まだ記憶に新しいマウントゴックスのビットコイン流出事故の被害総額は114億円ほど、今回はマウントゴックスの事故を大きく超える大規模な仮想通貨流出事故となりました。
仮想通貨の相場が急騰し、テレビCMも盛んにビットコインをはじめとした仮想通貨の取引をあおり、取引手数料収入を得ようとする業者も増える中、今回のコインチェックのように、いとも簡単に仮想通貨が盗まれた原因と、我々情報セキュリティ担当者が組織の機密情報を守るための対策をご説明します。
重要な情報がネット環境に保管されていた
今回のコインチェックによる仮想通貨NEMの流出の原因は、仮想通貨の保管データをインターネットから接続出来る環境に置いていたという単純なことです。
26万人分、5億2300万単位の仮想通貨が、インターネットに接続され悪意ある第三者からいつでもアクセスできる経路上に保管されていたという、信じられないお粗末な管理方法が原因で、580億円分もの仮想通貨NEMが流出したのです。
実は2度目の大失態だった
コインチェックは今回が初めての事故ではありません。
2017年5月9日に6時間もサーバを停止させる大規模システム障害を起こしたばかりでした。
2017年5月9日にコインチェックで扱う仮想通貨の価格が他の市場の10倍にもなる事故を起こし、事故発生時から取引が停止されるまでに成立した売買を「なかったこと」にした前例がコインチェックにはありました。
1度目の事故は大規模システム障害、皮肉なことに当時は「ハッキング等で外部からの攻撃を受けたものではございません。ご利用者様の個人情報、並びに資産の流失はございません」とアナウンスして顧客を安心させようとしていました。
そして2度目の事故はおそれていたはずの仮想通貨流出、「今回は前回のシステム障害ではありません」とアナウンスするわけにもいかない、情報システムの運用が根幹となる業者とは思えないミスを続けてしまいました。
重要情報はネット環境と分離した場所に保管するのが常識
標的型メール攻撃で日本年金機構から100万件以上の重要情報が漏洩して以降、メールを受信したり、インターネットを閲覧したりするPCには重要な情報は保存しない、特に顧客情報など企業の存続に関わる最重要データは、インターネットには接続されていないところに保管するという対策が強く求められてきました。
しかしそのような対策を怠り、便利で作業効率が良いという理由でインターネットと接続したPCに重要な情報を保管していた企業は軒並みサイバー攻撃の餌食となり、情報漏洩対策を講じなかったせいで、甚大な経済的、社会的損失を被ってきた前例がたくさんあります。
そしてハッキングを許し破綻した仮想通貨取引所の前例もあったのに、またしても情報セキュリティ対策を疎かにした会社が、いとも簡単に情報を流出させたことに驚きを隠せません。
過去のビットコイン流出・消失事例
- 2014/02 Mt.Goxが破綻
- 2014/03 Poloniexが流出事故を起こす
- 2015/01 BitStampが流出事故を起こす
- 2015/02 BTERが流出事故を起こす
- 2015/05 Bitfinexが1回目の流出事故を起こす
- 2016/04 Cryptsyが破綻
- 2016/05 Gatecoinが流出事故を起こす
- 2016/08 Bitfinexが2回目の流出事故を起こす(当時約777億円の被害)
- 2016/10 Bitcurexが破綻
- 2017/12 マイニングプールNiceHashが流出事故を起こす(当時約76億円の被害)
- 2017/12 韓国のユービットが流出事故を起こし破産申請(当時約17億円の被害)
これだけのビットコイン流出・消失事故の前例があったにも関わらず「重要な情報はインターネット接続されたPCに保存しない。」こんな単純な情報セキュリティ対策さえも行わなかったコインチェックは、韓国のユービットに続き、463億円あまりの補償金と、社会的信用を失うことになりました。
昔は、情報セキュリティ事故を起こした会社は、以降しっかりと対策を行うから安心などと言われましたが、今はそんな時代ではありません。
以前に情報漏洩事故を起こしたベネッセは急激に業績を悪化させたまま回復の兆しがありません。
仮想通貨NEMのお粗末な管理方法のせいで26万人分の情報を漏洩させたコインチェックも、今後も大きな代償を払うことになるでしょう。
業界1位のビットフライヤーに追いつくために、利益だけを追い求めた業者の末路を私たちは見守ることになります。
コインチェックの仮営業を認めた金融庁の責任も重い
実態がなく、データでしかない仮想通貨の取引所として、コインチェックに取引手数料を儲けても良いと認めた金融庁の責任も重いと私は考えます。
監督省庁である金融庁には、顧客に仮想通貨を取引させて、その手数料を稼ぐことを認めるための技術的対策基準は無かったのでしょうか?何をもって、仮想通貨取引所の認可をしていたのでしょうか?
何故、金融庁はコインチェックのような情報セキュリティ対策が出来ない業者を仮想通貨取引所として認めたのでしょうか?ネット接続された環境に通貨データは保管しないというのは最低限の確認事項のはずです。
仮想通貨のデータ保管方法は仮想通貨の取引手数料で儲ける業者任せにして、適した管理措置を行うこと、程度の指導しか業者に行っていなかった、のが簡単に想像出来ます。
つまり金融庁はコインチェックに対して仮想通貨データの保管方法もチェックせずに、仮想通貨取引所としての営業を認めたのです。
1月29日なって金融庁は改正資金決済方に基づき、コインチェックに対して管理体制強化と再発防止への取り組みを求める業務改善命令を出しました。
(前略)
このため、本日、同社に対し、同法第63条の16の規定に基づき、下記の内容の業務改善命令を発出した。
(1) 本事案の事実関係及び原因の究明
(2) 顧客への適切な対応
(3) システムリスク管理態勢にかかる経営管理態勢の強化及び責任の所在の明確化
(4) 実効性あるシステムリスク管理態勢の構築及び再発防止策の策定等
(5) 上記(1)から(4)までについて、平成30年2月13日(火)までに、書面で報告すること。
が、それもあとのまつり。そんな脆弱なシステムしか用意出来ない業者を仮想通貨取引所として認めたのは金融庁です。
そして官房長官が1月29日の記者会見で「まずは関係省庁が連携して原因の究明を進め必要な対策を講じていく」と述べましたが、原因はすでに分かっています。
仮想通貨NEMの流出原因はネット接続された環境にデータを保管していたから。それ以外に原因はありません。
サイバー攻撃を防ぐための対策も決まっています。ネット接続された環境に大切なデータを保管しないことです。
なのに「原因を調べて、必要な対策を検討する」という官房長官の発言には、日本の情報セキュリティ対策へのリテラシーの低さが露呈しています。
そんな日本の脆弱な仮想通貨取引所に大金を預けて大丈夫ですか?
コインチェックはビットフライヤーと1位2位を争っていた業界大手の仮想通貨取引所です。
にもかかわらず、取引システムの不備という非常識な原因による事故を起こしたとなれば、性善説に基づき認可される他の仮想通貨取引所は本当に大丈夫なのかと心配になります。
ビットコイン取引などを仲介し、取引手数料を得ようとする業者には、自己点検など甘いことを求めるのではなく、開業前に、国選の外部監査員による厳しい情報システム監査を受け、システムに不備がないことを明示するなど、仮想通貨取引に対する規制を厳重に行うなどしなければ、ゴールドラッシュのように一攫千金を夢見る人々のデータを守ることが出来ないのではないでしょうか。
今回の仮想通貨流出事故についてはコインチェックが補償してくれるといっても、5億2300万単位のNEMが盗まれた時点の相場価格で計算した被害額は580億円あまり、補償するとなった時点ではNEMの価値が下がっていて、1NEMを88.549円として流出した5億2300万単位にかけた補償総額は463億円あまりでしかありません。
そしてその返還時期や手続きについては、1月29日現在、何もめどがたっていないとコインチェックは言っています。
次から次に仮想通貨の種類が増え続け、仮想通貨取引手数料で儲けようとする業者も増えるなか、単なるデータに過ぎない仮想通貨の管理に不可欠な専門知識を持つ人材は国内には少なく、高度なセキュリティ対策が施された取引システムもなく、この状況が続く限り、マウントゴックス、コインチェックに続く第3の仮想通貨流出事件は必ず起こるでしょう。
実態がなくデータでしかない仮想の通貨取引に熱狂する人々、取引手数料を稼ぐ業者、その業者を管理指導する金融庁、今回のコインチェックのNEM流出事故が、それぞれの立場への警鐘となることを願うばかりです。
ネット環境と分離した環境で重要情報を扱うのが基本です
先に述べたように日本年金機構の事件以降、重要な情報はネット環境から分離されたところで扱うのが常識となりました。
これは住民情報を扱う地方自治体ではすでに総務省から強く求められ、対策も浸透してきましたし、企業においてもネット環境下に重要情報を置かない対策が進んでいます。
メールの送受信データさえもネット環境下にあってはならない
電子メールで重要情報をどうしても送信する必要がある場合、重要情報が記録された添付ファイルを暗号化して送信するのはもちろんですが、ネット環境下に移動させて電子メールに添付した重要なファイルは、送信したままにするとメーラーに送信済みファイルとして保管されたままになります。
よって、情報セキュリティに対する意識の高い企業や組織では、送信メールはすぐにメーラー内からも削除することを求めています。
同じく受信した重要情報が添付されていたメールも、重要情報をネット環境から分離された場所に保管後、すぐに受信メールを完全に削除して、ネット環境下には一切の重要情報がないように徹底した対策を行っています。
今すぐにインターネット環境は分離しましょう
もしあなたの組織でインターネット接続された環境で重要な情報を扱っているなら、今すぐインターネット環境は分離しましょう。
インターネット環境には絶対に重要な情報を保管してはいけません。
分離する方法は様々ありますが、一番簡単なのは、インターネット閲覧とメール送受信だけをする専用のパソコンを用意することです。
事務処理を行うパソコンはインターネット回線をつなぎません。
事務処理をしているパソコンのデータをメールで送信するには、USBメモリーなどを用いて、インt-ネット接続されたパソコンにデータを移動させてメール送信後はインターネット接続パソコンから完全に送信データを削除します。
受信したデータを事務処理用パソコンに移動する時も同様で、これは作業効率が大変悪いので、物理的に分離する方法以外にも、仮想環境を構築して1台のパソコンでインターネット用PCと事務処理用PCを切り替える方法もあります。
私の組織でもこの方法を採用していますが、それでも作業効率が悪くなったのは言うまでもありません。
が、重要な情報をサイバー攻撃から守るためには他に方法はなく、実際に分離していなかったコインチェックは仮想通貨NEMを流出させました。
あなたの組織がコインチェックの二の舞にならないために、今すぐにインターネット環境は分離するしかないのです。
データを賭けたギャンブルが仮想の通貨取引です
データを通貨とみなして上がり下がりを賭けるギャンブルが仮想通貨取引だと私は思います。
銀行の厳重な金庫にある通貨は簡単には盗まれませんが、あらゆるデータは盗まれています。
実際のお金と同じく仮想通貨のデータは複製することは難しいようですが、仮想通貨のデータだけが盗まれないなんて妄信はやめるべきです。
国家レベルで仮想通貨を搾取しようといている国があるという噂も、あり得ないとは言い切れないのです。
今回はコインチェックの単純なミスが原因で事故が起こりましたが、500億円分だろうと運び出すのは椅子に座ったままで一瞬で出来るデータであり、そのデータを送受信するシステムがインターネットにある以上、100%安全なんて妄信は捨てて、誰かに搾取されるリスクがあることを理解したうえで、仮想通貨取引という名のギャンブルを楽しんでほしいと思います。