Zaif（ザイフ）で67億円の盗難。自分でできるハッキング対策

2018年9月20日にZaifが発表を行い、9月14日に仮想通貨が盗難されたことを明らかにしました。

事件の内容と影響をまとめます。

また、コインチェック事件も経験した自分の経験を踏まえ、我々ユーザーが取れる対策をまとめました。

なお、最初はコインチェック事件の再来で市場も冷え込むのでは、と思いましたが、今回は影響はひじょうに小さくて済みそうです。
理由は、今回は「日本円出金と仮想通貨売買が停止されていない」ためです。

Zaifで起きた事件

テックビューロ株式会社が運営する仮想通貨取引所Zaifで、不正アクセスにより、ビットコインなどの仮想通貨が盗難されました。

Zaifからの発表
仮想通貨の入出金停止に関するご報告、及び弊社対応について

盗難の発生時期

盗難が発生したのは2018年9月14日17〜19時。

発表はそこから丸5日以上かかり、9月20日2時15分に発表されました。

盗難にあった対象

盗難にあったのは入出金用のホットウォレットで管理していた、ビットコイン（BTC）、モナコイン（MONA）、ビットコインキャッシュ（BCH）。

Zaifで扱っているその他の通貨は、被害にあわなかったようです。

盗難の手段

手段は外部からの不正アクセス。
当該ホットウォレットがハックされ、外部に不正送金されたとのこと。

具体的な手法は「本件が犯罪事件であり、既に捜査当局に被害申告をして捜査を依頼していることや、今後の同種犯行を予防するため」好評を差し控えるとのこと。

盗難された金額

盗難された仮想通貨は約67億円相当。

1月26日に起きたコインチェック事件では、580億円相当が盗難されたため、規模としては1桁下がります。

また、コインチェック事件のときは、盗難された通貨はNEMだけだったものが、今回はビットコイン、モナコイン、ビットコインキャッシュと3種類だったことが違います。

盗難された資産の内訳

盗難された仮想通貨67億円相当の内訳は、ユーザーの資産が約45億円、Zaif自身の資産が約22億円。

また通貨別では、ビットコインが5,966BTC（約42億円。1BTC=71万円換算）、モナコイン・ビットコインキャッシュは調査中とのこと。

「Zaif自身の資産をホットウォレットに入れている」という点が気になりました。
取引業以外に、自己資金での売買で利益を出すといった業務を行っているのでしょうか。

サービスの状況

現時点でのZaifのサービスの状況です。
※2018年9月20日時点

• 仮想通貨の入出金ができない
• 仮想通貨の売却・購入は可能。日本円の出金は可能

Zaifに仮想通貨を持っていたとしても、売却して、日本円として出金することで、Zaifから引き上げることは可能です。

コインチェック事件のときには、日本円の出金も停止され、仮想通貨の売買もできなくなりました。
そのため、コインチェックユーザは日本円が戻るかも分からないなか、仮想通貨の値段が下がっても見ているだけ（売ることができない）という状態になりました。

今回はそのような状態にはなっていません。

ビットコインを売却し日本円を出金してみた

わたしはZaifにビットコインを持ってたので、売却して出金してみました。

9月20日9時6分に問題なく売却できました。
ただシステム負荷が高いのか「成行」注文はできず、「指値」のみ注文が可能でした。

その後、Zaifからの日本円の出金手続きもできました。
2日後に銀行に振り込まれる予定です。

ユーザーへの対応

テックビューロ社からの発表で、ユーザーへの対応方針が記載されています。

• ユーザ資産に被害が及ばないようにする予定
• そのためにフィスコグループから50億円の支援を受ける予定

コインチェック事件のときと同様に、取引所が盗難された分を補償するとのこと。

コインチェック事件と違うのは、外部から金銭的な支援を受けるということ。
現在は市場が冷えているので、キャッシュが潤沢ではないのかもしれません。

体制の変更

以下を目的として、投資情報提供企業のフィスコグループと、システム開発企業カイカと、基本契約を締結したとのこと。

(1)消失したお客様の預かり資産に相当する財産の提供
(2)セキュリティ向上のための技術・人員の提供
(3)経営基盤の向上のための資本提携、経営陣の派遣、資本の強化

• フィスコグループと、金融支援、株式の過半取得、取締役・監査役の派遣を検討するための基本契約を締結
• システム開発企業「カイカ」と、セキュリティ向上の技術提供のための基本契約を締結

市場への影響

ビットコイン相場への影響は、短期的には小さいものでした。

事件の発表から2時間かけて、▲3％下落。
しかしその後、急反発して、発表から2時間ちょっと経ったころには、発表前の水準より高くなってしまいました。

下落幅がほんの少しで、しかもすぐ戻したのは、Zaifがコインチェックのときとは違い、日本円の出金停止や仮想通貨の売買停止をしなかったため、と思います。

前述の通り、1月のコインチェック事件のときには、日本円の出金も停止され、仮想通貨の売買もできなくなりました。
そのため、コインチェックユーザは日本円が戻るかも分からないなか、仮想通貨の値段が下がっても見ているだけ（売ることができない）という状態になりました。

コインチェックから無事出金！ついにロックアップ解除！どうも、2018年1月26日のコインチェックのNEM盗難事件時に200万円分ほど預けていてロックアップされたねなとうです。 1か月...

それを受け、直前まで過熱気味だった市場は一気に冷え込み、そこから仮想通貨相場の低迷は今でも続いています。

今回は、Zaifで仮想通貨を持っていたとしても、すぐに売って日本円で引き出せるので、スムーズに取引所を移行することができます。

それにより相場の下落は限定的になると思います。

我々ユーザーが取るべき対策

このような事件を避けるために、我々ユーザが取れる対策はあるのか。

コインチェック事件に巻き込まれた経験も踏まえ、考察します。

二段階認証はマスト

今回の事件には無関係ですが、前提として自分のアカウントが乗っ取られないようにしておきましょう。

具体的には2段階認証を設定しておくこと。

これにより、たとえ自分のID・パスワードが盗まれたとしても、一緒に二段階認証アプリなどを入れたスマホを盗まれない限り、仮想通貨を不正送金されることを防げます。

二段階認証アプリを2台のスマホに設定しておけば、スマホを壊したり無くしても大丈夫最近セキュリティを高めるために、ログインIDとパスワード入力の他に、スマホアプリに表示されるワンタイムパスワードの入力を必須にできるサー...

資産は複数の取引所・ウォレットに分散する

ただ、今回のような取引所へのハッキングに対し、我々ユーザが取れる対応は、あまりありません。

銀行への預金でいえば、二段階認証の設定は「キャッシュカードを厳重に管理する」ことになります。
今回の事件は、「銀行強盗が入り、銀行のお金を盗んでいく」ことにあたります。
それに対して我々ができるのは、せめて複数の銀行に分けたりタンス貯金をするくらい。

仮想通貨は、複数の取引所や、ソフトウェアウォレットやハードウェアウォレットに分散させて保管しましょう。

わたしは、コインチェック事件のときに、コインチェックしか使っておらず、痛い目にあったため、4つの取引所を使っています。

仮想通貨は、このようなリスクがあると認識して、それでも取引するか決める

身もふたもないですが、仮想通貨を取引するなら、今後も今回の事件のようなことは起こることを覚悟しましょう。

また、コインチェックやZaifの事件の場合、取引所が盗まれたユーザの仮想通貨を補償することになりましたが、マウントゴックスのように取引所が破綻してしまい戻らないことも起こりえます。

まだ歴史が浅く、何が起こるかわからない仮想通貨の世界。
それでも、そこに飛び込むならできるだけの防御をして、あとは覚悟を決める必要があります。

そして最後にだいじなのは、仮想通貨に回す資産は、無くなっても諦めがつく金額にしておくこと。
そうしないと神経がすり減ります。

この事件を踏まえて、取引所選びをもう一度考えました。

初心者におすすめの仮想通貨取引所2選。その理由は？2018年9月加筆修正しました。 ※この記事を読むのにかかる時間：約3分 わたしは、2018年1月のコインチ...

付随する課題

さらに気になるのは以下の点ですが、おいおい調べていきます。

• 他の取引所は大丈夫か
• なぜ防げなかったのか
• コインチェック事件の経験は生かされなかったのか
• なぜ発表まで丸5日かかったのか
• なぜZaifは9月18日に事実と異なるツイートを流してしまったか
• なぜZaifからの発表は深夜の2時15分だったのか
• 今後、業界を横断した再発防止の対策はとれるのか