なぜ580憶円もの仮想通貨が盗まれてしまったの？他の会社、コインは大丈夫？

どうも千日です。仮想通貨取引所大手のコインチェック㈱から不正アクセスにより時価約580億円相当の仮想通貨「ＮＥＭ（ネム）」が流出しました。

NEMのデータについては、外部のネットワークとつながる状態で保管していたためです。

安全性に問題があることは認識していたものの、社長は「技術的な難しさと人材不足」から、対策が後手に回ってしまったと釈明していますね。

なお、26万人に日本円にて約463憶円の返金をする旨の発表が行われています（28日未明）方法及び時期は未定です。

• なんで580億円もの仮想通貨が盗まれてしまったの？仮想通貨ってそんなに簡単に盗まれてしまうものなの？
• こうした不十分な管理はコインチェックだけなの？他の会社は大丈夫？

こうした点が気になるところだと思います。今のところ、コインチェックの話ばっかりで、あまりその原因の深層、根本に言及した記事が無いのでちょっと書いてみることにしました。

1. 事件の表層
2. 事件の深層

この両面から今回の不正流出事件を斬ってみようと思います。では始めますね。

• なぜ580憶円もの仮想通貨が盗まれてしまったの？他の会社、コインは大丈夫？
  • 仮想通貨とは？取引所の管理レベルの実態（事件の表層）
    • 一般的な企業のITセキュリティの要求水準
      • １．アクセス管理
      • ２．システム変更、開発
      • ３．システム運用管理
    • コインチェックの仮想通貨の管理レベルは桁違いに低かった
    • 誰でもとれる場所にむき出しで放置しているのと同じ
    • 他のコインも同様の放置状態にあった可能性は否定できない
    • 26万人に463億返金（28日発表）
  • コインチェックだけの問題なのか？他の取引所は大丈夫なのか？（事件の深層）
  • 金融庁による審査の実効性に疑問（外部規制の不徹底）
    • コインチェックは「みなし業者」として営業を継続
    • 審査に通らなかった原因は「利用者保護」ではなく「匿名通貨」？
    • 審査に通らなくてもCMで利用者を増やすコインチェック社を放置
  • 利用者の保護を取引所自身に期待できるか？（内部要因）
    • 社内風土は社長が創る
    • 社内風土とは「社長の成功体験」のストーリー
    • 外から何か言われて変わるようなものじゃない
    • コインチェックの社内風土はどうだったのか？
    • 和田社長が仮想通貨の向こうに見たのは価値か？タダの数字か？
  • 今の「取引所」は金太郎飴、コインチェックと大差ない
    • 以上、千日のブログでした。

仮想通貨とは？取引所の管理レベルの実態（事件の表層）

仮想通貨とは、2016年の新通貨決済法で定義されている、れっきとした通貨です。

円やドルなどの既存の通貨以外で、既存の通貨と同じように誰でも、誰とでも電子情報処理組織（仮想通貨取引所）を通じて使用することができ、かつ、購入及び売却、交換を行うことができるものです。

仮想通貨取引所では、外部からの不正アクセスを防ぐため、外部ネットワークから遮断して管理するのが通例で「安全性を高めるためオフラインで保管する」ことが基本です。

仮想通貨といえども、それはれっきとした通貨であり、取引所には通常の会社よりも高いレベルのセキュリティが求められるんですね。

一般的な企業のITセキュリティの要求水準

仮想通貨取引所に限らず、IT化が進んだ現在では会社にはITセキュリティについて一定レベル以上の水準が求められます。

それぞれ、どんなレベルなのかを簡単にご説明しましょう。

1. アクセス管理
2. システム変更、開発
3. システム運用管理

１．アクセス管理

会社の重要なシステムにアクセス権限の無い者が勝手にアクセスできないようにするための管理レベルです。

これは、組織内部の人間であっても、その部署や権限に応じて勝手にアクセスできないようにすることが必要です。

内部の人間であっても、アクセスは制限すべきということです。

２．システム変更、開発

システムに不正な変更が加えられたり、開発の過程でウイルスなどの不正なプログラムが混入させられないようにするものです。

３．システム運用管理

システムがダウンしても、バックアップから素早く復元して復旧できることを求めるものです。

コインチェックの仮想通貨の管理レベルは桁違いに低かった

今回の不正流出の原因となったのは、何者かが外部ネットワークから侵入して不正に引き出したということでしたね。＝１．アクセス管理の問題です。

一般的な企業に求められる管理レベルは会社内部であっても権限外はバツ。

コインチェックは会社外部、それも全世界に開かれたインターネットを通して不正アクセスを受けたということですから、特定も難しいです。

そんな環境下に時価580億円もの仮想通貨を保管していた、ということです。

誰でもとれる場所にむき出しで放置しているのと同じ

例えるなら、祭りの夜店の手提げ金庫に580億入れて放置していたようなものです。夜店なら店番する人が常にそこに居ますし、ばら銭くらいしか入っていませんから、それを取って逃げるなんてわりに合いませんよね。

• しかし、その金庫に580億入っていることが分かったら？
• 店番が、そこから離れてしばらく返ってこない状態なら？
• 周囲の人はそこにお金があることすら知らない状態なら？

盗ってくれと言わんばかりの状態で保管されていたのが、今回のNEMだったわけです。

他のコインも同様の放置状態にあった可能性は否定できない

• コインチェックは今のところ被害を受けたのはNEMだけであったと言っています。
• また、安全性に問題があることは認識していたと言っています。

つまり、NEMについては危ないと認識していながら、対応が後手に回ったということですね。だから盗られた。

しかし、安全性に問題があることを認識していながら、未対応のコインはNEMだけだとは一言も言っていません。

ですから、NEM以外の仮想通貨についても、同様の放置状態にある通貨がある可能性は否定できないと思います。

いずれにしても、現在のところコインチェックは取引を停止していますので、コインチェックからこれ以上の不正流出は無いのでしょう。

26万人に463億返金（28日発表）

NEMを保有していた約26万人全員に約463億円を返金すると発表しました。返金の原資は自己資金だそうです。

今後も事業を継続していくと表明しています。

コインチェックだけの問題なのか？他の取引所は大丈夫なのか？（事件の深層）

上記までが、いま報道されていることです。せっかく書くのですから、もう一段深層に潜りましょう。

やはり気になるのが、これがコインチェックだけの問題なのか？ということですね。

コインチェックだけがこんな常識外れの管理をしていたのか？

何となくわかると思うのですが、あまり期待しない方が良いと思います。

金融庁による審査の実効性に疑問（外部規制の不徹底）

金融庁は新通貨決済法の施行後、仮想通貨取引所の登録制を2017年4月に導入しています。金融庁が取引所を審査して登録するという制度です。

この制度の目的は以下の2点です。

1. 仮想通貨の取引所を経由したマネーロンダリングやテロ資金供与の防止
2. 利用者の保護

１．の観点からは、取引所は犯罪収益移転防止法の「特定事業者」に追加され、口座開設時の本人確認や疑わしい取引の届け出を義務づけられます。

２．の観点からは、利用者が預けた金銭と仮想通貨の分別管理のほか、最低資本金などを求める方針です。

コインチェックは「みなし業者」として営業を継続

制度としては、金融庁の審査に通らないと業務が出来ないものなんですが、コインチェックは、導入前から仮想通貨の交換業を行なっていたため、「みなし業者」として営業を継続できていたんですね。

コインチェックは2017年9月に登録を申請しましたが、通常なら約2カ月で終了する審査が、4カ月を経過しても終わらず、登録に至っていません。

その矢先に起きたこの事件ということです。

審査に通らなかった原因は「利用者保護」ではなく「匿名通貨」？

審査が長引く一因とみられているのが、コインチェックが扱う「匿名通貨」の存在だと言われています。

匿名通貨は、送り手と受け手が誰なのか追跡できなくなる特徴があり、 マネーロンダリング（資金洗浄）や税金逃れに利用されやすいデメリットがあるためです。

審査に通らなくてもCMで利用者を増やすコインチェック社を放置

もちろん、審査に通らなかった原因は「匿名通貨」だけでは無かったかもしれません。審査の内容は我々には知ることは出来ませんからね。

しかし、通常よりも2倍も時間がかかって審査が下りないような会社がのうのうと利用者を増やしていくのを放置していたのは、ほかでもない金融庁です。

こんな報道もありました。

われわれの認識とかけ離れている――。昨年１２月、金融庁幹部はこう話し、苛立ちの表情を浮かべた。矛先はコインチェックの2017年12月1日のプレスリリース。「仮想通貨交換業者への登録状況のご報告」とのタイトルで、金融庁との間で「最終調整を行なっている」とした。

引用元：ロイター2018年01月27日 14:25

苛立ってたかなんだか知りませんけど、箸にも棒にも掛からない会社を「みなし業者」として放置していたわけです。

その間にもコインチェックは出川哲郎氏をCMに起用し、千日が「またかよ」と思うほど多額の資金を使って頻繁にCMを流しまくり…仮想通貨で「今からでも勝てるかも？」と思う人達のお金がコインチェック社に吸い込まれていくのを…

ただ、見ていた。

これが金融庁の考える「利用者の保護」というものなのでしょうか？

利用者の保護を取引所自身に期待できるか？（内部要因）

外部の規制はあくまで外からの規制の話です。その業者（取引所）自体がちゃんとまともに管理していれば、まあいいんじゃないでしょうか。

高い次元の万全なセキュリティを要求するものではなく、少なくとも誰でもとろうと思えばとれるような場所に、顧客から預かったお金を放置しない、程度のセキュリティです。

その良心を業者に期待して良いのか？という側面から考えてみましょう。それは経営者の考え方から醸成される社内風土の問題です。

社内風土は社長が創る

コインチェック㈱の設立は2012年8月、従業員数71名のとても若い会社です。

社長の強いリーダーシップによるトップダウン式で全てが決まっていくのがこうした新興企業の特徴であり、特に急成長する会社はトップの功績によるところが大きく、その権力は絶大です。

つまり、社長の考え方というものが、社内風土にダイレクトに影響していくんです。その特徴はコインチェック以外の全ての取引所（業者）も大なり小なり似た感じではないかと思います。

社内風土とは「社長の成功体験」のストーリー

社内風土というと、何となく「社内のムード」とか「雰囲気」のようなフワッとしたものを思い浮かべるかもしれません。

もう少し突っ込んで表現すると、それは社長の成功体験のストーリーです

こうしてわが社は成長してきた（私が成長させた）。

だから、こうするのが正しいのだ。

これが、社内風土というものの正体です。これからも、成長を続ける、存続しつづけるには「こうでなくちゃ」という組織内共通の価値観とも言えます。

外から何か言われて変わるようなものじゃない

ですからこの社内風土というのは、正しいとか、正しくないとか、そういう善悪を超えた存在なんですよ。

もしかしたら、間違ってるのかも？でもこれのおかげで今がある。

これをやめて今後もやっていけるの？

否でしょう。だれもそれを変えるだけのパワーはありませんよ。そんなことやろうものなら、組織からつぶされます。

唯一対抗できるのは「外部」からの力ですよね。しかし、よほどのことが無ければ「はーい、はーい」と返事だけして何も変わらないのが組織です。

業界はちがいますけど、電通の労働環境なんかはその典型ではないでしょうか。尊い命が失われて、やっと「すこし変わるかも？」くらいのとても根深いものなんです。

コインチェックの社内風土はどうだったのか？

事件までに同社が何をやってきたのかを見れば一目瞭然です。

• 2017年12月金融庁の審査に全く通らない状態でプレスリリース「最終調整段階」と発表。
• 同時期に、出川哲郎氏によるCM開始。単価の高いゴールデンタイムに「またか」と思うほど繰り返し。

釈明会見では「技術的な難しさと人材不足」と言ってますが、要はこんなのカネの問題です。そのカネをCM広告宣伝費に配分すべきと判断しただけのことです。

はっきり言って「利用者の保護」は金になりません。

これは私もそう思います。

しかし「利用者の保護」には価値があります。

これには同意してもらえるでしょうか？多分同意してもらえると思います。

「はーい、そうですねー」と言ってもらえるでしょう。

しかし、風土として、それにカネを使うことが出来ない組織だったということです。少なくともコインチェックは。

和田社長が仮想通貨の向こうに見たのは価値か？タダの数字か？

コインチェックの和田社長は仮想通貨について、会社のホームページで以下のように語っています。

その新たな価値は、世界中の人々をもっと豊かに、もっと幸せにするものであると信じています。 私たちは、そんな新たな価値を「お金」の世界に提供します。

仮想通貨の向こうに人々を幸せにする価値があるというのです。

私は詰まるところ、仮想通貨の取引に参加するということは、ギャンブルに参加することだと思っていますが、こんな考え方があるのですね。

いまの仮想通貨の熱狂は、価値を伴わない貨幣の運動に熱狂してしまうヒトの性だと思っています。仮想通貨の交換は貨幣が運動（行き来）します。しかしこの運動そのものには価値を伴っていません。

ヒトの習性は価値が伴っていない運動にも熱中してしまうのです。

ギャンブルにおける、貨幣の運動の本質は『運』です。

『雀聖』と言われギャンブル界のカリスマである作家の阿佐田哲也氏の名言にこういうのがあります。 

麻雀を点棒のやりとりだとしか思えない人は永遠に弱者である。麻雀は運のやりとりなのだ。点棒の流通は誰にも見える。が、運の流通は見えにくい。だから多くの人が無視する。

和田社長の言葉としては、いかにも『点棒』なんて見てないような感じを受けます。

でも、実際にやってたこととしては、どうでしょう。

仮想通貨を数字としてしか見てなかったんじゃないでしょうか？

今の「取引所」は金太郎飴、コインチェックと大差ない

今回の不正流出事件では、たまたまコインチェックが仮想通貨のセキュリティのずさんさを突かれて多額の被害を出しました。

• 仮想通貨のセキュリティを上げてもカネ（数字）になりませんよ。
• 数字にならないもののためにこのスタートアップの大事な時期にカネを使うような「バカ」がいるでしょうか？

報道を見ていると、「同業者」「仮想通貨関係者」などの顔の見えない人達が「コインチェック、ダメダメやな、救いようがねーな」なんて言ってる感じですけどね。

程度の差こそあれ、みんな五十歩百歩なんだろうな、というのが私の見方です。

以上、千日のブログでした。

《あとがき》

これで当分は仮想通貨のCMを見ずに済みそうなのは、良いことです。文中でリンクを貼っているのは下記の記事です。

仮想通貨は、投資ではなくギャンブルです。初期に購入して、うまく売り抜けた人は億単位の利益を上げました。

儲けたお金をどう使うんでしょうかね？私の知る限り、またそれを仮想通貨に突っ込んでいるようです。

負けて賭けるカネが無くなるまで、止められないのがギャンブルの特徴です。

2018年1月28日

お勧め記事

• ブロックチェーンと仮想通貨の仕組みをカンタン解説～ビットコインは実市場を利用したデモンストレーション
• マッキンゼー超エリートの時給がヤバすぎて震えた～時間と価値に対する考え方
• 時給思考が負ける理由、お金の儲け方・働き方と人生のヒント
• 鎌倉投信 新井和宏氏の目的とは？NHKの演出と陥りやすい誤解。投信の本質について