事業者も利用者も仮想通貨取引のリスクを認識して両者とも対応することが大事
今回のコインチェックのXEM盗難で、利用者保護を犠牲にして広告にお金をつぎ込んでいたとか、利用者は自分で自分を守るべきなど両極端な意見が色々出てきていると思います。
ただ、どちらが言っている事ももっともな部分はありつつも、前提となる業界知識やブロックチェーンへの理解が全く異なるので議論がまとまるのは難しいと思いました。なので簡単にまとめました。
1)今回起こったことについて
・セキュリティが甘かった??
確かに金融機関や既存の一般的な金融取引をしている方々から見ると、
580億円相当の顧客資産が盗まれたというのは前代未聞の強盗ですし、
また、セキュリティへの投資が少しおろそかになったと聞くとありえないと思うと思います。
銀行や証券と違ってカウンターパーティリスクが高すぎると。
ただ、仮想通貨のセキュリティというのはお金や人を当てればなんとかなるというものではなく、早急に対応するのが難しかった側面があります。
技術的な難しさについては以下の投稿が参考になると思います。ただ、これにも間違ってますよとの技術的な専門家からの指摘もあり、このレベルの人たちでこういう話になるという事はそれを理解しているエンジニアなんてそうそういないという事です。
さらにそのような人材がいなくて難しかっただけではなく、そもそも取引所はハッカーに常に狙われ続けており、今回コインチェックがなぜ狙われた?というのはナンセンスで、全部の取引所がいつも狙われていますと。
この点は下記の投稿が参考になります。
つまり、セキュリティはもちろん多額に投資(人材配置と教育)をしておりながらもコインチェックは被害に遭ってしまいました。もちろん、そのような技術者を雇うまたは育てる前にXEMを取り扱っていたことについてはコインチェックに落ち度があると思います。
ただし、ただでさえ最新テクノロジーの世界なのでエンジニア不足はまだまだ続くと思われます。
ちなみに、金融機関と比べて今回の事件がありえないほどの規模だったのかというと全くそんなことがないんです。実は。
世界的に有名な銀行でもコンプラ違反や不正な取引を行って、その罰金として毎年数百億円から数千億円のロスを出していたりします、、、
これは預かり資産ではなく、金融機関の自己資産の流出ですが、預かり資産について信託などで倒産隔離していなかったら、預かり資産でも自己資産でも毀損した場合の利用者への影響は同じです。
なので、既存の金融機関と比較しても同じレベルに資産のロスを出すようになったことの方が実は驚異的な事実なんですよね。ついこの前まで無視できる規模だったのに。
・コールドウォレットやマルチシグを使えば全て解決?
一部の報道でこれをしていなかったから盗まれたかのような報道がありますが、実際はどうなんでしょうか。
仮想通貨の移動(送金)は秘密鍵があれば実施できます。そのため、外部からの攻撃の対策としてはやはり秘密鍵をオフライン環境に置くコールドウォレットの方がオンライン上で管理するホットウォレットより強固なのは間違い無いでしょう。
マルチシグについては、複数の署名がないと送金が実施できないので、シングルシグと比べると強固ですが、オンライン環境においてある場合は秘密鍵を保管するコンピュータに侵入され盗まれてしまえば当然に意味はないです。マルチシグはどちらかというと内部犯の防止に約立ちやすいのかなと思います。内部の人間であれば、外部からよりは秘密鍵を盗みやすい立場にありますが、複数の鍵で管理することで内部でも容易には盗めなくなります。
ただし、コールドウォレットやマルチシグなどは仮想通貨の種類ごとに実装の仕方が異なったり、そのコールドウォレットのコンピュータを権限のある人しか入れない部屋に設置したり、入退室を常時管理したりなどコストが大幅に増えることになります。
サービスの利便性とセキュリティはトレードオフでその最適化が常に難しいです。コインチェックはユーザーフレンドリーを売りにしていただけあって、特にこのバランスが難しかったんでしょう。ちなみにビットフライヤーの登録を仮想通貨素人の友達と一緒にやってあげたら難しいと言われました、、、んーUIUXは難しいですねー
このコールドウォレットとマルチシグについては下記のビットバンクの方針やTechwaveでの杉井さんの記事が参考になります。
・まとめると
今回の1番の問題点としては、技術的な難しさがある中で、XEMを取り扱い、それをよくわかってない方々に売ってしまったことだと思います。
2)ではどんな規制がいいのか
・規制が甘かった?
新しい業界なので、規制や自主規制ルールが間に合うわけもないのも事実で、株式やFXの業界も酷い有様だったところから長い年月を経て今の規制が出来上がってます。なので一足飛びに仮想通貨業界が甘すぎるというのは難しいと思います。
ただ、現状を説明しますと、
仮想通貨といってもビットコインなど一部の仮想通貨以外は発行会社や団体があります。しかしながらこれらの会社等は資金調達時にホワイトペーパーと呼ばれる事業計画や技術説明の書類を公開したり、SNSなどで進捗を報告したりしているだけで財務諸表のようなものは一切公表されていません。
つまり、未上場株式がとんでもなく流通してしまっているような状態です。それよりもカオスな状況かもしれません。
・どうするのが良いのか
上記の状況を踏まえると、
業界団体や仮想通貨取引所が業界の課題として、セキュリティや利用者保護を強化していかなければならないのは明らかです。
しかし、規制等は追いつかない部分もありますし、既存の金融と違ってオンライン上で価値を動かせるので、ハッキングによるリスク(カウンターパーティーリスク)は100%なくなるということはありません。
なので、利用者側も勉強してリスクを理解した上で、自分で防衛していくことも大事だと思います。
・例えばこんな規制
利用者の制限;未上場株式すら購入することは所得やリテラシーなどで制限されている(機関投資家に限るなど)ので、少なくとも発行会社のある仮想通貨については買える人を制限するのはありかもしれません。
利用者が自分で管理する:取引所を使う場合は2段階認証をマストで設定する、ログインパスワードを安易なものにしない、そもそも多額に取引所に預けない、ハードウェアウォレットで保管する
セーフティネット;技術・セキュリティを高めても100%安全にはならないため、既存の金融業界のようにより多額の資本金規制や供託・信託による資産保全を行って何かあった際に備える。
セキュリティ規制の厳格化;コールドウォレットやマルチシグなどのセキュリティ標準を業界として作って各社に遵守してもらう、コードレビュー、セキュリティーの外部監査を必須にする、仮想通貨の種類ごとに専門的なエンジニアを配置する(できない場合はその通貨を取り扱えない)
色々考えられると思いますが、今の時代の若者が一攫千金できるという可能性が規制によってなくなるのも悲しいですし危ないから規制して禁止とかではなくて、私としてはリスクとリターンを利用者が理解して、基本的には自己責任の原則で投資できる環境に整備していく方向が良いと思っています。(もちろんある程度のセーフティネットや業界規制は前提として)
何れにしてもツイッター上ので強い言葉と罵倒し合うのではなく、両者が学んで気をつけて、業界を発展させていくのが良いのではないでしょうか?