BITPointハッキング事件に見る、私たちが持つべきリスク感覚の変化

松嶋真倫

「やっぱりか」なんて声があちこちから聞こえてきそうだ。2019年7月12日、全サービスを停止してすぐのことだった。エネルギー関連事業を手掛ける上場会社㈱リミックスポイントの子会社であり、国内暗号資産交換業者である㈱ビットポイントジャパン(以下:BITPoint)がハッキング被害を発表した。同社がホットウォレットで管理していた秘密鍵を盗まれ、複数種類の暗号資産が不正流出した。被害額はおよそ30億円。顧客資産の被害分については、事態発覚後に国内外のカバー取引先から全量を調達し、時期は未定だが暗号資産のまま返却する予定だという。7月16日には本件に関する緊急記者会見も開かれた。原因の詳細が明らかでない部分も多い中で、上場子会社としての誠意を最低限示した形だ。

今回の事件は、マウントゴックスやコインチェック、Zaifら過去の事件に比べれば被害規模が小さいとは言え、またしても30億円もの大金が突如消えることとなった。さらに、そのタイミングの悪さからも、世間的な信用の低下は避けられないように思う。BITPointは金融庁から業務改善命令を解除されてすぐに不正流出被害に遭った。BITPointの管理態勢に問題が残っていたのか、金融庁の行政指導が甘かったのか、どちらにせよ両者世間の批判に晒されても仕方がない。メディアにとってもこれ以上の業界ネタはなく、案の定BITPointの記者会見では「御社の管理態勢の問題ですか?それとも、業界としてリスクを0%にすることはできないということですか?」などといじわるな質問も一部見られた。

このように暗号資産業界で起きるハッキング事件は、一件あたりの被害額が大きいことからメディアでも大々的に取り上げられ、世間的な注目を集めやすい。しかし、昨今の金融・IT業界に目を向けると、悪意あるハッカーによってネット上のあらゆる情報が盗み出され、同規模かそれ以上の被害が毎年のように発生していることがわかる。ではなぜ、同様の事件が他業界でも起きる中で、暗号資産業界の事件ばかりが取沙汰されるのか。その理由について考察する。

盗み出される決済情報と個人情報

金融業界で起きた事件として記憶に新しいのが、国内モバイル決済アプリの代表格PayPayと後発組7Payの不正利用問題である。アカウント作成やクレジットカード登録、決済時の本人認証が甘く、その脆弱性を狙った攻撃により多くのユーザーが被害に遭った。小売り決済が中心である為、被害額は両社合わせて数億円と今回のBITPoint事件に比べれば小さく感じるかもしれないが、モバイル決済アプリだけでなくクレジットカード業界全体で見れば、その被害がいかに深刻であるかがわかる。

日本クレジット協会が2019年6月に公表した、国内のクレジットカード不正利用発生状況の調査レポートによれば、昨年度の年間被害額は230億円にも上った。また、その推移に目を向けると被害額は年々増加傾向にある。これは、ここ数年のスマートフォンの普及により、身近にオンライン決済する機会が増えている為だ。過去に主流となっていた店頭でのスキミング被害はIC取引の推進によって改善される一方、ネットを介した番号盗用被害は2017年以降急増している。これには、先ほど述べたPayPayや7Payのような、セキュリティに不安を抱える決済アプリの乱立が被害を悪化させている面もあるだろう。

私たちは、お金に関する情報だけでなく、個人情報流出の危険にも晒されている。昨年3月には、8,000万人を超えるFacebookのユーザーデータが、2016年のトランプ大統領選の際に英国コンサル会社へ不正流出していたことが発覚した。この件についてWSJ紙によれば、米国連邦取引委員会(FCT)が調査を進めた結果、Facebookに対して史上最高額となる約50億ドルもの制裁金が課されるとのことだ。Facebookは同年9月にもシステムバグを理由に約5,000万人もの個人情報を流出させており、社内のデータ管理態勢が強く問題視されている。このことは当局がリブラに懸念を示す一因でもあるだろう。
デジタル決済やSNSなどが日常の一部となり、インターネットの常時接続化が進むデジタル社会では、暮らしの利便性が向上する反面、私たちの身の回りにおける様々な情報リスクが高まっている。ハッキング事件は今や誰もが被害者となり得る社会全体の問題なのだ。ここで、冒頭の記者の質問に私が代わって回答したい。「弊社の管理態勢に問題があったことは否めません。ただ、ハッキングのリスクを0%にすることは今後も難しいと思います。それはこの業界に限った話ではありません。デジタル社会では政府、企業そして個人が揃ってそのリスクを最小限に抑える努力をしなければならないのです。」

お金・情報の集合地としての顧客保護対策がまだまだ不十分

BITPointの会見では、記者から企業としての管理態勢を疑う質問が多く投げかけられた。同社が管理する中央サーバーを攻撃されて事件が起きたのだから、メディアから企業責任を問われることは何ら不思議ではない。それは7Payが会見を開いた時も同じである。この中央管理リスクがブロックチェーンの登場によって見直されることになったのだが、現状業界内で完全に分散稼働しているのはビットコインだけであり、その他の企業・プロジェクトは従来と同様の構造問題を抱えている。昨年7月に分散型取引所バンコールがハッキング被害に遭った時も、結局はユーザー保護の為に運営側がスマートコントラクトを凍結するなどの対応をとった。それに対して分散化の原則に反すると批判する声も一部見られたが、何もしなければ被害が拡大していた恐れもあったわけで、やはりお金そして情報の集まる場所にはリスクがあり、それに備える管理体や仕組みが必要であるということなのかもしれない。

このような前提に立った時に、暗号資産業界は今も事業者内部の対策に追われており、それを取り巻く顧客保護の対策にまで議論が行き着いていないことがわかる。伝統的金融業界であれば、銀行業や証券業、保険業を営む為の明確な審査基準があることに加え、たとえ一社が破綻したとしても預金保険機構や日本投資者保護基金、保険契約者保護機構などによって顧客資産が一定の水準まで補償される制度が整っている。しかし、この業界ではそのような制度がないだけでなく、財務基盤が脆くて不正流出被害に耐えられない取引所が未だ多いのが現状だ。バイナンスのように自身で補償基金を作り、実際被害に遭ってもびくともしない取引所は存在するが、世界的に見てもそれだけの体力がある取引所は稀であり、国や業界が定める制度としての顧客保護対策が急務と言えよう。

また、暗号資産業界では保険商品も不足している。英国保険組合ロイズや米国保険会社エーオンなど保険会社による業界参入も過去に比べれば進んでいるが、今ある暗号資産企業向けのサイバー保険は保険料が極めて高く、ほとんどの取引所が利益の一部を自家保険に充てて万が一に備えざるをえない状況となっている。年間で同規模の不正被害があるクレジットカード業界では保険会社が特定の条件下で被害額を補償する流れとなっており、単価に違いはあるものの、そのような業界全体の保険体制作りは顧客保護の為に必要不可欠だ。特に膨大なお金を運用する機関投資家にとっては重要であり、現に米国カストディ会社ビットゴーなど機関投資家向けに最大1億ドルものお金を補償する保険プランを提供する会社も海外では現れている。

そして、この業界でハッキング事件が起こる度に議論されるのがブロックチェーンの監視・追跡技術についてである。証券業界やカード業界のように、中央管理体が存在し個人の特定が可能な市場であれば、彼らが毎日の取引をモニタリングすることで犯罪防止に努めることができるが、世界中に散りばめられたコンピュータによって分散管理され、アドレスの匿名性を備えるビットコイン市場では、その被害を食い止める明快なソリューションが未だどの国においても確立されていない。日本でも、コインチェック事件の時にはホワイトハッカーを募って盗難XEMの追跡を試みたがその行方はわからず、㈱BUIDLや㈱deBit、㈱catabiraらが開発を進めるブロックチェーン解析ツールもその有用性は実証されていない。取引所内部の監視体制を強化するのか、監視専門のサードパーティを設置するのか、何が最適かはわからないが、国を跨いだ関係者間の協力なしにこの問題を解決することは難しそうである。

情報を介せず直接資産が盗まれる時代へ

これまで述べてきたように、暗号資産業界で起きるハッキング事件は、既存の業界に比べて中央管理リスクへの備えが欠如している為に、社会的不安が肥大化して特別に騒がれている。それは業界としての未成熟さに起因するものでおそらく時間が解決するだろう。その意味では新しさはない。しかし、この業界でハッカーに盗まれるものに注目すると、私たちがデジタル社会で持つべきリスク感覚の変化の兆しが見える。

この業界でのハッキング事件を目にした時に“流出資産”の追跡と聞いて何か違和感を覚えるのは私だけだろうか。PayPayやFacebookなどの事例では、情報が盗まれそれを悪用されることで具体的な被害を受ける恐れがあった。つまり、一度流出した情報を取り戻すことはできなくとも、資産を失うまでにとれる対策が残されていたということだ。一方で、この業界では情報ではなく資産すなわち価値そのものが盗まれる。つまり、事件後に私たちにできることは犯人に加えて資産の行方を追うこと以外に残されていない。この違いこそがブロックチェーンの特徴を物語っているようでならない。

このように見ると、私たち一人一人がこれから向き合わなければならないのは単なる情報リスクではなく、現実とデジタルの境を超えた資産管理リスクなのかもしれない。ブロックチェーンの登場によってインターネット上に価値が乗り、時代は情報を介せず直接資産が盗まれる時代へと変化しつつある。

コメントを残す