[02] zaifハッキング流出事件 <暗号資産ハッキング探偵>

  • このエントリーをはてなブックマークに追加
Zaifに関する情報
取引所名 Zaif 取扱通貨数 3
開始時期 CEO名
所在地(登記地) JPN リファラル報酬率
リファラル期間 日本人対応
Zaif 還元/配当情報
償却(=バーン)周期 償却(=バーン)対収益償却率
通貨支給:周期 通貨支給:対収益還元率
配当額総計 0 1枚あたり配当額 0
ZAIF TOKEN 独自トークン
シンボル ZAIF 正式名称 ZAIF TOKEN
現在価格 円 ($) 取引量(24h) 円 ($)
カテゴリ 対応取引所数 1.00000
TVR[?] 0.0000 最大発行枚数
循環供給枚数

暗号資産取引所(仮想通貨取引所)の「Zaif(ザイフ)」が金融庁から度々業務改善命令が出されていたのはご存知の通り。

脆弱なサーバー、度重なる不正出金被害など運営に対する「リスクが高い」という見方はハッキング事件以前から強く、『やっぱり起こってしまったか』という諦めに近い感想がSNSなどで多く呟かれました。
今回は仮想通貨取引所Zaif(現在はFISCOに統合)の64億円ハッキング流出事件を振り返りたいと思います。

事件概要

取引所名 zaif(ザイフ)
取引所の本拠地 大阪府大阪市西区靱本町(事件当時のテックビューロ本社)
原因 外部からのハッキング
被害にあったユーザー数 73万人(Zaif に開設済みの個人口座数)
被害にあった仮想通貨種類と数量 BTC 5966.1
MONA 623万6810.1
BCH 4万2327.1
被害総額 約67億円

Zaifは日本で最初期にできた仮想通貨取引所ですが、元々はetwingsという仮想通貨取引所を、テックビューロ株式会社が買収してZaifが始まったことはあまり知られていません。

Zaifは既存の金融業界とは縁もゆかりもない、ITテクノロジー関連の人材によって運営がされていたため、ある意味「仮想通貨の自由を象徴する仮想通貨取引所」ともいうことができました。

取引手数料無料、取引所独自の「Zaifトークン」のリリースなど目玉となるサービスに加え、国内では最多となる18の仮想通貨銘柄、国内最大量のモナコインの取引を誇るなど、常に仮想通貨取引所のトップ集団を走ってきた印象があります。

しかし、その一方で運営の不透明さ、顧客に対する真摯さのかける対応、システムのトラブルの多発が改善されず、金融庁からも目をつけられていました。仮想通貨の自由の象徴でもあったZaifは事件後、大手金融グループであるFiscoに買収され、テックビューロ社は縮小へ向かうことになります。

テックビューロ株式会社(以下「TB社」)が保有していた暗号資産取引所「zaif」をFISOCに事業譲渡。TB社は、日本国内のICOソリューションサービス「COMSA」を残す形に。一方で、XEMを使ったプライベートチェーン「mijin」のほか「COMSA」の海外展開並びにソフトウェア開発事業はテックビューロホールディングス株式会社(以下「TBH社」)が提供する形となっている。

zaifハッキング事件までのインシデントを時系列で追う

サーバダウンの多発

ウェブサイトまたはウェブサービスにアクセスが集中すると、サーバーがリクエストに対応しきれずダウンしてしまう場合があります。

サーバダウン時は、エラー内容によって表示は異なりますが、zaifに限定して言えば「502 Bad Gateway」と表示されることが多く、Twitter上の仮想通貨界隈では「502 Bad Gateway」=「ダメ取引所」=「ザイフ」…と揶揄されるほどでした。

Zaifのシステムの脆弱性を揶揄する「502 Bad Gateway token」という仮想通貨が作られます。この仮想通貨はZaifのサーバーがダウンするたびに配布され、FiscoによるZaifの買収後は、サーバーダウンにとらわれない様々な世の中の不祥事のタイミングで、配布されています。

金融機関という括りでみると、銀行のサーバは冗長化が図られ、大規模かつ長時間アクセスエラーが出るようなインシデントはほとんど見かけることはありません(みずほ銀行のように、銀行合併後のシステム統合で「サグラダ・ファミリア」ばりの”終わらない”増改築を続けているところもありますがw)。

しかしながら、Zaifでは以前からサーバーダウンが頻回し「502 Bad Gateway」の表示でサイトにアクセスできないという状況が発生していました。

当然のことながら、利用者からはクレームの嵐になるわけですが、Zaif(というよりも、テックビューロ社の代表取締役の朝山氏)は基本的に強気で「気に入らないなら使わなければいい」という姿勢を貫きます。

2018年1月6日〜10日 不正出金事件

2018年1月6日〜7日未明にかけてAPIキーの不正利用によって、顧客の資産が不正に操作される事件が起こりました。Zaifの不正出金事件です。

これはサーバー上に残っていた顧客のAPIキーが盗まれ、顧客の口座にある資産が、第三者によって不正に出金され、また取引を行われる・・・という手口でした。この事件による被害は、下記の通りです。

不正出金 不正取引
10名分の口座から37件の不正出金 15名分のアカウントから137件の不正取引

Zaifは当初この事件に関して顧客に対する対応はおろか、警察の捜査に対してもまともに対応しないという姿勢でした。行われたのは一時的な入出金の停止対応措置のみです。

1月6日から7日未明にかけて発生したAPIキーの不正利用、および1月9日に報告された不正アクセスおよび不正出金に関するご報告

お客さま各位

先日よりお伝えしております、1月6日(土)夕方から7日(日)未明にかけてのAPIキーを利用した不正取引および不正出金が行われた件、ならびに1月9日に報告された不正アクセスおよび不正出金において、現時点で弊社側で判明している点についてご報告いたします。

最終的には被害にあった利用者には返金がされたようですが、Zaifへの不信感は大きく高まりました。システムの脆弱さに加えて運営の対応に関して評価を下げる事件でした。

2018年2月18日 ビットコインの取引価格がエラーで0円になる

Zaifが販売するビットコインの取引価格がシステムエラーで0円になりました。エラーになっている最中に21億円分のビットコインを購入したユーザーがおり、市場価格が一時約2200兆円の暴騰を起こしました。

このエラー自体は2時間後に修正され、市場価格も元に戻ります。21億円を購入したユーザーの口座は凍結されますが、このユーザーは不具合確認のために注文を入れ、更に運営に連絡まで入れたという好意の人物でした。

Zaifからはこの件に関して事後に説明もなく、凍結したユーザーに対する謝罪も行われなかったということです。Zaifの運営姿勢に対する批判は更に高まりました。

仮想通貨取引所Zaifでシステムトラブル、0円で売買

[東京 21日 ロイター] - 仮想通貨交換業者のテックビューロ(大阪市)は、運営する取引所Zaifでシステムに不具合が生じ、顧客7人が0円で仮想通貨を購入するトラブルが発生したと発表した。同社は「顧客6名とは対応を済ませており、残る1名とは継続対応中」としている。

同社が20日にホームページに掲載した報告によると、16日の午後5時40分から58分ごろにかけて、同社のサービスである「簡単売買」において0円で仮想通貨の売買ができる状態が発生した。

2018年2月23日 ビットコイン先物における強制ロスカット

Zaifのサーバーの脆弱性は以前から指摘されていましたが、ついにサーバー不具合によってビットコインの暴落を招く事態が発生してしまいました。強制ロスカット事件です。アクセス集中によってサーバーがエラーを起こし、強制ロスカットが発生。このロスカットによってビットコインの価格は110万円から60万円まで暴落しました。

Zaifのシステムの脆弱性によって市場に大きな損害を与えた事件だったにも関わらず、この件で顧客が被った損害は一切保証しないとアナウンスされました。


2018年3月8日 金融庁から業務改善命令

2018年に発生した

  • 2018年1月6日〜10日 不正出金事件
  • ビットコインの取引価格がエラーで0円になる
  • ビットコイン先物における強制ロスカット

上記3件の暗号資産取引所「Zaif」の不祥事を受け、金融庁はテックビューロ社に業務改善命令を出します。
内容としては原因の解明、再発防止策の提示、顧客への説明責任を果たすことなどが盛り込まれました。これ以降TB社へは金融庁から3回の業務改善命令が出されることになります。

2018年3月20日 減資と本店移転

テックビューロ社の減資と本店移転が行われていたことが3月20日に報じられました。

仮想通貨取引所「Zaif」運営のテックビューロ、「減資と本店変更」

仮想通貨取引所「Zaif(ザイフ)」を運営する仮想通貨登録業者のテックビューロ(株)(TSR企業コード:576983667、大阪市西区)は3月20日、資本金を13億8,308万2,000円から1億円に減資した。また、4月20日に登記上の本店を変更していたことがわかった。
テックビューロは2月16日、システム不具合により「ゼロ円」で仮想通貨が売買できる状態が発生。金融庁が3月8日、テックビューロに業務改善命令を出していた。

出典:『仮想通貨取引所「Zaif」運営のテックビューロ、「減資と本店変更」』/株式会社東京商工リサーチ(2018/05/02 14:50)

資本金は13億8,308万2,000円から1億1,100円へと大幅な減資、本店は大阪市西区西本町から大阪市西区靱本町へ移転。
原資の理由は業績悪化による節税対策であるとの推測がされました。資本金が5億円未満になることで会計監査人設置の義務がなくなり、結果として監査人に報酬の支払いが発生しなくなります。

これらの変更に関してテックビューロ社およびZaifから詳細な説明は全くなく、依然として不信感を払拭することはできないままとなりました。

2018年5月14日 ビットコインキャッシュ重複入金

ビットコインキャッシュはビットコインからハードフォークした仮想通貨のため、アドレスが非常に似ており、そのため誤送金をするユーザーが後を絶ちませんでした。
zaifでは、誤送金対策としてビットコインキャッシュのアドレス形式(アドレスの頭文字)を変更することを発表しました。

しかしながら、Zaifでは古いアドレスと新しいアドレスが混合するシステムエラーが発生してしまいます。その結果、ビットコインキャッシュのアドレスに資産が重複入金されるという事件になりました。
この事件後の6月22日に、テックビューロ社には2度目の業務改善命令が出されました。

2018年9月14日 67億円ハッキング流出事件

そしていよいよ9月14日、Zaifの67億円ハッキング流出事件が発生してしまいます。Zaifのホットウォレットに保管されていた顧客の資産45億円分とZaifの資産22億円分の仮想通貨が流出しました。

以下流出した仮想通貨の内訳です。

ビットコイン 5966.1 BTC
モナコイン 623万6810.1 MONA
ビットコインキャッシュ 4万2327.1 BCH

2018年1月のコインチェック流出事件でも、取引所がオンラインに接続しているホットウォレットに資産を保管していたことによって、外部からハッキングされました。 2017年のCoincheck事件で「ホットウォレットに保管している取引所は危険」ということが、やっと認識されはじめた矢先にまた同じような事件がZaifで起こってしまったことは大きな落胆を呼びました。

「やっぱりZaifはやらかしたか…」という空気に包まれたのです。

この67億円ハッキング流出事件を経て、テックビューロ社の朝山貴生社長ら経営陣は辞任します。

大手金融グループであるFiscoはZaifに対して50億円の支援を行う契約を締結し、Zaifを買収。現在もZaifという名称は残っていますが、運営は株式会社フィスコ仮想通貨取引所となっています。
テックビューロ社は解散の方向のようですが、親会社であるテックビューロホールディングスは現在も活動を続けています。

このハッキングについて、盗まれた仮想通貨がどこに消えたかは特定がされています。Japan Digital Design株式会社、セキュリティ専門家の杉浦隆幸氏、大学生のCTFチームTokyoWesternsで構成されたホワイトハッカーのグループが、犯行に使われた欧州のIPアドレスを特定し、仮想通貨の動きを監視しています。とはいえ、まだ犯人自体にはたどり着いていないようです。

Zaifの取引所としての対応

Fiscoは10月10日にZaifの買収(事業譲渡契約)を締結し、流出被害にあったユーザーに対する補償を発表しました。ビットコインとビットコインキャッシュに関しては基本全額補償、モナコインに関しては預託数量の40%の補償ということです。

(開示事項の経過)持分法適用関連会社における事業の譲受けの効力発生に関するお知らせ 平成 30 年 10 月 10 日に開示いたしました「持分法適用関連会社における事業の譲受けに関するお知らせ」の経過について、下記のとおりお知らせします。



1.事業の譲受けの効力発生
(1)事業の譲受けの効力発生
平成30年10月10日に締結した「事業譲渡契約」に基づき、テックビューロ株式会社(以下、「テックビューロ」といいます。)から当社の持分法適用関連会社である株式会社フィスコ仮想通貨取引所(以下、「FCCE」といいます。)への「Zaif」事業の譲受けの効力が発生いたしました。なお、本件事業譲渡に関する利用者のご承諾については本日以降も引き続き対応いたします。 仮想通貨交換業界において多数の個人利用者を有する「Zaif」の事業及び利用者口座ならびにテックビューロの従業員を譲り受けたことで、FCCEの利用者基盤が強化されただけでなく、運営面における人的基盤も強化されたものと考えております。また、「Zaif」事業の譲受け後も当面の間は、これまでFCCEが運営してきた仮想通貨交換所システムも並行して運営いたしますが、将来的には、交換所システムの統合を目指します。なお、テックビューロは金融庁より 「Zaif」事業に関して業務改善命令を受けており、これまで業務改善計画を遂行してきましたが、今回の「Zaif」事業の譲受けにあたって、FCCE は当該業務改善計画の遂行を継続いたします。

(2)譲受事業の資産・負債の項目及び金額
本件事業譲渡に対する利用者の承諾期間が延長され、譲り受ける利用者の資産等が確定していないため、譲受事業の資産・負債の項目及び金額は確定しておりません。平成31年1月31日に予定しておりますFCCE、テックビューロ間の譲渡価額にかかる清算に伴い金額が算定されましたら開示いたします。
(3)譲渡価額及び決済方法
平成30年10月10日付「持分法適用関連会社における事業の譲受けに関するお知らせ」にてお知らせしましたとおり、譲渡価格は「5,500百万円から、①利用者数による調整(本件事業譲渡に伴う債務及び契約上の地位の承継に承諾しなかったZaifの利用者がいる場合、その属性に応じて、一人当たり事業譲渡契約書で定められた金額を控除する。)及び②本件ハッキング対応費用による調整(本件ハッキング対応費用を控除する。)を行った金額。」でありますが、本件事業譲渡に対する利用者の承諾期間が延長されたので、不承諾利用者数及びハッキング対応費算定の基礎となる承諾利用者数が確定しておりません。そのため、①及び②の金額が確定していないので、譲渡価格も確定しておりません。譲渡価格につきましては、平成31年1月31日に予定しておりますFCCE、テックビューロ間の譲渡価額にかかる清算に伴い金額が算定されましたら開示いたします。

2.「Zaif」のシステムセキュリティ強化
FCCE が「Zaif」事業の譲け受けるにあたり、以下のシステムセキュリティの強化を行いました。これらのセキュリティ強化の効果/網羅性について、外部セキュリティ診断サービスを活用し評価を行い、問題ないことの確認を行っております。
(1)システムの堅牢性強化 (守る)
システムを構成するサーバー、ネットワーク、アプリケーション、クライアントそれぞれのセキュリティを見直し強化いたしました。
(2)不正アクセス検知機能の向上 (気付く)
万一、不正アクセス等の事象が発生した場合でも速やかに検知できるよう、監視システムおよび不正検知の仕組みを導入いたしました。
(3)各種証跡の確保および調査機能の拡充 (調べられる)
不正事象の原因となったシステムの脆弱性ポイントを調査可能とするため、ログ情報などの各種証跡を改竄できない状態で管理・保存いたします。

3.「Zaif」において流出した仮想通貨の補償
平成 30 年 9 月 14 日に「Zaif」において発生したハッキングにより流出した仮想通貨については、平成 30 年 11 月 22 日までに本件事業譲渡にご承諾いただいた利用者を対象として、ご承諾内容に従った補償が完了し、利用者口座のデーターベース上の数字と実際にウォレットに存在する仮想通貨及び金銭の額が一致(「Zaif」において入出金を停止している間に「Zaif」に送金された仮想通貨は含みません。)しております※。
なお、平成 30 年 11 月 22 日時点で本件事業譲渡について未承諾の利用者についても、今後承諾手続きを行うことで、流出仮想通貨の補償、「Zaif」のサービスを利用することが可能です。入出金再開の日程につきましては、他の業務の正常化の目処が立ち次第、速やかにお知らせいたします。
※ MONA コインにつきましては、預託数量の約 40%について、「1MONA コイン当たり 144.548円」(平成 30 年 10 月9日午前9時の bitFlyer(ビットフライヤー)、及び bitbank(ビットバンク)における相場の中間値を採用しております。)にて算出した金銭で補償いたします。
4.今後の見通し
本件が、当社の平成30年12月期連結業績に与える影響につきましては現在精査中であり、今後適時開示が必要と判断した場合は速やかに開示いたします。

以 上

返金タイミングに関してはユーザーのウォレットに流出前の残高に応じた額が順次返金され流ということですがタイミングは明らかにされていません。株式会社フィスコ仮想通貨取引所による運営が開始された後というにとどまっています。ただし、FiscoへのZaifの事業譲渡に同意手続きを行なっていないユーザーには返金がされません。承諾期限は2018年12月31日でした。

SNS上でのユーザーの反応







事件前後の仮想通貨価格への影響

Zaifの67億円ハッキング流出事件においてはビットコイン、ビットコインキャッシュ、モナコインとう3つの仮想通貨が被害にあいました。それぞれの事件前後の値動きに影響は見られるのでしょうか。

2018年9月14日時点でのビットコイン相場は、72万円台/1BTCでした。9月18日に70万円台を割るものの、すぐに復調したためそれほど大きな影響はなかったと見ていいでしょう。

ビットコインキャッシュに関しては2018年9月14日時点で52,132円/1BCH。翌日50,325円/1BCHまで下がり、9月18日には46,763円/1BCHまで下落しますが、その後復調します。こちらもそれほど大きな影響はありませんでした。

モナコインは2018年9月14日時点で114円/1MONA。事件以降9月18日に107円/1MONAまで下がり、9月22日に175円/1MONAと突如高騰します。これも流出事件との関連性はあまり見られません。

Zaifのいま

Zaifは現在Fiscoにより買収され、事業譲渡に承諾した既存ユーザーに関してはサービスを再開しています。しかし、新規の口座開設は現在停止中です。

Zaifのwebサイトにある会社概要を見ると、住所、電話番号、役員等、基本的にフィスコ株式会社取引所の会社概要と同じ内容です。

  • https://corp.zaif.jp/outline/
  • https://corp.fcce.jp/outline/index.html

扱っている仮想通貨銘柄は違いますが、今後完全に統合されるのか、それとも立ち位置の異なる2つの取引所として運営していくのは明らかになっていません。

Zaif67億円ハッキング事件の総括

仮想通貨取引所Zaifのハッキング事件は、仮想通貨取引所が消費者保護をいままで以上に考慮し、システムに組み込まなくてはならない…という、「あり方」の転換点になったことは間違いありません。

zaifは、そんな中でも芸能人(剛力彩芽)を大々的に起用したTVCMや各種広告を派手にうち、コイン積立など新しい取り組みも積極的に行ってきましたが、取引所の根幹であるシステムや管理体制のずさんさが仇になり、事件後大手金融グループに買収されるという結果に。

新しいものだったがゆえに法的な規制がゆるく、また「とりあえず面白いものはやっちゃえ!」というベンチャー気質が色濃く反映された仮想通貨取引所の草創期は終わりを迎えたといえます。 今後は、消費者保護に重点が置かれた運用体制を構築できる、SBI証券やマネックス証券などの大手金融グループが主導する時代に移り変わっていくことになりそうです。


[参考] 過去のハッキング探偵記事一覧

インシデント発生日 被害にあった取引所/暗号資産名 原因 被害者数 被害
コイン数 円換算額
2011年6月19日~2014年(複数) Mt.GOX(マウントゴックス) 内部横領の疑いおよび外部からのハッキング 127,000人 850,000 BTC 470億円(2014年当時)
2012年9月4日 Bitfloor 秘密鍵の窃取 0人 24,000 BTC 約2500万円
2016年5月28日 THE DAO システムのバグを利用した攻撃 不明 364万 ETH 約50億円
※ハードフォークにより最終的に被害額はなし
2016年8月2日 Bitffinex マルチシグの脆弱性 不明 12万 BTC 約70億円
2017年4月 Youbit/韓国 外部からのハッキング 不明 3,800 BTC +α 約18億円
2017年7月3日 Bithumb 詳細不明だが内部犯行の疑いあり 0人 ・EOS:300万
・XRP:2000万
約21億円
2017年12月6日 nicehash 外部からのハッキング 約75万人 4700BTC 時価総額76億円(2017年当時)
2017年12月20日 EtherDELTA(イーサデルタ) フィッシング 不明 305 ETH 約1200万円
2018年1月6日 zaif(ザイフ) 内部横領の疑いおよび外部からのハッキング 730,000人(Zaif に開設済みの個人口座数) ・BTC:5966.1
・MONA:623万6810.1
・BCH:4万2327.1
約67億円(2017年当時)
2018年1月26日 Coincheck ・ホットウォレットへの仮想通貨の保管
・外部からのハッキング
260,000人 523,000,000 XEM 580億円(2018年当時)
2019年1月13日 Cryptopia 外部からホットウォレットのハッキング 約220万人 ・ETH 3,570,124ドル
・Dentacoin 2,446,211ドル
・Oyster Pearl 1,948,223ドル
・Lisk ML 1,718,610ドル
・Centrality 1,148,144ドル
・その他コイン 5,170,795ドル
時価総額16,002,108ドル
2019年5月7日 Binance フィッシング詐欺で入手したユーザーのAPIキー等を使用し、不正出金 0人 当初7,000BTC相当のアルトコインと報道
※最終的に被害なし
0円
関連記事
執筆者
hubexchangeのメディア部門を担う「編集部」の公式アカウントです。 編集長はもぐらいだー(ikenaga)。ハッキングされた取引所の事象発生から現在までを追う「ハッキング探偵」などの企画立案や執筆時マニュアルの策定などの編集部内外の標準化ツールの整備に注力中。メディア事業に興味があるアシスタント希望者求む!
whatshot ランキング
新着ユーザーズコラム
hubexchangeをフォロー!