NEM580億円流出事件 専門家は「犯人は逮捕されず、換金も成功」の完全犯罪を懸念

社会2018年3月12日掲載

  • 共有
  • ブックマーク

2月下旬までに約170億円を洗浄?

 ご存知の通り、まだ犯人は逮捕されていない。仮想通貨「NEM(ネム)」の巨額流出事件だ。原点は1月26日。マスコミは事件を大きく報じた。時系列を表で振り返ってみよう。

 ***

 2月に入り、5億円の交換で始まったものが、あれよあれよという間に174億円まで膨れあがっていく。これを一瞥するだけでも完全犯罪の懸念が払拭できない――そんな読者は決して少なくないだろう。

仮想通貨の流出は「ゴックスする」

 中島氏は1958年生まれ。一橋大学法学部を卒業し、日本銀行に入行。金融機構局、国際決済銀行(BIS)などを経て、現職は麗澤大学経済学部教授。決済システムの専門家として知られ、『アフター・ビットコイン』には、何と日銀時代に「電子現金」の研究に携わったとの秘話が明かされている。

 このライブトークのうち、NEMの流出事件に関わる部分だけを、抜粋してお伝えしたい。中島氏の発言や質疑応答では若干の編集を行った。

中島真志氏(以下、中島) 実はコインチェック社の記者会見は、テレビで見ておりました。「大変だなあ」という印象だったのですが、週が明けたら、あらゆる新聞、テレビ、雑誌など、様々なマスコミの皆さんから取材を受けました。その時、いくつかのことを申し上げたのですが、ここでもお伝えしたいと思います。

 まず、日本のマスコミ報道についてなのですが、2014年2月にマウントゴックス社のビットコイン消失事件が発生し、そして今回、コインチェック社でもNEM流出事件が起きましたという、やや短絡的な報道となっています。

 しかし、実際には2014年以降、海外の取引所では数多くの流出事件が発生しています。そのため、仮想通貨が流出することを「ゴックス(GOX)する」という隠語で表現するほどです。

 そういう「ゴックス(GOX)した」という海外ニュースを、しばしば目にしていました。私は「日本でも危険性があるかな」と思う一方で、「日本人は何事もしっかりやる人が多いから大丈夫かな」と考えたりしていたのですけど、コインチェック社は相当に杜撰な管理だったことが明らかになっています。

あまりに多い投資者の数

中島 報道でご存じの方も多いと思いますが、インターネットに接続した状態で、ホットウォレット(編集部註:インターネットに繋がっていて、いつでも入出金が可能な状態)で保管していた。これはハッキングしてくださいと言わんばかりの状態だったわけです。さらにマルチシグ、つまり管理に必要な「秘密鍵」を複数作っておくこともやっていませんでした。

 また、これはマスコミがあまり指摘しなかったのですが、580億円分もの巨額NEMを1つのウォレットに入れて管理していたというのは、到底信じられません。仮想通貨の世界では個人でも何千万円分とか何億円分とかの通貨を所有している人がいますので、その場合には、複数のウォレットに分けて管理することが推奨されています。

 それがプロの業者であるにもかかわらず、コインチェック社は580億円分という巨額のNEMを1つのウォレットに入れたままにしていました。これは同業者からも驚きの声が上がるほど杜撰な管理でした。私が最初に驚いたことは、この杜撰さです。

 次に驚いたのは、被害者が26万人もいるということです。(昨年)12月に日本国内の取引所におけるユーザー数が100万人を越えたという報道がありました。その時、私は100万人という数字にもびっくりしたんですね。

 ところがNEMを保有していたのは26万人。NEMは相当にマイナーな通貨で、事件当時の時価でも10位ぐらいでした。時価総額でビットコインの5%ぐらいの規模しかありませんでした。そもそもNEMという名前を、今回の事件で初めて知ったという方も多いでしょう。

 確かに分散投資はセオリーです。とはいえ、ビットコイン以外に投資するとしても、普通はEthereum(イーサリアム)とかRipple(リップル)、Bitcoin Cash(ビットコインキャッシュ)といったところではないかと思います。

 ところが実際には、第10位の仮想通貨に26万人も投資をしていた。もし100万人が母数だとすると、4人に1人が相当にマイナーな通貨に自己資金を投じていたことになります。これが、私が2番目に驚いたことです。

取引高は月に3兆円

中島 そして最後に驚いたのは、NEMを保有していた顧客に対し、コインチェック社が「返金します」と発表したことです。460億円を返金しますと発表しました(編集部註:「コインチェック、来週中めどに返金 26万人466億円」(朝日新聞電子版/3月8日)。

 昨年の12月に、韓国の仮想通貨取引所の「ユービット(Youbit)」がハッキングされ、数十億円の被害額で即座に破産を申請しています。数十億円で破産申請なら、580億円分の流出では当然生き残れないだろうという第一印象を持っていたので、返金のニュースに驚いたのですね。

 そこで、まずコインチェック社の自己資本を調べました。どれくらいあるのかと思ったら、1億円もないんです。これで流出した580億円を返せるはずはないのですが、さらに精査していくと、コインチェック社の12月の取引高が3兆円だったことを知りました。

 顧客が売買を行った際に、取引所が加算する手数料を「スプレッド(Spread)」と呼びます。これを仮に2%とすると、3兆円の2%ですから600億円の粗利益になります。もちろん、ここから人件費やシステム費を捻出するわけですが、それにしても理論的には、1カ月の稼ぎで賠償費用を賄えるわけです。

 NEMよりさらにマイナーな通貨には、8%とか10%とか、通常では考えられないスプレッドの設定になっていたようです。こうした仮想通貨は値上がり率も高く、すぐに投資額が何倍にも膨れ上がっていきます。このため、8%の手数料を取られても、顧客は文句を言わないのです。

 結局、「月に3兆円の売上があり、手数料収益も相当な額にのぼるから、顧客への返金は可能らしい」という話になりました。すると、それを聞いた人たちが「そんなに儲かるなら、うちもやろうじゃないか」と動き、今、100社ぐらいの業者が金融庁への申請を準備しているようです。

「イケイケドンドン」だったコインチェック社

中島 日本では既に登録業者が16社、みなし業者が16社あります。32社にプラス100社で132社になるわけですが、そんなに日本に仮想通貨事業者が必要なのかという話ですよ。世界全体でも190社ぐらいなんです。

 実は、私のところにも話が来たんです。「外資系の仮想通貨事業者が日本に進出したいんだけれど、日本の代表になってくれる人を知らないか?」と質問があり、「心当たりはありません」と答えたんです。

 すると向こうは、すぐに「中島さん、日本代表になってくれませんか?」と依頼してくるんですね。これを引き受けて、もし流出問題が起きると、私も記者会見で謝罪しなければなりませんので、丁寧にお断りしました(笑)。

 それに伴って、当然、取引高が増え、サーバーも増強しなければなりません。カスタマーサービスの担当者も増員しなければなりません。そして、それらの対策が喫緊の課題になり、セキュリティ対策は二の次になっていたようです。

 さらに同社には、金融機関としてのカルチャーが存在しなかったのではないでしょうか。取引所は顧客から現金や仮想通貨などを預かっていますから、広義にとらえると金融機関です。だからこそ金融庁が監督しているわけですが、謝罪会見で頭を下げていたトップ2人はITの技術者で、銀行や証券会社に勤務していた経験はありません。そのためか、どうも一部のIT企業とかベンチャー企業に見られる「イケイケドンドン」なノリで会社を経営していたのではないかという印象を持っています。

もともと仮想通貨は匿名性が高い

中島 コインチェックの預かり資産は、日経が「数千億」と書いたほか、6000億円という指摘もあります。これが事実だとすると、小さな地銀ぐらいの資産額です。これをわずか70人で保管しているわけです。

 しかも、半分以上は顧客対応や営業担当でしょう。そうなると、本当にセキュリティやシステムを担当していたのは、ほんの一握りの人間ということになります。そういう会社が、「まずは取引量への対応を優先しよう、利便性を高めよう」とイケイケドンドンのカルチャーで邁進し、肝心の安全性をなおざりにしてきた結果なのかな、と考えております。

 さて、私からの話はこれくらいにして、あとは皆さんからの質問にお答えしたいと思います。

質問者1 犯人が見つかる可能性は、あるのでしょうか?

中島 これまでにも色々な取引所がハッキングされましたが、犯人が捕まったことはありません。仮想通貨は匿名性が高いことが特徴の1つです。犯人が何か致命的なミスを犯すとか、自分の名義を登録しているところへ不用意に資産を入れるといったことをしない限りは見つからないと思います。

 NEM財団がウォレットにマーキングを行っているということですが、たとえ印を付けても、誰のウォレットかということは分かりません。となると、取り戻すこともなかなか難しいのではないかと思います。

 ただ、今回の事件を注視していますと、犯人が割にあたふたした感じで動いているんですね。もし組織的な犯行グループが行ったとしたら、もう少しじっくり待つと思います。報道が落ち着くのを待ってから換金するという具合だったはずですが、コインチェック社の事件では犯行の翌日から様々な偽装工作に手を染めています。こうしたことから、私は単独犯、個人による犯行という印象が強いですね。

質問者2 犯人は換金して利益を得られるか否か、教えてください。

中島 犯人はダークウェブみたいなところでNEMと他の仮想通貨を交換していると報道されています。正式な交換所では本人確認を行っているので、犯人は接近できません。そのために闇市場のような場所で15%割引といった条件で売るわけですが、報道が事実なら、そうした条件なら買う人がいる、売買が成立するということが明らかになりました。となると、さらに換金は進み、犯人は利益を手にするのではないかと思っています。

 流出事件に関する質疑応答は、これで以上である。犯人が逮捕されないとの指摘に、1968年の「三億円事件」を思い出した方もおられるだろうか。

 あの事件に今でも高い関心が寄せられるのは、誰も傷つけず、鮮やかに盗み出した手口も大きい。そしてNEMの流出事件でも、犯人は誰ひとり怪我をさせず、完璧に盗み出した。似た犯罪であるにもかかわらず、こちらは不気味な印象が強い。仮想通貨の胡散臭いイメージが影響しているのかもしれない。

週刊新潮WEB取材班