「誰ともやり取りをしなければ通貨は不要」。 “コインチェック騒動”のような仮想通貨被害の回避方法をプログラマー小飼弾がレクチャー
1月26日、仮想通貨を発行する取引所「コインチェック」がハッキング被害を受けたことにより、580億円相当の資産が不正流通された「コインチェック騒動」。
上記のニュースを受けて、2月5日配信の『小飼弾のニコ論壇時評』では、プログラマー小飼弾氏と山路達也氏が、なぜ取引所の業績が急成長することができたのか? 市場を取り巻く不十分な法整備、ギャンブルと仮想通貨取引の違いなどについて激論を交わしました。
「ビットコインが値上がりしているのではなく、国家が発行する通貨の価値が下落している」――『ビットコインバブル』に小飼弾が言及
コインチェック社にまつわる疑惑
山路:
あと、コインチェックに関しては、いろいろ疑問を呈している人たちがいますよね?
小飼:
憶測以上に、きちんと情報公開すればいいのに、伏せたままにしているところが多く、おかげで余計に憶測が憶測を呼びというところもあるんです。
山路:
ひとつ大きな憶測を呼んでいるところにノミ行為の話がありましたね。つまり、実際に持っていないXEMを売っていたんじゃないかというような、そういう自己勘定取引みたいな話ですが。
小飼:
それはやっていてもおかしくないんですけれども、「やっていた。」というだけの材料は出ていないですよね?
大きな財布を1個でんと置いていた、これはコインチェック社も認めているところですけれども、それ以外に、いろいろ実験や検証のためのウォレットを持っていたというのは、別問題なんですよね。そういったところまできちんと見ないと、こうでしたというのは言えないはずなんですよね。
あくまでも外野の憶測ということになりますが、持っていない通貨を売るというのは可能です。例えば、ほかの取引所から売買できるようにしておいて、コインチェックで、いくらで売りますよ。というのを出します。買い注文が入ったら、そのときに別の取引所に行く。要するに取引代行みたいなものですね。
山路:
それを実際にやることのメリットというのは?
コインチェック社は取引代行業を行っていたのか?
小飼:
余計な資産を持たなくてもいいというのはありますね。
山路:
でも、それが値動きによって、損することもあるわけですよね?
小飼:
別に仮想通貨に限ったことではないんですけれども、コインチェックはすごく利鞘を取っていて、ここで仮想通貨の販売と取引というものの違いで、コインチェックは、「いくらで買います、いくらで売ります」「何BTCを何円でいくつ」というような指値が可能なわけです。
山路:
これ、販売所と取引所が、たいていの取引所はふたつあったりするじゃないですか? 販売のほうというのは、結局のところ、指値とかそういう取引の煩雑さを避けるためなんですか?
小飼:
そういうことです。
山路:
そういう駆け引きとか取引が、面倒くさい人のために、販売所でこれだけの値段で売っていますという。
小飼:
それはFXとかでは考えられないくらいの莫大な利鞘を取れるわけですよ。
山路:
だから急成長していると言われていた。
小飼:
そういうことですね。こういうのもなんですけれども、ビットフライヤーが、2017年12月の段階で取引高が8億円でしたっけ? コインチェックがその半分くらいあったと。これはFXとかでいったらたいしたことないんですよ。
基本、法定通貨と法定通貨の取引というのは1日に何百億、何百兆円のオーダーですから。それに比べたら1ヶ月間でそんなものというのは、株式とかなら比べものになるかもしれないですけれども、たいしたことがないんです。でも、利鞘が違う。
山路:
どれくらい利鞘を取っているものなんですか?
小飼:
普通にクレカで「コインを買います」あるいは「コインを売ります」といった場合は、数%から数10パーセント。
山路:
数10パーセント! それは儲かるわけですね。
損害補償数百億円は可能なのか?
小飼:
これは、XEMを持っていた人に保障しますよと出したときに、これ保障するのに日本円で460億円でしたっけ? 日本円で保証すると言ったとき「どこにそんな金があるんだ」というツッコミがいっぱい来ていましたが、「もしかしたら持っているんじゃね?」という意見がいっぱい出てきた理由はそこにあります。
山路:
日本円で460億円返還すると言いつつも、今のところ、そのあと全然進展がないですよね? だいたい、いつまでに現金にするとかという。じゃあ「自社資金で460億円返金できるの?」と言われると、できるかもしれない?
小飼:
できる可能性は、他の同様の事件よりは、かなりあるというところです。でも、本来であれば同額のXEMをそのまま返還するというのが正しい。
山路:
それで結局、損をする人もいるわけですし。
小飼:
ただ、これのうまいと思うところは、もし自分がこれだけ、あるいはこれ以上のお金を持っていた、日本円を持っているんだとしたら、すぐ発表できるわけですよね。
山路:
これ、XEMで返金すると言ってしまったら、その分のXEMをまた買い戻さなければいけない。
小飼:
そう、買い戻すしかない。そうすれば、持っている人たちは、当然売り惜しみますよね。
山路:
460億円で済まない可能性が。
小飼:
実際に不正送金がニュースになった時点では、600億円近くあったんですけれども、その間にXEMが値落ちしてます。
XEMの流通を追いかけられるモザイクとは?
山路:
盗まれたと言われるXEMですけれども、ホワイトハッカーと言われる人がそれを追跡するプログラムを書いて、どういうふうに盗まれたXEMとかが使われているのか、ある程度明らかになった、マーキングしたみたいなそういう話とかも出ていたんですけれども。
小飼:
厳密に言うと、ウォレットにマークしたんですよね。
山路:
犯人と思われる人のウォレットに?
小飼:
犯人というよりも送金先ですね。送金元と送金先アドレスというのは公開なんですよ。基本的に秘密鍵がないとアドレスは作れないんですけれども、少なくともXEMの場合もアドレス自体というのは公開なわけですよね。
山路:
盗まれて、どこに送られたかはわかっている。つまり、その財布からまたどこかに送られたものに関してはマークが付いているよという。
小飼:
マークが付いているというのか、ここがちょっとNEMの面白いところなんですけれども、モザイクという概念があります。
通貨とは別のトークンを発行できます。NEMの仕組みの上で、XEMとは別のトークンを作って、同じアドレスに対して送りつけるということができるわけですよね。
山路:
それは言ってみたら、XEMとは別に追跡用途のためにトークンを生成すると?
小飼:
そうです。追跡用のために送ったものを、事実上送り返せないようにできるんですよね。そうすると、それが付いたトランザクションというのは追跡できると。
これが盗まれたXEMについて追跡しているのかということ。例えて言うと、銀行強盗に遭ったときに、お札にペイントボールをバーンとぶちまけたのに近いんですね。
山路:
それで銀行とか商店とかに、ペイントの付いたお札は受け取らないようにしてくださいと通達を出すと。だとしたら、もう犯人は盗んだXEMは使えなくなったと考えていいんですか?
小飼:
いや、使えるは使えるけれども、例えばそれでBTCを買うとか、ましてや法定通貨を買うとかとしたら、そこで足が付いちゃうんですけれども、実際に始まっているみたいですけれど嫌がらせはできますよね?
山路:
関係ない人のところに盗んだものをちょっとずつばらまいちゃう。犯人は、もしかしたら儲ける気はないのかもしれない。愉快犯みたいな可能性もないわけじゃない?
犯人の動機とコインチェック社の脆弱なセキュリティ
小飼:
犯人の盗んだ動機というのは、まだわからないでしょう。どうやって盗んだのかというのは、少なくとも経路はふたつ考えられます。でも今回は不正侵入されたとは、コインチェック社は言っているんですよね? でも、もうひとつ方法があって、秘密鍵があればウォレットを持っていなくても送金処理ができるんですよ。
要は、仮想通貨における送金というのは、ブロックに記録してもらうことなんです。であれば、秘密鍵さえできれば「誰々が誰々に送りました」というトランザクションをまったく別のコンピューターから作って、プールに流しちゃえばいいんです。でも、「そっちの経路ではない」と、そのブロック署名したところではないと言っていますよね?
山路:
まだ、はっきりしたことは言えないんじゃないかと?
小飼:
今のところはコインチェックが「内部犯行ではありません、不正侵入されました。」と言っていましたでしかないんですよね。でも、もし不正侵入されたとしたら、すごく間抜けな話なんですけれどもね。
山路:
それはサイトの脆弱性みたいなものを突かれて、入られて、その秘密鍵を見られちゃったということになる?
小飼:
あるいはオンラインになっているサーバーのほうにも秘密鍵があって、例えば秘密鍵に直接触れなくても、その秘密鍵を管理している普通のおそらくUNIXか、LINUXだと思いますけれども、そのアカウントにSSHで入って、コマンドを打ってという可能性もあります。
山路:
どちらにしても、セキュリティとしては結構ザルだったという印象が。
小飼:
僕もばれないと思います。秘密鍵というのはパスワードとか、パスフレーズほど短いものではないので、暗記できるようなものではないです。でも、サヴァンの人だと暗記できるかな。
山路:
(笑)
小飼:
結構、すちゃらかなやりかたとして、そのウォレットが動いているサーバーにアクセスするエンジニアが、どこかの飲み会でノートパソコンかなんかを持っていて、そのノートパソコンは、サーバーにSSH接続出来るような仕組みになっていたとします。その場合もアクセス出来ちゃいます。
それもソーシャルハックですし、内部のことがわからないと狙えませんよね? これもひとつの、広義の内部犯行です。あくまでも不正なアクセスがあったと言っているだけで、その不正なアクセスがきっかけというのが、そういったものではないというふうには言い切れないんですよね。あくまでも可能性がありますと言っているだけです。
今のところは出ている情報が少なくて、憶測しかできないんですよ。くれぐれも、「じゃないか」と言っているものを「そうだ」というふうには解釈しないでください。
さっきのノートパソコンにしても、ノミ行為にしても、「そういったことは可能ですよ」、「可能性はありますよ」と言っているだけで、「実際にこうだった」ではないですからね。これは本当に釘を刺させていただきます。