「秘密鍵暗号化していた」　ビットポイント、“二重のセキュリティ対策”でも起きた仮想通貨不正流出

[井上輝一，ITmedia]

　約30億円相当の仮想通貨不正流出を起こした仮想通貨交換業者のビットポイントジャパン（BPJ）は、16日に行った緊急記者会見の中で「ホットウォレットの秘密鍵の暗号化」など、複数のセキュリティ対策を実施していたことを明らかにした。

　流出が起きたのは、BPJが管理する仮想通貨であるビットコイン、ビットコインキャッシュ、イーサリアム、リップルの5銘柄。オンライン環境で迅速な出金ができる「ホットウォレット」に入金していた資産の大半が流出したという。流出したのは全てホットウォレットからで、送金を承認する秘密鍵をオンライン上で管理しない「コールドウォレット」からの流出は確認されなかった。

“二重のセキュリティ対策”にもかかわらず……

　流出した各仮想通貨のホットウォレットは「マルチシグ」に対応していた上、秘密鍵自身も暗号化していた。マルチシグは、送金の承認に複数の秘密鍵を必要とする技術。つまり、マルチシグに対応したホットウォレットから犯人が仮想通貨を盗み出すためには、必要な全ての秘密鍵を窃取しなければならない。

　さらに、BPJは「秘密鍵自身にも暗号化を施していた」という。仮に秘密鍵が漏れても、暗号化が解かれない限りはホットウォレットからの流出はないはずだった。

　同社の小田玄紀社長は会見で、「秘密鍵の暗号化が解かれた後の対策までは考慮していなかった」と話す。

　会見の内容から流出状況をまとめると、「各仮想通貨のホットウォレットに対応する秘密鍵を管理するサーバから、送金に必要な全ての秘密鍵が窃取された上、秘密鍵の暗号化も解読されたために、不正流出が起きた可能性がある」ということになる。マルチシグと、秘密鍵の暗号化という二重のセキュリティ対策を施していたにもかかわらず、不正流出は起きてしまった。

　BPJは「調査中のため、流出状況の細かい点に関しては回答を差し控える」と説明。ホットウォレットや秘密鍵の分散管理の状況については不明だ。

　今回の不正流出と同じタイミングで、BPJがシステムを提供している海外の仮想通貨取引所でも総額2億5000万円相当の不正流出が起きた。「管理サーバの構成は同じだった」（小田社長）としており、同じ手法で攻撃された可能性があるという。

　BPJは、マネーロンダリング対策が不十分などとして、18年6月に金融庁から資金決済法に基づく業務改善命令を受けた。その後約1年間にわたって改善策の実施状況を報告。19年6月に報告義務を解除されていた。

　金融庁の指導を受ける中、18年10月には情報セキュリティ会社のアイ・エス・レーティングがBPJを審査し、金融・証券企業のセキュリティレベルと同等の「A」を格付けしていた。

　金融庁の指導やセキュリティ会社による審査の他、仮想通貨交換業協会の自主規制ルールにも則って取引所を運用していたという。

　「セキュリティは第三者のチェックも入れて対策しているつもりだった。仮想通貨が再び盛り上がりを見せる中、流出を起こしてしまったことを大変申し訳ないと思っている」と、小田社長は会見で謝罪した。