既報の通り、仮想通貨「NEM(ネム・XEM)」の不正流出が明らかとなり、NEMを初めとした仮想通貨の売買を中止している仮想通貨取引所「Coincheck」。サービスを運営するコインチェックは1月26日、その詳細を説明する会見を東京証券取引所で行った。23時30分にスタートした会見は(当初のアナウンスは23時開催)、27日1時過ぎまで続く異例のものとなった。
会見には、コインチェック代表取締役社長の和田晃一良氏、取締役COOの大塚雄介氏、同社の弁護士である堀天子氏が出席。冒頭、和田氏は「本件に関しまして、皆様をお騒がせしていますことを深くお詫び申し上げます。たいへん申し訳ございませんでした」と謝罪。その後、大塚氏が状況を説明し、記者からの質疑に回答するかたちで会見は進められた。
大塚氏による説明および当日配布された資料によると、今回の不正送金の経緯は以下の通り。
2時57分(以後、すべて1月26日):事象の発生(コインチェックのNEMアドレスから、5億2300万NEM(検知時のレートで約580億円)が送信される。
11時25分:NEMの残高が異常に減っていることを検知
11時58分:NEMの入出送金を一時停止
12時7分:NEMの入金一時停止について告知
12時38分:NEMの売買一時停止について告知
12時52分:NEMの出金一時停止について告知
16時33分:日本円を含むすべての通貨の出金を一時停止について告知
17時23分:ビットコイン以外の仮想通貨の売買、出金を一時停止・告知
18時50分:クレジットカード、ペイジー、コンビニ入金の一時停止について告知
コインチェックでは、今回の不正アクセスによる送金を金融庁および警視庁へ報告。NEMのコミュニティをとりまとめるNEM財団やNEMを取り扱う国内外の取引所と連携して、送信されたNEMの追跡および売買停止要請をしているという。なお、今回の取引に関しては、NEM財団との話し合いの中で、ハードフォークやロールバックによって被害を受けたユーザーを救済することはできかねる、といった旨の回答を受けているという。
被害ユーザー規模は調査中、運用体制に不備
流出の影響を受けるユーザーの数は「現在調査中」(大塚氏)で、規模感も把握できていないという。補償については、「お客さまの保護を最優先に検討しており、対応中」という表現にとどめて、現時点で具体的な施策を明らかにしていない。コインチェック社への財務的な影響についても精査をしている状況であり、確認ができ次第対応を報告するとしている。また、サービス復旧の見通しについては、原因を究明中であり未定。見通しは立っていないとした。
今回の不正流出の原因は、現時点では不明。だが、NEMはホットウォレット(ネットワークに接続されたウォレット。手軽に仮想通貨を取り出しやすい一方で、今回のように不正な送金をされる可能性がある)で管理されており、マルチシグ(仮想通貨の秘密鍵を分割し複数管理することでセキュリティを高める技術)を実装していない状態だったという。一方でコインチェックはビットコイン(BTC)に関してはコールドウォレット(ネットワークに接続されていない環境に秘密鍵を保存したウォレット)を利用し、マルチシグを実装。Coincheckで取り扱う代表的オルトコインのイーサリウム(ETH)に関しても、コールドウォレットでの管理を行っていた。
会見では、この運用体制に関する質問が報道陣から相次いだ。大塚氏、和田氏はセキュリティに関しては「何より最優先していた」と説明するも、マルチシグ実装予定についての質問には「他の優先事項が高い項目もあり、具体的な見通しがついていたわけではない」(大塚氏)と回答。それに対して記者が「結果的にこういう自体を引き起こしたのは、やはりセキュリティが甘かったのではないか」とさらに追求し、大塚氏が数十秒の間回答に窮するという場面もあった。
あくまで主観的に現場の空気を伝えると、マルチシグの未実装、ホットウォレットでの管理という観点で「セキュリティの甘さ」について何度も具体的な回答を求める報道陣(会見の後半になると、参加している僕ですらうんざりするような質問の仕方もあったけど)に対して、「セキュリティは万全だった」と答えるコインチェックが噛み合わない状況だった。会見後に話した投資関係者からは、「これはセキュリティの不備を認めることで、善管注意義務違反に問われることを避けたのではないか」といった声も聞いた。
数字の公開「株主を含めて協議」
また、影響を受けるユーザーの数をはじめとして、金額以外の数字を公開しなかったことに対しても質問が集まった。これに対して、大塚氏らが「公表するかどうか株主を含めて協議する」と回答したが、和田氏、大塚氏が株式の過半数を持っていると説明したところ、会場の報道陣の一部からは笑い——どちらかというと失笑だ——が起き、「(過半数あるのであれば)2人が情報の公開を決めれば他の株主の反対を排除できるのではないか」といった指摘も飛んだ(これについては、「株主」という言葉がスタートアップコミュニティと、一般の市場で異なる性質を持っていることをより認識してもよかったのではないかとも感じた。スタートアップにとっては過半数未満の株主も成長を支援するパートナーという意味もあるが、世のマーケットを見ている人たちからすればそれは想定している「株主」とは異なるからだ)。
もう1点質問が多かったのは、テレビCMと仮想通貨交換業者の登録についてだ。コインチェックは仮想通貨交換業者への登録申請をしているが、現時点までに登録が完了していない(登録申請自体は行っており、受理されてはいるが認められていない状況)。だがその一方で、すでにテレビCMを含めたマーケティングを積極的に行っている。業者登録前にCMを積極的に流すのは良識が無いのではないかと問われると、「登録申請、セキュリティに関しては、経営上最優先でやってきた。その上で、さらに使っていただきたいというところで……優先順位としては2番目で、CMもやらせていただいた」(大塚氏)と回答した。
会見の後半、和田氏は、今回の最悪のケースについて「顧客の資産が毀損し、お返しできないことだと考えている」と語った。コインチェックは「顧客最優先」と再三説明し、今後情報も開示していくことを検討しているという。だが、現状はその内容のほとんどが「調査中」という状況だ。
