コインチェック不正流出事件まとめ(3 月 8 日更新)

こんにちは、スカイ(@nskydiving)です🙂

2018 年 1 月 26 日に仮想通貨取引所大手のコインチェックで、5 億 2 千万ネム(約 580 億円)が不正流出する事件が起きました。

ネムは仮想通貨の一種で、日本国内の仮想通貨取引所では、コインチェックの他にザイフでも取り扱っています。

まだ事件は解決していませんが、現時点の情報をまとめておきます。


記者会見(2018 年 3 月 8 日 16:00〜)

coinpost.jp

  • ネムの補償は来週を目処に実施する
  • 一部サービスは来週を目処に再開する
  • 仮想通貨交換業者への登録を目指し、事業を継続する
  • 今回の事件は、メール経由で社内PCにマルウェアが感染し、外部ネットワークから攻撃された可能性がある
  • 外部専門家とセキュリティ対策の見直しを行っている
  • システムセキュリティ統括責任者(CISO)、システムリスク管理対策委員会を新設する


記者会見(2018 年 1 月 26 日 23:30〜)

www.huffingtonpost.jp

  • 被害総額は 5 億 2 千万 ネム(約 580 億円)
  • ネム以外のハッキング被害は確認できていない(おそらくネムのみ)
  • ネムはマルチシグに対応しておらず、ホットウォレットで管理していた
  • ネムはハードフォークによる救済措置をとらないとネム財団が発表している
  • 入出金や売買の一時停止の解除時期は未定
  • 顧客への補償は補償するかどうかも含めて未定
  • セキュリティ管理はコインチェック社内の開発(約 40 名)で対応している


プレス(時系列順)

corporate.coincheck.com

発生事象
1月26日 02:57頃 :事象の発生 (正確な発生時刻を特定するため、現在調査を継続しております。 ※1/27 10:35頃追記)
1月26日 11:25頃 :当社にて異常を検知
1月26日 12:07頃 :NEMの入金一時停止について告知
1月26日 12:38頃 :NEMの売買一時停止について告知
1月26日 12:52頃 :NEMの出金一時停止について告知
1月26日 16:33頃 :JPYを含め、全ての取扱通貨の出金一時停止について告知
1月26日 17:23頃 :BTC以外(オルトコイン)の売買の一時停止について告知
1月26日 18:50頃 :クレジットカード、ペイジー、コンビニ入金一時停止について告知

事象・原因
当社にて保有しているNEMが不正に外部へ送金されたものでございます。原因に関しましては、現在究明中でございます。また、日本円を含めその他の通貨に同様の事象は確認されておりません。

再発防止策
現在、原因究明を最優先としております。原因が判明次第、早急に再発防止策を講じて参ります。


corporate.coincheck.com

総額 : 5億2300万XEM
保有者数 : 約26万人
補償方法 : NEM保有者全員に、日本円でコインチェックウォレットに返金いたします。
算出方法 : NEMの取扱高が国内外含め最も多いテックビューロ株式会社の運営する仮想通貨取引所ZaifXEM/JPY (NEM/JPY)を参考にし、出来高の加重平均を使って価格を算出いたします。算出期間は、CoincheckにおけるNEMの売買停止時から本リリース時までの加重平均の価格で、JPYにて返金いたします。
算出期間  : 売買停止時(2018/01/26 12:09 日本時間)〜本リリース配信時(2018/01/27 23:00 日本時間)
補償金額  : 88.549円×保有
補償時期等 : 補償時期や手続きの方法に関しましては、現在検討中です。なお、返金原資については自己資金より実施させていただきます。  


corporate.coincheck.com

Ⅰ.業務改善命令の内容

1. 本事案の事実関係及び原因の究明
2. 顧客への適切な対応
3. システムリスク管理態勢にかかる経営管理態勢の強化及び責任の所在の明確化
4. 実効性あるシステムリスク管理態勢の構築及び再発防止策の策定等
5. 上記1から4までについて、平成30年2月13日(火)までに、書面で報告すること。


corporate.coincheck.com

本日、コインチェック株式会社は、このほど発生した不正アクセスによる仮想通貨NEMの不正送金に関連して金融庁より受けております業務改善命令に係る報告書を提出いたしましたことをご報告いたします。


報告内容は、業務改善命令において指摘されておりました、(1)本事案の事実関係及び原因の究明 、(2)顧客への適切な対応、(3)システム管理態勢にかかる経営管理態勢の強化及び責任の所在の明確化、(4)実効性あるシステムリスク管理態勢の構築及び再発防止策の策定、などについてとなります。


弊社といたしましては、引き続き着実に改善策を実施してまいります。また、1日も早く補償金のお支払いやお預かりしている仮想通貨の送金をすることができるようシステムの安全性の確認を進めております。


改めまして、お客様をはじめとする関係者の皆様に、多大なご迷惑、ご心配をおかけしましたことを心よりお詫び申し上げます。今後、策定する改善策を着実に実施することにより、お客様の信頼回復に向け、最善の努力をしてまいります。


corporate.coincheck.com

1:本事案(不正送金)の概要

当社がお客様からお預かりしていた仮想通貨であるNEMのうち、5億2630万10XEMが、平成30年1月26日午前0時2分から午前8時26分までの間に、不正アクセスによって外部へ送金されました(調査の結果、不正送金されたNEM総額等につきまして、当初公表した内容から変動がございます。)。当時、NEM保有しておりましたお客様は、約26万人となります。

他方、NEM以外の仮想通貨及び法定通貨(日本円)等につきましては、不正アクセスによって外部へ不正送金されたという事実はございません。

なお、当社は、本事案を検知した後に、二次被害が発生すること等を防ぐために、ビットコインに関する一部のサービスを除いて、お客様にお知らせいたしましたとおり、順次サービスを停止いたしました。

当社がお預りしているお客さまの仮想通貨につきましては、本事案の発生後、被害拡大の防止のために、各仮想通貨を管理しているサーバーを外部ネットワークから遮断するとともに、一部ホットウォレット内で管理していた仮想通貨はすべてコールドウォレット等へ退避させるなどの対応を行いました。

2:本事案の発生原因の調査及びその結果

(1)発生原因の調査の概要

当社は、本事案発生後、当社内での調査だけでなく、情報セキュリティ関連の5社の外部専門家にも調査を依頼し、本事案の発生原因の調査を行いました。これらの外部専門家は、サイバー攻撃や情報漏えい等のサイバーセキュリティ対応、フォレンジックマルウェア解析等に実績のある企業です。

具体的な調査内容として、通信に関するログの解析、従業員のヒアリング、当社の端末のフォレンジック調査等を実施いたしました。調査の正確性及び信頼性を高めるべく、同一の調査を複数の外部専門家において行うなどして、本事案の原因究明に努めてまいりました。

(2)調査結果の概要

前記(1)の調査の結果からは、外部の攻撃者が、(a)当社従業員の端末にマルウェアを感染させ、外部ネットワークから当該従業員の端末経由で当社のネットワークに不正にアクセスをし、遠隔操作ツールにより当社のNEMのサーバ上で通信傍受を行いNEM秘密鍵を窃取したうえで、(b)窃取したNEM秘密鍵を使用して外部の不審通信先にNEMを不正送金したものであると想定されております。

また、当社におきましては、お客様からお預かりしていたNEMをホットウォレットにて管理をしていたことから、上記の不正送金を防止することができませんでした。

3:サービス再開に向けた取組み

当社は、情報セキュリティ関連の5社の外部専門家の協力を経て、サービス再開に向けた取り組みを行ってまいりました。当該専門家は、金融系システムセキュリティ対応、サイバー攻撃や情報漏えい等のサイバーセキュリティ対応に知見があり、多数のセキュリティ・エンジニアを抱える、情報セキュリティに実績のある企業です。

(1)ネットワークの再構築

当社は、本事案を踏まえ、当社の社内ネットワークの再構築を実施しています。新ネットワークにおいては、外部ネットワークから社内ネットワークへの接続に対する入口対策を強化するとともに、社内ネットワークから外部ネットワークへの接続に対する出口対策においても多層防御を行います。また、当社内部におけるアクセス制限や、外部からのアクセス制限を強化し、外部からのサイバー攻撃の防御と監視を行ってまいります。

(2)サーバーの再設計及び再構築

当社は、本事案を踏まえ、サーバの再設計及び再構築を行っております。サーバの再設計及び再構築に当たっては、セキュリティ対策の強化のため、各サーバ間の通信のアクセス制限の強化、システム及びサーバの構成の見直しを実施しています。特に、機密性の高い重要情報については、暗号化等の方法により管理を強化して、安全性の高い管理を行うことといたしました。今後は、サーバに対してペネトレーションテストを定期的に行うこと等により、定期的に安全性の検証を行い、再発防止に努めてまいります。

(3)端末のセキュリティ強化

当社では、業務に使用する端末を新規に購入し、既存端末と入れ替え、端末がマルウェア等に汚染されている潜在的なリスクを排除しています。また、今後の利用にあたっては、上記(1)のファイアウォールに守られた新規ネットワーク上の安全な経路を利用してまいります。

その他、端末認証の強化、社内ネットワークに接続できる端末の制限を行うなど、端末のセキュリティについても強化しています。

(4)セキュリティ監視

当社は、本事案のような外部からの不正アクセス対策として、社内におけるモニタリングの強化に加えて、金融系システムセキュリティ及びサイバーセキュリティ対応に関する外部専門機関によるセキュリティ監視を実施することにより、万が一、外部からの不正アクセスによって、社内ネットワークに侵入を許した場合にも、被害の発生や拡大の防止を図ってまいります。

(5)仮想通貨の入出金等の安全性の検証

サービス再開に向けて、当社は、コールドウォレットへの対応等、安全に入出金等が行える技術的な検証を順次進めております。後記6のとおり、サービス再開に必要な技術的な安全性等が確認した仮想通貨から順次、一部サービスを再開いたします (ただし、BTCは当初より売買を停止しておりません)。なお、これらの対策につきましては、金融系システムセキュリティ及びサイバーセキュリティ対応に関する実績のある外部専門家の確認・検証も経たうえで実施しております。

4:システムリスク管理態勢の強化

当社は、前記3の技術的対応に加えて、以下のとおり、システムリスク管理態勢の強化を図ることにより、再発防止に取り組んでまいります。

(1)システムセキュリティ責任者の選定と専門組織の設置

当社は、業務部門から独立した内部管理部門において、新たに金融機関出身者をシステムセキュリティ責任者(CISO)に選任いたしました。システムセキュリティ責任者(CISO)は、取締役会と連携してシステムリスク管理態勢の構築に取り組んでまいります。また、システムセキュリティ責任者(CISO)の業務を補佐する専門組織としてCISO室を新設いたしました。CISO室では、社内の各セキュリティ対策のために、以下のような施策を実行してまいります。

・ 自社のシステムセキュリティ対策基準の改訂・実施

・ インシデント対応フローや手順の改訂・実施

・ 社員へのセキュリティ教育や定期的な教育の実施

・ 実効性のある業務運営に必要な人材強化 等

(2)システムリスク委員会を設置

当社は、情報セキュリティ及びシステムリスク管理を強化するため、社内委員会として、システムリスク委員会を新設しました。これまでは、当社のリスク委員会が、情報セキュリティやシステムリスクを含むリスク管理を担っておりましたが、システムリスクに特化した社内委員会を新設することで、全社的なセキュリティリスクの把握及び各部署の責任者に対しセキュリティ対策に関する指示等を実施してまいります。

(3)内部監査態勢の強化

当社では、本事案の発生を踏まえ、内部監査部門の人員等の強化を図るとともに、内部監査規程、監査計画等の見直しを行い、内部監査機能の強化を図ってまいります。また、システムリスク管理態勢の整備状況を重点監査項目として内部監査を実施してまいります。監査にあたっては、必要に応じて、外部専門家による外部監査等も利用しながら実効的な監査の実現に取り組む予定としております。

(4)その他経営体制の強化

前記(1)から(3)のシステムリスク管理態勢の強化に加えて、経営体制の強化や監査役による監査機能の強化等を行い、再発防止に取り組んでまいります。特に、顧客保護の観点から、適正かつ確実な業務運営を確保するため、抜本的な経営体制の見直し、また顧客保護を徹底した経営戦略の見直し等を行ってまいります。 この点につきましては、具体的な内容が決まりましたら、改めてお知らせをさせていただきます。

5:お客様窓口の拡充とNEMの補償について

(1)お客様窓口の拡充

お客さまには、本事案の発生により多大なご迷惑・ご不便をおかけしていることから、お客さまからの問い合わせにつきましても、本事案に専門で対応を行う人員を増やして対応してまいります。

(2)NEMの補償について

当社は、不正に送金されたNEM保有していたお客様に対する補償について、来週中を目途に実施いたします。詳細に関しましては、当社コーポレートサイト等で随時お知らせをいたします。

6:一部サービスの再開について

当社は、来週中を目途に、再開にあたっての技術的な安全性等の確認が完了した仮想通貨から順次、一部サービスを再開いたします。詳細に関しましては、当社コーポレートサイト等で随時お知らせをいたします。

7:今後の当社の事業継続について

当社は、今後も、一時停止中のサービスの再開に向けて全力を挙げて取り組むとともに、金融庁への仮想通貨交換業者の登録に向けた取組みも継続し、事業を継続してまいります。


感想

インチェックと言えば、日本国内で最大手の仮想通貨取引所ですが、そのコインチェックがハッキングにより、約 580 億円もの被害を受けたのは衝撃的です。

インチェックは今後どうなってしまうんでしょうか?

今回の事件で気になったのは、コインチェックのセキュリティ体制です。

coincheck.com

当時、Mt.GOX(マウントゴックス)のコールドウォレットの管理は完全なオフライン状態で行われていなかったため、安全性が確保されていませんでした。 coincheckでは、お客様からの預り金の内、流動しない分に関しては安全に保管するために、秘密鍵をインターネットから完全に物理的に隔離された状態で保管しています。

インチェックのサイト上に、このような記載があったのに、実際はこの対応は取られていなかったのはなぜなのでしょうか?

セキュリティ対策を社内の開発が兼務していたということなので、セキュリティ対策は後 回しになっていたんでしょうね・・・