580億円相当の仮想通貨「NEM」が流出したコインチェック問題。その後の仮想通貨の暴落や北朝鮮犯行説など、終わりが見えない。流出をいち早く察知し、発信を続ける投資家・作家の山本一郎さんに、課題と見通しを聞いた。
板は動いていないのに…
――山本さんが「Yahoo!ニュース 個人」で一報を伝えたのは、報道各社に先駆けた1月26日の午後3時35分。コインチェックが会見したのが午後11時半。なぜいち早くスクープできたのでしょうか。
私はまったく「スクープ」とは思ってないんですけどね。少なくとも、取引を監視していた数十人ぐらいは把握していたんじゃないんですか。
私自身もそれなりに仮想通貨の取引をしているので、モニタリングをかけています。で、NEMをウォッチしていたら、正午過ぎに異常な取引が起きているというウォーニング(警告)が上がっているのに気づいたんです。
コインチェックの板(売買の情報)が動いていないのに、大口の資金がウォレットから出ていっている。大口の売買が成立しているのであれば、値段が大きく動いているはずですから、これはあり得ないぞ、と。
本当にコインチェックから第三者に正常な取引で売られて、彼らのウォレットから大口が出ていったのなら、NEMの価格が暴落していなければおかしい。
でもそうなっていないということは、答えはひとつですよね。さすがにおかしいと確信したので、方々に確認、検証したのちに記事にしました。
分別管理に疑念
――NEMの保管に際して、コインチェックがネットから遮断した「コールドウォレット」を使っておらず、複数の秘密鍵を分散管理する「マルチシグ」にも対応していなかったことが批判を集めています。
コールドウォレットやマルチシグに関しては、手間を惜しんだんでしょうね。
ただ、それ以上に問題だと思うのは、顧客の預かり資産と自己勘定を区別する「分別管理」ができていなかったとみられること。
分別管理は資金決済法にも定められた大前提です。そうでなければ、投資家や消費者の保護はできませんから。
ところがコインチェックは、顧客の資金と自己資金を一緒くたにして、ノミ行為をしていた疑いがある。お話になりませんよ。
(※コインチェックはサイトのQ&Aで「法令に則り、適切に分別管理させていただいておりますので、ご安心くださいませ」と記述)
本当に返金できるのか
――コインチェックは26万人の利用者に対して、日本円で計463億円を返金する方針を明らかにしました。
分別管理ができていないということは、彼ら自身もどこからどこまでが自分たちの資金かわかっていないのではないでしょうか。
ビットコインなど他のコインも含めた預かり資産の総額は大きいかもしれませんが、そこから補償費用を支払うことは許されません。
あくまで他の顧客からの預かり資産ですから、自社が出した損害の補償に充てるわけにはいかないのは自明です。
順番でいうと、まず預かっている資産を顧客に返す。残った会社の資産で被害者に補償する、というのが本来のあり方ですよね。
加えてコインチェック自身も、問題発覚後に大幅な相場下落に見舞われたアルトコインの取引で大きな損害を出しているとみられ、本当にどこまで返金できるのかは慎重に見ておく必要があります。
小口分散は常套手段
――流出した先のアカウントから、複数のアドレスに少額のNEMが送られており、「犯人が資金移動を模索しているのではないか」という指摘も出ています。
小口に分ける手口は盗品売買の基本で、当初から警戒されていました。「ひろゆきさんの予想が的中した」みたいな話がありましたが、NEM.io財団や私だけでなく様々な人たちが指摘していたことで、当たり前の話です。
匿名口座は山ほど売っているし、第三者のウォレットをハックすることもあり得る。売買代行やら送金代行やら、アングラなビジネスも色々あります。
汚染されたウォレットから、10XEM(XEMはNEMの通貨単位)ずつ500万口座に送りつける。数十億回のトランザクション(取引)繰り返す、といったことができてしまうわけです。
追跡できても回収は困難
――ホワイトハッカーがNEM流出先のウォレットをマーキングして、追跡したことが話題になりました。NEMを取り返すことはできるのでしょうか。
回収できる可能性はほぼゼロでしょうね。論点は2つあります。
流出先のウォレットを指差し確認できたとしても、持ち主がどこの誰かまではわからない。だとすると、追跡できるとことにどれだけの意味があるのか、というのが1点。
犯人が「Tor(トーア)」などの匿名化ツールを使ってIPアドレスを隠していたとして、流出後の早い段階で警察の協力を得ていれば、ひょっとしたら特定できたかもしれない。でも、これだけ時間が経ってしまうと難しいでしょう。
何しろ、問題発生後かなりの時間が経過してから、ようやく気付いて警視庁に被害相談をするような状況でしたからね。
もう1点は、「民主的」とされてきた仮想通貨の特徴に反していないか、ということ。資産を追跡できるって、良い部分もあるけれど、本来の民主主義的なものとはかけ離れた監視社会的な機能ですよね。
NEM財団が「この取引はおかしい」と判断する。今回は窃盗だからいいとして、そうじゃない取引も追えるっていうのはどうなんでしょうか。
我々からすれば縁もゆかりもないNEM財団が、取引の善悪を判断する。それって本当に民主的ですか? という気はします。
北朝鮮関与説には疑問符も
――流出に北朝鮮が関与しているのではないか、という報道もありました。
現段階ではまったく裏付けのない憶測だと思っています。
可能性は否定できませんが、外部からクラッキングがあったのだとすると、なぜNEMだけを持ち出し、匿名性の強いDASHなど他の暗号通貨を盗まなかったのか疑問です。
今回のコインチェックのNEM流出には不可解な点が多数あり、そう単純な事件ではないかもしれません。
北朝鮮説に引っ張られすぎず、社内の事情も含め、慎重に調査する必要があると感じます。