ビットポイントジャパンは7月16日、11日に発生した仮想通貨取引所での仮想通貨の不正流出について流出額などの詳細を発表した。
この不正流出は、7月11日21時11分ごろにリップルに関する送金エラーを検知して発覚したもの。被害額は、ビットコインが1225BTC(評価額は15.3億円、ユーザー預かり分は12.8億円)、ビットコインキャッシュが1985BCH(同0.7億円、0.4億円)、イーサリアムが1万1169ETH(同3.3億円、2.4億円)、ライトコイン5108LTC(同0.5億円、0.4億円)、リップルが2810万6343XRP(同10.2億円、4.4億円)。合計の流出額は30億2800万円、ユーザー預かり分は20億6000万円となる。なお、当初は約35億円ほどの被害と説明していた。
ビットポイント代表取締役社長の小田玄紀氏は、会見冒頭に「大変多くの関係者にご迷惑ご心配をかけたことを深くお詫び申し上げます」と謝罪。流出の原因は調査中としつつも、ホットウォレットの秘密鍵を管理するウォレットサーバーが不正アクセスを受け、鍵を窃取された可能性が高いと説明。ホットウォレットの秘密鍵は、マルチシグで分散して保管されていた上、流出されたとしても使えないように暗号化処理を施していたというが、何らかの理由で暗号が解除されたとしている。さらに、ホットウォレットは仮想通貨ごとに設定されていたが、そのすべての秘密鍵が流出したという。
同社では、11日22時45分にホットウォレットコールドウォレットへの移行を実施。2億4000万円分の通貨を保護できたものの、ホットウォレットの資産の約90%以上が盗まれたとしている。なお、ホットウォレットは、日本仮想通貨交換業協会(JVCEA)が定めた総資産の13%をホットウォレットで運用するという自主規制ルールにしたがって管理していたという。
同社ではその後、全サービスの停止、ビットポイントのホットウォレットに送付されてくる仮想通貨のコールドウォレットへの移動を実施。事態が収束するまでの間、同社管理口座あてへの仮想通貨を送付しない旨をJVCEA各会員の利用者に対する注意喚起および周知を実施。また、不正流出したアドレスに対して入出金しないように、国内外の仮想通貨取引所をに協力を要請している。
資産の保障に関しては、14日までに流出相当分の仮想通貨を調達しており、サービス再開後に、日本円ではなく仮想通貨にてユーザーに支払うという。対象ユーザーは、全ユーザー数11万人のうち5万人におよぶとしている。なお、サービス再開は今のところ未定としているほか、リップル財団などに追跡の調査を依頼しているものの、流出した仮想通貨が返ってくるかは今のところ答えられないとしている。
ビットポイントでは、金融庁からの業務改善命令を受けており、6月28日に解除されている。その後2週間後での不正流出となったが、JVCEAの自主規制ルールに従っており、金融庁からの業務改善命令の遵守、ホットウォレットのマルチシグ・暗号化処理の適用など、今考えられる対策については実施していたと考えられる。小田氏は、流出していない仮想通貨取引所もあるため、仮想通貨全体が流出を防げないわけではないとしつつ、「ホットウォレット管理比率をもう少し下げていくといった検討は十分必要かもしれない」と述べた。
なお、同社によると、攻撃者とみられる人物から事前にアタックに関するメールを受信していたという。メールからのマルウェア感染は確認されておらず、同社ではメールが届いた時点で金融庁に報告していたという。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」