Gox事件を起こしてしまったZaifについて、まずそのリリース内容を簡単に纏めたあと、初動対応について同年1月下旬にGox事件を起こしたCoincheckと比較しながら見ていきます。
ZaifのGox発表について
2018/9/20(木)02:15、仮想通貨取引所Zaifを運営するテックビューロ社はリリースを発表し、不正アクセスにより仮想通貨の流出が起こったことを正式に告知しました。まず、リリースの内容について簡単に纏めます。
経緯
Zaifは9/14(水)以降、仮想通貨の入出金等の一部サービスが稼働しておらず、Goxしたのではないかと噂されていました。一部サービスの非稼働について特段の連絡はありませんでしたが、6日後の9/20(木)にリリースを発表し、Goxを認めた形になります。
主なタイムラインは次の通りとなります。
- 9/14 17~19時頃:ハッキング被害発生(BTC、MONA、BCH)
- 9/14 時間不詳:入出金等の一部サービス停止
- 9/17 時間不詳:サーバが異常を検知
- 9/18 時間不詳:ハッキング被害確認、財務局へ報告、捜査当局への被害申告等を実施
- 9/20 02:15:ハッキング被害に遭った旨のリリース発表
被害内容
9/20(木)のリリース時点で、ハッキング被害に遭った仮想通貨の種類はビットコイン(BTC)、モナコイン(MONA)、ビットコインキャッシュ(BCH)です。各コインの被害内訳は次のようになっています。
- BTC:5966
- MONA:調査中
- BCH:調査中
上記の総額で約67億円相当と推測されることが発表されています。このうちテックビューロの資産が22億円相当、顧客資産が45億円相当とされています。ただし、調査中の項目もあるので総額には若干の変動の可能性があります。
また、現在価格1BTC=70万円とすると盗難に遭ったBTCは42億円相当ですから、MONA+BCHで25億円分相当となりますね。
今後の対応
Zaifは主に以下の3つの観点で対応を発表しています。
- 顧客資産の保護
- 株式会社フィスコデジタルアセットグループとの間で以下を検討することとする基本契約を締結。
- テックビューロ株式会社に対して、50億円を提供する金融支援
- テックビューロ株式会社の株式の過半数を取得する資本提携
- 過半数以上の取締役及び監査役の派遣
- 株式会社フィスコデジタルアセットグループとの間で以下を検討することとする基本契約を締結。
- サービス再開
- 株式会社カイカとセキュリティ向上のための技術提供を内容とする基本契約を締結し、システムの再構築を実施。
- システムの安全性が確認され次第、仮想通貨の入出金を再開。再開時期のめどは不明。
- 経営体制の刷新
- 本件の対応が完了し、フィスコグループの経営陣への引継ぎ等の責務を全うした後、退任する方針。
テックビューロ株式会社の関連会社であるテックビューロホールディングス株式会社のCOMSA事業の方針については現在検討中ということです。
スポンサードサーチ
Zaifの初動評価
※個人的見解であることを予め断っておきます。
リリースまでの初動対応は、かつて同様のハッキング被害に遭ったCoinCheckに比べると全体的に遅いが顧客目線であると言えると思います。
以下、被害発生からユーザ等への告知までの初動対応についてZaifとCoincheckを対比させながら見ていきましょう。
| Zaif | Coincheck | |
| 被害発生時点 | 2018/9/14 17:00~19:00 | 2018/1/26 00:02 |
| 異常検知 | 2018/9/17 時間不詳 | 2018/1/26 11:25 |
| サービス停止 | 2018/9/14 時間不詳(疑問あり。後述。) | 2018/1/26 12:07開始 |
| 被害届け出 | 2018/9/18 時間不詳 | 2018/1/26 23:30よりも前(記者会見で届け出済と回答しているため) |
| 全体へのリリース | 2018/9/20 02:15(ウェブリリース+メールで告知) | 2018/1/26 23:30(記者会見) |
| 補償方針に関する一時発表 | 2018/9/20 02:15 | 2018/1/28 00:46 |
あらゆる点で遅く見えますが...各ステージについて見ていきましょう。
なお、CoincheckのGoxに対する細かな対応についてはこちらに纏めてあります。
異常検知
Zaifの被害発生から異常検知までは2~3日ほどかかっていますね。対してCoincheckは半日ほどです。
まあ2018/9/14は金曜日なこともあり、営業終了後を狙われて気づくのが遅れた...のかもしれませんが、土曜日・日曜日は誰もウォレットを管理していないのでしょうか?あるいは、不審な送金があってもアラートが鳴らなかったのでしょうか?
ちょっと分かりかねますが、金融関連のシステムの運用体制としては考えられないものだと思われるので、いずれにしても糾弾される要因の一つになってしまうかと思われます。
サービス停止
サービス停止については謎がありますね。特に「サーバが異常を検知する前にサービスを停止している」点が気になります。可能性としては以下の4つくらいでしょうか。
- 異常検知の日時が誤っていて、実際は9/14の被害発生後かつサービス停止前の時間である。
これならまあ時間軸としてはしっくりきますね。ただし、被害届を出すまでに3日以上も空いているのが不思議です。9/15、16は土日ですが被害届は受け付けているので、15、16日にZaif側で休日調査を行い17日に被害届を出すのが通常と考えられます。 - サービス停止の日時が誤っていて、実際は9/14の異常検知後の時間である。
これもまあ時間軸としてはしっくりきますね。Twitterでサーバ障害によるBTCとMONAの入出金一時停止の投稿があったのも17日ですし。ただし、この場合、土日を挟むとはいえ、異常検知までに3日もの時間を要するような運用体制であったことになるので疑問です。 - ハッキング被害とは別の理由で9/14のサービス停止したが、直後にハッキング被害に遭い、再開できないままでいる。
考えられなくはないかなと思います。Zaifのウォレットからのトランザクションを成立させるには、①何らかの形でZaifのアドレスと紐づくプライベートキーを入手すること ②正常なトランザクションを送信すること の2つが条件となります。BTCとMONAの入出金が停止されているとなると②が満たせそうにないと思われるかもしれませんが、例えば犯人お手製の送金プログラムを忍ばせておいたり、そもそもZaif製の送金プログラムにアクセスできないのはユーザだけで管理者権限があれば実行できるような状態であったとすれば可能ではあります。 - サーバが異常検知したのは2018/9/17であるが、不正アクセスの痕跡に人力で気づき2018/9/14時点で停止している。
サーバの異常検知の仕組みがどのようなものかが分かりかねるので何とも言えませんが、普段使われていないアドレス宛に短時間に何度も送金がなされている等があれば不自然に映ります。まあ何を以て正常/異常とするかを通常人の判断にゆだねることはしない(=基準を設けてシステムに落とし込む)のが普通なので、この可能性は低いかなと思います。
Zaifの体制を判断する要因になりそうなので、もう少し情報が欲しいですね。ただ、フィスコやカイカとの契約をリリース前に迅速に結んでいることから、被害発生からZaif側での事態把握までにそれほど時間はかかっていないと考えています。
被害届け出
Zaifは3~4日に対して、Coincheckは半日~1日。これも遅いですね...。
ただ、だいたいの被害状況を掴むまでに少々時間がかかった可能性はありますね。恐らく取扱っている全てのコインとトークンについて被害の有無を確認し、被害のあるコイン・トークンについてはその見積を出す...ということになるでしょうから、NEMのみの流出だったCoincheckに対してBTC、MONA、BCHの3コインが流出したZaifが被害状況確認に時間を要するのは分からなくもない、といったところです。3~4日かかっている(+MONAとBCHの流出高は確定していない)が妥当なのかは分かりませんが。
全体へのリリース
Zaifは5日とちょっとに対して、Coincheckは1日未満でした。ただ、これに関してはリリース内容に大きく差があるのであまり気にしていません。
Zaifの意図としては進捗を矢継ぎ早に出していくよりは、ある程度まとまったところでリリースしていくことで事件がアンダーコントロールであることを印象付け、顧客目線で混乱を防ぎたいといったところでしょうか。顧客資産保護の方針とその具体的方法(補償方針)、サービス再開に向けた取り組み、経営責任の明確化と取り方が1リリースで同時になされているのはCoincheckの教訓が活かされていると思われます。
かつてのCoincheckの最初の記者会見を振り返ってみると、顧客資産保護の方針は打ち出したものの、その具体的な方法、サービス再開に向けた取り組み、経営責任の明確化のいずれも示すことができなかった結果、悪い憶測が噴出した経緯がありました。500億を超える金額を自社のみで補填すると補償方針を発表した時も(恐らくその金額の非現実感も相まって)顧客や社会の疑念をぬぐい切れない雰囲気があったと記憶しています。(Coincheckの過去対応や記者会見動画はこちらで取り上げていますので参考にどうぞ。)
このことから、Zaifの判断は正しいと個人的には考えています。
ただ、告知の方法もZaifはウェブリリース+メールなのに対し、Coincheckは記者会見と姿勢に差は感じられますね。
補償方針に関する一時発表
Zaifは5日とちょっとで全体へのリリースの中で同時に発表、Coincheckは2日でした。
これに関しては補償方法と補償金額に大きく乖離(※)があるので単純な比較はできないと思いますが、総じてうまく早期に纏めたかなと思います。
※Zaifは他社からの金融支援を受けることで補填し、その額は50億円(被害総額67億円中、補填しなければならない顧客資産は現在推計45億)。Coincheckは自社で補填し、その額は500億強。Coincheckが500億円で他社を頼らざるを得ない状況であればまず間違いなく破綻でしょうし、Zaifの流出額がCoincheckレベルまで大きければこんなにスピーディに補填の糸口を見つけることはできなかったでしょう。
最後に
以上から、全体的にCoincheckに比べて遅い印象は拭えませんが、いたずらに顧客や社会の不安を煽らず混乱を生じさせない対応だったのかなと思います。
とはいえ...CoincheckがGoxした時の仮想通貨市場の「熱」や「視線」、そしてその取引所としての「存在感」(※あくまで仮想通貨市場へのものであって、ブロックチェーンという技術へのものではない)はZaifがGoxしたいまのそれとは比較にならないほど熱く、強かったですからね。そういった意味で、Coincheckと比較してゆっくりめな対応で許されている側面はあるのかもしれませんね。