コインチェック事故はセキュリティ対策後進国の象徴

いまだどうなるか分からないコインチェックの仮想通貨情報の漏洩事故、コインチェックの経営陣が自身の取引所が直面していたリスクを全く分かっておらず、優秀なシステムエンジニアは雇用していても、能力のある情報セキュリティ担当者が社内にいなかったことが浮き彫りになっています。

同社の代表取締役もシステム開発の才能はズバ抜けていたようですが、そういう人に限って情報セキュリティ対策の知識は全くない、というのはICT業界ではよくある話しです。

ただしこれは監督当局である金融庁も同じで、コインチェックが潜在的に抱えるセキュリティリスクを洗い出すことが出来ませんでした。

仮想通貨取引、金融庁に限らず、日本はあらゆる業界で情報セキュリティ対策が遅れ、主導する立場であるはずの国の各省庁も、情報セキュリティ対策の必要性が理解できず、ガイドラインの整備さえも遅れているのが現状です。

規制が追いつかず「みなし業者」を生んだ金融庁

何の規制もないうちに、取引システムを構築し商売していた業者に対して審査による登録制度という規制が出来たのが2017年4月、しかしそれ以前から取引所を営業していた業者にはすでに多数の顧客がいて、審査が完了せず正式な登録が済んでいなくても、「みなし業者」として営業できるという抜け穴を金融庁は用意していました。

つまり、コインチェックのように仮想通貨をインターネット接続されたままの環境(ホットウォレット)で大量に保管するという、あり得ないことを平気でしている業者でも、登録審査が完了するまで営業できる抜け穴があったのです。

今回の仮想通貨流出事故は、このような情報セキュリティ対策の必要性が理解できず、どこからも監督指導されることもないままリスクを放置していた業者がサイバー攻撃を簡単に許してしまったのです。

登録要件をクリアするための課題が多く、他社に大幅に出遅れ、登録申請期限ギリギリの昨年9月に滑り込みで書類を出す危うさながら、出川哲郎を起用したCM効果もあり、取引高だけはビットフライヤーと1位、2位を争っていたコインチェックは、犯人にとっては絶好のターゲットだったはずです。

規制も指導もせず放置していた国にも責任はある

「仮想通貨に対する法整備は諸外国の中で最も進んでいる」と金融庁は説明し、最善を尽くしてきた、自分たちに責任は無いとアピールしているが、果たして本当にそうだろうか。

「仮想上の通貨なんて金融取引に該当しない。物品取引なら古物商で警察庁、電子データの取引なら経産省が所管すべき」

今から4年前、仮想通貨取引所のマウントゴックスのビットコインが消失騒動の時に、金融庁の幹部はそう言っていました。マウントゴックスが取引所を始める際に、行政への確認をするために関東財務局を訪れていたことも判明していますが、それでも金融庁は「所管ではない」といって、仮想通貨取引を監督しようとはしませんでした。

そんななか、金融庁の思惑とは裏腹にマウントゴックスの破綻後の影響も織り込み世界中で仮想通貨の市場は徐々に拡大、金融庁がやっと所管することを受け入れ、法律の改正を行う頃には、コインチェックをはじめとする仮想通貨取引所が多数存在していたのです。

今回の事故で金融庁はコインチェックが非常識なことをしていたとして業務改善命令を出しまし、立ち入り検査も行いましたが、その金融庁も状況が把握出来ずに仮想通貨取引業者を野放しに放置したことも、事故の一因であると私は考えています。

第二のコインチェックを生み出さないために

どこでデータが扱われるのかすら不明なクラウドサービスや、法律の規制がないサービスが次々に登場し、そして誰も新たなサービスを止められなくなっている現在、セキュリティ対策への知見がないシステムベンダーの言いなりで、先進的といわれるシステムを導入したことだけが注目され、結果事故が起きる。

国はICTの利活用を大声で叫び、ICTの利活用による働き方改革を主導していながら、そこで使われる通信回線、無線LAN、クラウドサービス、Webアプリケーション、モバイル端末に対する情報セキュリティ対策は企業や自治体の判断に委ね、「情報の重要度に応じ適切な情報セキュリティ対策がなされたシステムを利用すること」と言うばかりで、じゃあ適切なシステムとは何か、を的確に示すガイドラインは策定していない。だから大手システムベンダーもセキュリティ対策にコストをかけず斬新で売り込みやすいだけのシステムを作り続ける。

国はこうして後手後手に回るばかりか、いまだに政府関連のWebサイトはhttps://から始まるセキュアな通信が出来ないまま、あるいはgo.jpドメインすら使っていない、韓国など日本国の法律が適用出来ない国にあるデータセンターをわざわざ選んで日本国民の情報を保管している等、他国から見れば恥ずかしいほどのリテラシーの低さを露呈し続けています。

だからこそ必然的にコインチェックのような事故が起こるし、これからも、利便性にだけ優れ先進的な取り組みだと称され注目を集めるが、セキュリティ対策は疎かになっている、コインチェックが使っていたようなシステムが増え続けてしまいます。

ICTを利活用したところでけっして生産効率が上がるわけでもない働き方改革よりも何よりも、わが国が他国に最も遅れをとり最も必要なもの、それは政府主導の徹底した情報セキュリティ対策です。政府がそれに気づかず本腰を入れない限り第二のコインチェックは必ずや出てしまうでしょう。

仮想通貨流出のコインチェックから学ぶ情報漏洩対策
今回のコインチェックによる仮想通貨NEMの流出の原因は、仮想通貨の保管データをインターネットから接続出来る環境に置いていたという単純なことです。26万人分、5億2300万単位の仮想通貨が、インターネットに接続され悪意ある第三者からいつでもアクセスできる経路上に保管されていたという、信じられないお粗末な管理方法が原因で、580億円分もの仮想通貨NEMが流出したのです。
ビットコイン仮想通貨を守るコールドウォレット
コールドウォレット(コールドストレージ)といわれる管理方法は、仮想通貨取引所にビットコインやイーサリアム等の仮想通貨を預けず、インターネットに接続していない環境で自分で仮想通貨の秘密鍵を守る方法です。コールドウォレットの中でも使いやすいLedger NanoSなどのUSBトークンタイプや、もっとも安全とされるペーパーウェレットのメリットやデメリットをご紹介します。
arisa

1万台以上の事務用端末がある組織の情報管理部門で情報セキュリティマネジメントを担当しています。新人の情報セキュリティ担当者に向けた組織の情報セキュリティ対策のヒントや、個人でパソコンやスマホを使う場合の情報セキュリティ対策を、私の実体験を交えながら解説しています。

arisaをフォローする
セキュリティNEWS
arisaをフォローする
情報セキュリティ対策の真実

コメント