて何の話にもなってない」
- 分かる: 「coincheck頑張って欲しい」
- 和田社長も、まぁ頑張って欲しい
- 個人的な感想としてはTwitterはもう少し抑えたほうが良いとは思う
- 分かる: 「今後の仮想通貨が心配。仮想通貨は悪くない」
- 分かる: 「サービス提供責任者として自分たちも気をつけよう」
- うーーん: 「セキュリティはキリもないし仕方ない面はある」
- とはいえマルチシグ対応、コールドウォレット対応はするべきだったのでは。。
- とはいえサイト上で全仮想通貨でコールドウォレット対応してるように見せるのは良くないだろう
僕の被害状況
僕はNEMを買っていなかったので、直接的な、分かってる範囲での被害はありません。ご安心ください。 ただ、Rippleだけはcoincheck上に "いくらか" ありました。Rippleは盗られていないとのことですが詳細は不明です(かなり不安です)。 これからどうなるかも不明です。
Rippleについても現在はcoincheckから出金できない状況です。 返ってきたら嬉しいな、くらいの諦めの気持ちになりつつあります。お祭りへの(ちょっとお高い)参加費だと思っています。
僕は2016年ごろからBitcoin、Ripple、DAO、ETHを取引していたのですが、基本的には 取引所に置かない、 ハードウェアウォレットを使う ようにしていて良かったなと思います(ハードウェアウォレットはコールドウォレットの一つです。物理のオンラインでないデバイスに「鍵」をしまっておいて安全にするものです)。 逐次、仮想通貨の転送が必要なので、かなり面倒ですけどね。 この物理のデバイスが無いとこの財布から送金できないのでさらに面倒です。
これが僕のハードウェアウォレット、Trezorです。Bitcoinには使えます。
サービスの提供者として感じたこと
coincheckの記者会見、見てて聞いてて感じる部分は大きかったですね。僕もサービスをやってる人として、明日は我が身と思って頑張ろう、気をつけようと思いましたよ
— Hiroki KIYOHARA (@hirokiky) 2018年1月26日
僕も PyQ というサービスの企画、開発、保守からやっている身なので同じ気持ちとして会見を見ていました。
「問題はあるけど、まぁいいかな」と頭をよぎる瞬間は人間あると思います。例えば「自宅についてももう少し防犯したほうがいいかな?」や「防災グッズ買っといたほうがいいかな?」と思うことはありますよね。
「ちゃんとやらないとダメだろう」という内なる声に聞かないふりをしてしまったり、日常の庶務や、成長や開発を優先したくなることがあります。
でも、そこは踏みとどまってお客様のことを考えないといけないんだなと改めて強く思いました。 また、万丈な体制でないのに過剰な広告、宣伝、成長は自分をダメにしてしまうんだなとも思いました。
一般的なWebサービス提供者であれば個人情報の流出などのリスクは常にあります。 もちろん、仮想通貨ほどの直接的な金銭の被害は起こらないですが、それでもお客様の情報などを預かる身と思い直さなくてはいけないなとは思います。 オープンなサービスであれ、社内システムであれ何であれ関係なくそのリスクはあります。
今一度、サービス提供者が嘘をついてはいけない。誤解を与えるような表現をしてはいけないと肝に命じました。 また、セキュリティ上の課題を後回しに考えてはいけないものだと思い直しました。他のタスクを差し置いても、セキュリティ上の問題があった場合に被害の大きい点から対応する。成長を抑えても対応すべきことはあると思いました。
というわけで皆さん、ご安全に。