コインチェックは3月8日、金融庁からの業務改善命令を受けて記者会見を開き、今後の対応策について説明した。3月11日週にサービスを再開し、流出したNEMも日本円にて補償する。
これは、1月26日0時2分から8時26分までの間に発生した不正アクセスにより、約26万人が保有していた5億2630万10XEM(流出当時で約580億円相当)がコインチェックから流出した問題。同社ではこれに関連し、同日、金融庁から資金決済に関する法律第63条の16にもとづく業務改善命令を受けていた。
NEMの補償については3月11日週に実施する予定で、どのような方法で返金するかを同じく3月11日週を目処にウェブサイトで案内予定。1月28日に発表した1XEMあたり88.549円×保有数の返金を予定している。サービスの再開についても、システム面の安全性が確認できたこともあり、3月11日週中を予定しているという。なお、取引停止による他の仮想通貨下落の補填については、利用規約などから責任は追わないとしている。
同社では、外部の金融セキュリティ専門企業5社と協力し、流出の原因を究明。従業員が使用していたPCなどのログやネットワーク機器の通信ログ、サービスで使用しているサーバ内のログを調査した。その結果、外部の攻撃者がフィッシングメールを経由して同社従業員のPC端末にマルウェアを感染させ、外部ネットワークから同社ネットワークに侵入を試みたという。その後、NEMのサーバにアクセスし、秘密鍵を摂取し不正送金したという。
また、業容拡大に対して内部管理体制が追いついていないと金融庁から指摘されている。これについてコインチェック取締役COOの大塚雄介氏は「2017年10〜12月頃から仮想通貨価格が急騰し、ユーザーが一気に増えた」と説明。2017年4月時点で約2800億円程度だった仮想通貨の取扱高は、同年12月までに約3.8兆円までに拡大したという。また、業容拡大し、内部管理体制が追いついていないままサービスを維持した理由については「お客様の資産保護のため」と回答した。
仮想通貨のセキュリティも強化。従来はホットウォレットで管理していたが、今後はすべて自社開発したコールドウォレットでの保管に切り替えるという。また、システムの管理体制については、金融機関出身者によるシステムセキュリティ責任者(CISO)を新たに設ける。CISOを支えるCISO室も新設し、事業部へのセキュリティ教育、リスクの洗い出しを実施し、危険性がないと確認できたものを社内で使う業務フローを構築するなど、管理体制を強化するとしている。
なお、コインチェックでは多くのアルトコインを扱っているが、その中には「匿名通貨」と呼ばれるコインも含まれている。金融庁では、取り扱う仮想通貨が抱える各種リスクを適切に評価しておらず、マネーローンダリングやテロ資金供与リスクなどに応じた適切な内部管理体制を整備していなかったと指摘している。同社では、匿名通貨だけでなく既存通貨も含めてリスクを洗い出し、どの通貨を扱うかを検討するという。
同社では、経営責任について現経営陣の進退も視野に検討しているという。大塚氏は「ネムの不正送金並びにサービス停止について深く反省している。サービスの再開について最善の努力を図るとともに、金融庁の登録に向けて最善を尽くしていく所存」と述べた。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス