orangeitems’s diary

クラウドではたらくエンジニアの日々の感想です。

いくつかの取引所が自社の安全性を説明し始めた件について

f:id:orangeitems:20180129201325j:plain

2018年1月29日の状況

コインチェック事件を受けていくつかの取引所が自社の安全性を説明し始めた。当然の流れである。まず各社、すぐに社長は幹部を集めて緊急対策会議を開いただろう。最大手の一社であるコインチェックがあの状況だ。その下にいる取引所は顧客離れや信用回復のため何らかのアクションを取らないといけないのは目に見えている。

金融庁の動きも早かった。資金決済法に基づく業務改善命令をコインチェック社に午前中行った。また、国内の全仮想通貨取引所に対し顧客資産の管理方法を報告するように求めた。国内の取引所は2017年4月より登録制となっている。現在は申請中となっているコインチェック社はまだ登録されていないが「みなし業者」の扱いで営業が継続できる。一方で資金決済法の制限は同様に受ける。

この状況で、コインチェック社の問題が長期化すれば、仮想通貨ビジネスに急ブレーキがかかる。各社、相当な危機感を持って臨んでいるであろう。二社目があったら、もはや未来はない。日本法人に仮想通貨取引所を運営する能力がないということと同義になる。一方で、コインチェックの業務改善命令に基づく報告期限は2月13日とされており、二週間の間何も情報提供がコインチェック社からないのであれば、不安が広がるのは必然である。多数の取引口座が二週間封鎖されたら、たくさんの人々が穏やかではいられないだろう。

 

スポンサーリンク

 

コインチェック事件を受けた各社の声明

各社の取り組みを取り上げる。本日声明がないからと言って説明不足というわけではなく、もともとセキュリティ対策のページを持っている事業者も多い。ここでは今日発表された記事という目線でまとめている。

なお、すべての会社、すべての発表を網羅できている保証はない。個人ベースで巡回した結果であるのでご了承頂きたい。

bitFlyer

新規発表なし

Zaif

新規発表なし

ビットバンク社

仮想通貨取引所ビットバンクのコールドウォレット・マルチシグ運用体制について(1/29)

BITPoint

BITPoint | ビットポイント 当社の情報セキュリティ管理態勢について(1/29)

SBIバーチャルカレンシーズ

サービスイン前

BTCBOX

特になし

GMOコイン

特になし

QUOINEX

特になし

Kraken

特になし

みんなのビットコイン

特になし

FISCO

特になし

BitTrade

仮想通貨取引所ビットトレードのコールドウォレット・マルチシグ運用体制について(1/29)

FIREX

サービス停止中

Lemuria

特になし

BMEX

特になし

Bitgate

特になし

Xtheta

サービスイン前

Money365

サービス一時休止

DMM Bitcoin

特になし

ARG公式サイト

サービス停止中 

 

各社巡回してわかったこと(重要)

取引所によっては、金融庁への仮想通貨事業者登録が完了するまで、営業を休止していた。また、登録が完了したとしても、より安全を高めるまで営業を開始しない取引所もあった。この状況で、コインチェック社の「未登録でみなし業者ではあるが、より多くの人にサービスを使ってもらいたい」という姿勢は、まずかったと言える。

 

本日の声明に関する考察 

ビットバンク、BitPoint、BitTradeの3社がとりあえず声明を発表した。おそらく明日以降続く取引所もあると思う。ビットバンクとBitTradeの声明がとても似ているので何かと思ったら、この2社は業務提携しているらしい。

仮想通貨取引所のbitbankとBitTradeのサイトが似ている理由 | はじはじビットコイン

まあそれはそれとして、本日、発表を迅速に行った点は評価できると思う。ただし、内容はやはり、マルチシグとコールドウォレットの話に終始していたり、具体的なコインチェックと類似の攻撃への防御方法が無かったりと、これで安全であるとは理解するのは難しい。そもそも、これだけの記載で安全性を説明するのは無理なのである。

繰り返すが、今回の問題は、26万口座を5分で抜かれてしまったこと、が本質である。

コインチェック社のミスリードで、問題の本質がずれている現状を憂う - orangeitems’s diary

どんな管理をしたところで、アーキテクチャーが語られないと何の意味もない。複数の講座をいっぺんに移動できる仕組みである限り、どんな方法であれ、侵入された際の被害は甚大なのである。

 

各取引所にお願いしたいこと

人間は、以下のような特徴があると思っている。

 

1)人は、自分に理解できない理論から成り立っている技術は、誰にも理解しづらいのでセキュリティが強いと思いがちである。

例:マルチセグでコールドウォレットで、ブロックチェーンからオンラインで隔離されたら安全 = 安全そう

 

2)理屈より、実績やブランドを重視しがち。

例:あれだけCMをやっていて、国内で一番であれば、きっと一番の技術を持っているから安全だろう

 

したがって、専門的な言葉を使って説明すれば顧客が納得してくれる、と思いがちである。私もITインフラの専門であり、お客様に安全性を説明する場があるのだが、ある程度説明し終わったところで、「信じるから大丈夫」と言われることがある。

おそらく、専門的なことは、すぐに理解するのが難しい。だから、実績やブランドへ流れがちなんだと思う。

 

しかし、今回の問題は違う。わかりたい。

仮想通貨取引所の管理のあり方の、「ベスト」を取引所には教えて欲しい。

取引所は、仮想通貨交換のプロであるべきだ。プロならば、利用者を納得させうる説明をきちんと行って欲しい。

今回の事件は、被害者と加害者だけの問題ではない。今後仮想通貨と付き合っていかなければいけない人間の学習機会なのだ。この機会に、きちんと話して欲しい。今りすくがあるならきちんと開示して欲しい。

それができた取引所こそ、選ばれるべきだと思う。

 

===それができた取引所こそ、選ばれるべきだと思う。===

 

そして我々も、その取引所の言葉を真摯に聞き、理解しなければいけない。理解が進むから仮想通貨の可能性は広がるのだ。

 

追記(2018/1/30)

私から関係者への提案を書いてみました。