580億円相当のNEMが流出した事件で金融庁から業務改善命令を受けていたコインチェック。同社は3月8日16時より、「これまでの経緯及び今後の対応」を説明するとして記者会見を開いた。
会見に先駆けてコインチェックは同日午前11時、今回のNEM流出事件に関連し、金融庁から2度目の業務改善命令を受けたことも明らかにしている。そのプレスリリースによれば、コインチェックは金融庁に対し、3月22日までに業務改善計画を書面で提出するとともに、業務改善計画の実施完了までのあいだ、1ヶ月ごとの進捗・実施状況を翌月10日までに書面で報告するとしている。
コインチェックは流出事件が発覚したあと、自社および外部のセキュリティ会社5社による調査を実施した。同社は記者会見の中で発生原因の調査結果を明らかにした。以下はその概要だ。
今回の流出事件を起こした外部の攻撃者は、コインチェック従業員の端末にマルウェアを感染させ、外部ネットワークから当該従業員の端末経由で同社のネットワークに不正にアクセス。攻撃者は、遠隔操作ツールにより同社のNEMのサーバー上で通信傍受を行いNEMの秘密鍵を窃取したという。その秘密鍵を利用した不正送金を防げなかったのは、コインチェックがNEMをホットウォレットで管理していたのが原因だ。
コインチェック取締役の大塚雄介氏によれば、同社はセキュリティ強化策の一環として、以下を実施したという。
- ネットワークの再構築:外部ネットワークから社内ネットワークへの接続に対する入口対策の強化および、社内から外部への接続に対する出口対策の強化。
- サーバーの再設計及び再構築:各サーバー間の通信のアクセス制限の強化、システム及びサーバーの構成の見直しを実施
- 端末のセキュリティ強化:業務に使用する端末を新規購入し、既存端末を入れ替え
- セキュリティ監視:社内のモニタリング強化など
- 仮想通貨の入出金等の安全性の検証:コールドウォレットへの対応など、安全に入出金などが行える技術的な検証を進める。
また、同社はこれらの技術的なセキュリティ対応に加えて、以下のシステムリスク管理態勢の強化を図る。
- システムセキュリティ責任者の選定と専門組織の設置
- システムリスク委員会を設置
- 内部監査態勢の強化
- その他経営体制の強化
これらの対応をとったうえで、同社は「一時停止中のサービスの再開に向けて全力を挙げて取り組むとともに、金融庁への仮想通貨交換業者の登録に向けた取り組みも継続し、事業を継続する」と述べている。
また、注目されていたNEM保有者への保障については、来週中をめどに実施することを明らかにした。補償総額を算出するNEMと日本円のレートは、先日同社が発表していた1 NEM = 88.549円となる。
当初、コインチェックは保証対象のNEM総数を5億2300万XEMとしていたが、同社は本日の会見でその総数が5億2630万10XEMとなることを発表。これに先ほどのレートをかけ合わせると、補償総額は約466億円となる。
現在、コインチェックの記者会見では質疑応答が進行中だ。詳細はのちほどアップデートしてお伝えする。
