弁護士法人 モノリス法律事務所03-6262-3248平日10:00-18:00(年末年始を除く)

法律記事MONOLITH LAW MAGAZINE

IT・ベンチャーの企業法務

暗号資産(仮想通貨)に関するセキュリティ対策とは?3つの流出事案とともに解説

暗号資産

暗号資産(仮想通貨)に関する取引を安全に行うためには、十分なセキュリティ対策が行われていることが極めて重要といえます。サービスの利用者の立場から考えると、セキュリティ対策が十分でない暗号資産に関するサービスについては、怖くて利用することができません。

そこで、本記事では、暗号資産に関するサービスを提供している事業者の方を対象に、暗号資産に関するセキュリティ対策を紹介します。

暗号資産(仮想通貨)のセキュリティ対策の重要性

暗号資産のセキュリティ対策の重要性について

暗号資産に関するサービスを提供している事業者にとっては、セキュリティ対策が極めて重要といえます。

例えば、ハッカーなどからのサイバー攻撃により、システムに障害が発生してしまうと、暗号資産に関する取引を行うことができなくなり、サービスの利用者が行っている暗号資産の取引に大きな影響が出てしまう可能性があります。

また、暗号資産に関するサービスの内容によっては、事業者が、利用者の暗号資産を管理するというケースもあります。セキュリティ対策が十分になされていないと、サイバー攻撃により、利用者の暗号資産が流出してしまうケースも考えられます。

さらに、暗号資産については、インターネットを介した取引が行われるため、国境を越えた取引が行われることになります。国境を越えて、暗号資産が流出してしまうと、もはや追跡が困難となる可能性もあります。

そのため、暗号資産に関するサービスを提供する事業者としては、サービスの安全性を保証することにより利用者保護という側面と、サイバー攻撃等からシステムを守ることにより利用者に対する損害賠償義務を回避するという側面等から、暗号資産のセキュリティ対策が極めて重要といえます。

暗号資産流出事案から学ぶセキュリティ対策の重要性

暗号資産流出事案について

暗号資産の流出については、過去に、多くの事案が発生しています。

暗号資産流出事案を知ることにより、暗号資産に関するセキュリティ対策がいかに重要かということを学ぶことができますので、以下では、日本で発生した3つの流出事案を紹介します。

コインチェック株式会社の暗号資産流出事案(2018年1月)

コインチェック株式会社の暗号資産流出事案は、2018年1月26日に発生しました。

事案の概要としては、コインチェック株式会社が運営している暗号資産取引所であるCoincheckにおいて、管理されていたサービス利用者の暗号資産であるネム(NEM)が、Coincheckのシステムへのハッキングによって、流出してしまったという事件です。

被害総額は、約580億円といわれており、被害額が高額であることから、事件が大きく報道されました。また、日本国内だけでなく、海外でも、このコインチェック株式会社の暗号資産流出事案は話題となりました。

このコインチェック株式会社の暗号資産流出事案の原因は、Coincheckのセキュリティ対策の甘さといわれています。

Coincheckは、インターネットに接続されているウォレットであるホットウォレットを使用しており、20分ほどで約580億円のネム(NEM)が流出しました。

セキュリティ対策としては、一般的に、インターネットに接続されていないウォレットを意味する「コールドウォレット」の方が優秀であるとされています。

コインチェック株式会社は、利用者に対し、補償を行いましたが、報告徴収、業務改善命令及び金融庁による立入検査等の行政処分を受けるという事態にまで発展しました。

参考:金融庁「コインチェック株式会社に対する行政処分について」

なお、ウォレットの種類や法規制については、下記の記事で詳しく解説しています。

関連記事:NFTの取引に必要なウォレットとは?日本における法規制について解説

テックビューロ株式会社の暗号資産流出事案(2018年9月)

テックビューロ株式会社の暗号資産流出事案は、2018年9月14日に発生しました。

事案の概要としては、外部からの不正アクセスによって、テックビューロ株式会社が運営していた暗号資産取引所であるZaifから、管理されていた暗号資産約70億円が流出したという事件です。

約70億円のうち、約45億円分がサービス利用者の暗号資産でした。

テックビューロ株式会社の暗号資産流出事案についても、コインチェック株式会社の暗号資産流出事案と同様、インターネットに接続されているウォレットであるホットウォレットによって暗号資産が管理されていました。

このテックビューロ株式会社の暗号資産流出事案により、テックビューロ株式会社は、3度にわたり、金融庁から業務改善命令を受けることになりました。

参考:金融庁「テックビューロ株式会社に対する行政処分について」

テックビューロ株式会社は、2018年11月に、暗号資産取引事業である「Zaif」を譲渡しており、暗号資産交換業者の中では初めて暗号資産交換業を廃止することとなりました。

株式会社ビットポイントジャパンの暗号資産流出事案(2019年7月)

株式会社ビットポイントジャパンの暗号資産流出事案は、2019年7月11日に発生しました。

事案の概要としては、株式会社ビットポイントジャパンが運営する暗号資産取引所であるBITPOINTから、暗号資産約35億円分が流出したという事件です。

流出した約35億円分の暗号資産の内訳については、約20億円分がサービス利用者の暗号資産でした。

この株式会社ビットポイントジャパンの暗号資産流出事案についても、前述の暗号資産流出事案と同様、インターネットに接続されているウォレットであるホットウォレットによって暗号資産の一部が管理されていました。

BITPOINTは、流出したサービス利用者の暗号資産約20億円分の補填を行いました。

セキュリティ対策の概要

セキュリティ対策の概要

前述の暗号資産流出事案のように、一度、暗号資産の流出が発生すると大きな損害や影響が発生することになります。また、流出した暗号資産の補填だけでなく、レピュテーションリスクの問題もあります。

これらの問題を回避するためには、しっかりとしたセキュリティ対策を行うことが重要になります。

「暗号資産交換業者に関する内閣府令」では、第13条において、以下のように規定されています。

第十三条 暗号資産交換業者は、その行う暗号資産交換業の業務の内容及び方法に応じ、暗号資産交換業に係る電子情報処理組織の管理を十分に行うための措置を講じなければならない。

また、金融庁は、「第三分冊:金融会社関係」を公表しており、「16 暗号資産交換業者関係」の59頁以下で、以下のように、具体的な項目が定められています。

⑸ サイバーセキュリティ管理
① サイバーセキュリティについて、取締役会等は、サイバー攻撃が高度化・巧妙化していることを踏まえ、サイバーセキュリティの重要性を認識し必要な態勢を整備しているか。
② サイバーセキュリティについて、組織体制の整備、社内規程の策定のほか、以下のようなサイバーセキュリティ管理態勢の整備を図っているか。
・ サイバー攻撃に対するモニタリング体制
・ サイバー攻撃を受けた際の報告及び広報体制
・ 組織内 CSIRT(Computer Security Incident Response Team)等の緊急時対応及び早期警戒のための体制
・ 情報共有機関等を通じた情報収集・共有体制 等
③ サイバー攻撃に備え、リスクベースで入口対策、内部対策、出口対策といった多段階のサイバーセキュリティ対策を組み合わせた多層防御を講じているか。
・ 入口対策(例えば、ファイアウォールの設置、抗ウィルスソフトの導入、不正侵入検知システム・不正侵入防止システムの導入 等)
・ 内部対策(例えば、特権 ID・パスワードの適切な管理、不要な ID の削除、特定コマンドの実行監視、本番システム(サーバー間)のセキュア化(パケットフィルタや通信の暗号化)、開発環境(テスト環境含む。)と本番システム環境のネットワーク分離、利用目的に応じたネットワークセグメント分離 等)
・ 出口対策(例えば、通信ログ・イベントログ等の取得と分析、不適切な通信の検知・遮断 等)
④ サイバー攻撃を受けた場合に被害の拡大を防止するために、以下のような措置を速やかに実施する態勢を整備しているか。
・ 攻撃元の IP アドレスの特定と遮断
・ DDoS 攻撃に対して自動的にアクセスを分散させる機能
・ システムの全部又は一部の一時的停止 等
また、影響範囲の確認や原因究明のためにログ保全やイメージコピー取得など事後調査(フォレンジック調査)に備えた手順を整備しているか。
⑤ 脆弱性及び脅威情報の定期的な情報収集・分析・対応手順を明確に定め、組織的に実施しているか。
また、システムの脆弱性について、OS の最新化やセキュリティパッチの適用など必要な対策を適時に講じているか。
⑥ サイバーセキュリティについて、第三者(外部機関)のセキュリティ診断(脆弱性診断、ソースコード診断、ペネトレーションテスト等)を活用するなど、セキュリティ水準の定期的な評価を実施し、セキュリティ対策の向上を図っているか。
また、国内外でサイバーセキュリティ侵害事案が発生した場合には、適宜リスク評価を行っているか。
⑦ インターネット等の通信手段を利用した非対面の取引を行う場合には、例えば、以下のような取引のリスクに見合った適切な認証方式を導入しているか。
・ 可変式パスワードや電子証明書などの、固定式の ID・パスワードのみに頼らない認証方式
・ 取引に利用しているパソコン・スマートフォンとは別の機器を用いるなど、複数経路による取引認証
・ ログインパスワードとは別の取引用パスワードの採用 等
⑧ インターネット等の通信手段を利用した非対面の取引を行う場合には、例えば、以下のような業務に応じた不正防止策を講じているか。
・ 不正な IP アドレスからの通信の遮断
・ 利用者に対してウィルス等の検知・駆除が行えるセキュリティ対策ソフトの導入・最新化を促す措置
・ 不正なログイン・異常な取引等を検知し、速やかに利用者に連絡する体制の整備
・ 前回ログイン(ログオフ)日時の画面への表示 等
⑨ サイバー攻撃を想定したコンティンジェンシープランを策定し、訓練や見直しを実施しているか。また、必要に応じて、業界横断的な演習に参加しているか。
⑩ サイバーセキュリティに係る人材について、育成、拡充するための計画を策定し、実施しているか。

上記のとおり、暗号資産交換業者がとるべきセキュリティ対策について、具体的かつ詳細に定められています。そのため、暗号資産に関しては、法令や金融庁の指針をよく確認し、これらの項目に沿うセキュリティ対策が実施できているかを確認することが重要となります。

また、暗号資産交換業者には、セキュリティ対策の他にも、さまざまな規制が課せられています。以下の記事にて詳しく解説していますので、ご参照ください。

関連記事:カストディ業務とは?暗号資産交換業者に対する規制について解説

まとめ:ブロックチェーンゲームの法律的な問題点についてのご相談は弁護士へ

以上、本記事では、暗号資産に関するサービスを提供している事業者の方を対象に、暗号資産に関するセキュリティ対策を紹介しました。

暗号資産に関する十分なセキュリティ対策を行うためには、十分なセキュリティ対策を行うことができる組織作りも重要になります。

そのため、暗号資産に関するセキュリティ対策をお考えの事業者の方は、まずは、ITと法律の両方の分野の専門的な知識を有する弁護士に相談し、法令や指針に沿った十分なセキュリティ対策を行うことができる体制作りを行うことをおすすめいたします。

当事務所による対策のご案内

モノリス法律事務所は、IT、特にインターネットと法律の両面に高い専門性を有する法律事務所です。当事務所は暗号資産やブロックチェーンに関わるビジネスの全面的なサポートを行います。下記記事にて詳細を記載しております。

弁護士 河瀬 季

モノリス法律事務所 代表弁護士。元ITエンジニア。IT企業経営の経験を経て、東証プライム上場企業からシードステージのベンチャーまで、100社以上の顧問弁護士、監査役等を務め、IT・ベンチャー・インターネット・YouTube法務などを中心に手がける。

シェアする:

TOPへ戻る