コインチェックからのNEM不正流出が、2月に問題となった。
仮想通貨は昨年暴騰し、年末年始には取引所のテレビCMを見かける機会も増えた。買えば増えるということで、投機を目的とした取引のカジュアル化も進んでいた。一方で、リスクの理解やセキュリティ意識の希薄化もある。仮想通貨を正しく理解するために何を知るべきか? マカフィーを取材した。
一般的なセキュリティの枠組みでも問題を整理できる
── コインチェック事件では、何が問題だったか?
安田 今回の事件では、コインチェック社が扱う複数の仮想通貨のうち「NEM」が盗難にあった。インシデント(事件)が発生した場合に、セキュリティの観点からどのような問題があったか考える上では、フレームワークを用いて整理することが有効である。
ここでは例として、NIST(アメリカ国立標準技術研究所)の“サイバーセキュリティーフレームワーク”を用いて考えてみる。このフレームワークでは、特定・防御・検知・対応・復旧の5つの軸でセキュリティ対策を整理する。ちなみに、金融庁が2015年2月に公表した「金融分野におけるサイバーセキュリティ強化に向けた取り組み方針」においても、金融機関に対してこの5つの軸で自己点検を行うことが推奨されている。
第1の「特定」だが、ここで必要となるのは自己資産の評価である。コインチェックはビットコインの保管に関しては、後述する“コールドウォレット”や“マルチシグ”などの対策を取り入れており、ウェブサイトでもその旨をうたっていた。しかしNEMでは実施していなかった。結果として、NEMが盗難されたことにより580億円相当(事件当時)の被害が発生した。盗難が発生した場合の経営への影響を考慮してセキュリティ投資を判断するならば、NEMやその他の取り扱い仮想通貨についても、ビットコインと同等のセキュリティ対策を導入するべきだったと言えるかもしれない。
第2の「防御」について。一般的には、ファイアウォールやIPS、マルウェア対策などセキュリティソリューションの導入などがこれに当たる。現時点では事件の全容が明らかでないため断定はできないが、社内ネットワークへの侵入から秘密鍵の窃取に至ったという状況からは、対策が十分でなかった可能性がうかがえる。仮想通貨のセキュリティ対策という観点では、コールドウォレットやマルチシグなどの対策も「防御」対策のひとつと整理できる。
第3に「検知」だ。社内ネットワークへの侵入と社内から海外のサーバへの不審な通信に関してNEMの盗難が発生するまで気が付けなかった。また、1月26日の午前0時頃に最初の不正送金が発生してから、それに気が付いたのは半日以上が経過してからだった。もし不正送金を異常な挙動として即時に検知できていれば、別の安全なアドレスへ残高を退避するなど、被害を低減する措置をとることができたかもしれない。
第4は「対応」だが、今回の事件発生直後に、この役割を担った団体として目立ったのは、日本のNEMコミュニティの技術者やNEM財団だった。彼らがNEMの機能であるモザイクにより攻撃者のアドレスをマーキングしたことにより、効率的な追跡が可能となった。また、マーキングされたアドレスからの換金を拒否することを世界中の取引所に対して依頼するなどの対応を行った。
最後が「復旧」だ。攻撃による影響を受け事業やサービスが停止したり損害を受けた場合には、迅速に元の状態に戻すことが重要だ。今回のケースでは、あらかじめ盗難事件が発生しうることを想定した補償スキームの確立や、プレス対応など危機管理広報の準備が十分にできていたとみることは難しい。NEMを保有していたユーザに対して日本円による補償を行う発表は比較的早く行われたが、その時期や原資についてはなかなか明らかにされなかったことが利用者の不安につながった。このことが、その後のNEMやその他の仮想通貨の取引価格の下落の一因となったとの見方もある。
以上のように整理してみると、特定・防御・検知・対応・復旧のどの側面においても同様の問題が再発することを防止するために有効な対策があるように思える。
週刊アスキーの最新情報を購読しよう