暗号資産取引所を選ぶ際に最も気になるのが「安全性」です。Coincheck(コインチェック)は2018年に約580億円相当のNEMが流出する大規模ハッキング事件を経験しましたが、その後マネックスグループ傘下に入り、セキュリティ体制を根本から再構築しました。
本記事では、2018年の事件の詳細と教訓、現在のセキュリティ対策、そしてユーザー自身が取るべき自衛策まで詳しく解説します。
2018年のNEM流出事件:何が起きたのか
事件の経緯
2018年1月26日、Coincheckから約5億2,300万XEM(当時の時価で約580億円相当)が不正に外部に送金される事件が発生しました。これは当時、暗号資産取引所のハッキング事件としては世界最大規模でした。
原因:ホットウォレットでの管理
事件の根本原因は、NEMを含む大量の暗号資産がホットウォレット(インターネットに接続された状態のウォレット)で管理されていたことです。さらに、NEMのマルチシグ(複数署名による承認機能)も未導入でした。攻撃者はCoincheckの社員のPCにマルウェアを感染させ、内部ネットワーク経由で秘密鍵にアクセスしたと推定されています。
事件後の対応
- 全額補償:被害を受けた約26万人のユーザーに対し、約460億円を自社資金から日本円で補償
- マネックスグループによる買収:2018年4月にマネックスグループがコインチェック株式を取得し、経営体制を刷新
- 金融庁への登録完了:2019年1月に正式に暗号資産交換業者として登録
- セキュリティ体制の全面的再構築:コールドウォレット管理への移行、マルチシグ導入、内部統制の強化
現在のCoincheckのセキュリティ対策
2018年の事件を教訓に、Coincheckは業界最高水準のセキュリティ対策を導入しています。
1. コールドウォレット管理
ユーザーの暗号資産の大部分を、インターネットから完全に切り離されたコールドウォレットで管理しています。オンラインでのハッキングによる資産流出リスクを根本的に排除する対策です。ホットウォレットには日常的な取引に必要な最小限の資産のみを保管しています。
2. マルチシグ(複数署名)
資産の移動には複数の秘密鍵による署名を必要とするマルチシグ方式を採用しています。1つの鍵が漏洩しても、単独では資産を移動できないため、内部犯行や鍵の漏洩に対する防御力が大幅に向上しています。
3. 二段階認証(2FA)
ユーザーのログイン時に、パスワードに加えてワンタイムパスワード(OTP)の入力を求める二段階認証を提供しています。Google AuthenticatorやAuthyなどの認証アプリに対応しており、SMS認証より安全性が高いアプリベースの認証を推奨しています。
4. SSL/TLS暗号化通信
すべての通信はSSL/TLSで暗号化されており、通信途中でのデータ傍受や改ざんを防止しています。
5. 出金先アドレスのホワイトリスト
暗号資産の送金先アドレスを事前に登録するホワイトリスト機能を提供しています。この設定を有効にすると、登録していないアドレスへの送金がブロックされるため、アカウントが乗っ取られた場合でも攻撃者が自分のウォレットに資産を送金できなくなります。
6. 不正アクセス検知システム
通常と異なるIPアドレスやデバイスからのアクセスを検知し、自動でアラートを出す不正アクセス検知システムを運用しています。不審なログインが検知された場合、メールで通知が届きます。
7. 金融庁による監督
Coincheckは暗号資産交換業者として金融庁に登録(関東財務局長 第00014号)されており、定期的な検査・監督を受けています。利用者保護のための分別管理(顧客資産と自社資産の分離)も義務付けられています。
8. マネックスグループのガバナンス
東証プライム上場のマネックスグループの子会社として、上場企業水準の内部統制・コンプライアンス体制が適用されています。取締役会の監督、外部監査、リスク管理委員会などの仕組みが整っています。
ユーザーが実施すべきセキュリティ対策
取引所側のセキュリティがいかに強固であっても、ユーザー自身のアカウント管理が甘ければ資産を失うリスクがあります。以下の対策は必ず実施してください。
必須の対策
- 二段階認証(2FA)を必ず設定する:SMS認証ではなく、Google Authenticatorなどのアプリ認証を使用。SIMスワップ攻撃への耐性が高い
- 強力で固有のパスワードを使用する:英数字・記号を含む12文字以上。パスワード管理ツール(1Password・Bitwarden等)の利用を推奨
- 出金先アドレスのホワイトリストを有効にする:登録済みのアドレスにのみ送金を許可
- ログイン通知メールを有効にする:心当たりのないログインがあればすぐにパスワードを変更
推奨の対策
- フィッシング対策:Coincheckの公式URL(coincheck.com)をブックマークし、検索結果やメールのリンクからはアクセスしない。偽サイト・偽メールに注意
- デバイスのセキュリティ:スマートフォンのOSとアプリを常に最新に保つ。不明なアプリはインストールしない
- 大口資産はハードウェアウォレットで管理:長期保有する大きな金額の暗号資産は、Ledger NanoやTrezorなどのハードウェアウォレットに移管することで、取引所リスクから完全に切り離せる
- フリーWi-Fiでは取引しない:公共のWi-Fiは通信傍受のリスクがあるため、暗号資産の取引にはモバイル回線やVPNの利用を推奨
Coincheckの安全性:総合評価
| 評価項目 | 状態 |
|---|---|
| コールドウォレット管理 | 導入済み |
| マルチシグ | 導入済み |
| 二段階認証 | 提供(アプリ認証対応) |
| 金融庁登録 | 登録済み(第00014号) |
| 分別管理 | 実施済み |
| 上場企業グループ | マネックスグループ(東証プライム) |
| 過去のインシデント対応 | 全額補償実施・体制刷新 |
2018年の事件は深刻でしたが、全額補償の実施と経営体制の刷新、セキュリティの全面的な再構築は高く評価されています。現在は国内大手取引所として標準以上のセキュリティ対策を備えており、金融庁の監督下で透明性の高い運営を続けています。
ただし、いかなる取引所も100%安全とは断言できません。「取引所は売買の場所であり、大切な資産の長期保管場所ではない」という認識を持ち、大口資産はハードウェアウォレットなど自己管理のウォレットに移管することを強くおすすめします。
よくある質問(FAQ)
Q. 2018年の事件後、再びハッキングされたことはありますか?
いいえ。2018年の事件以降、Coincheckでの大規模なセキュリティインシデントは報告されていません。マネックスグループ傘下でセキュリティ投資を継続しています。
Q. Coincheckが破綻した場合、資産はどうなりますか?
暗号資産交換業者は、顧客資産と自社資産を分別管理することが法律で義務付けられています。万一の場合でも、分別管理された顧客資産は保全される仕組みですが、完全な保証ではありません。大口資産は自己管理のウォレットに移管するのが最善策です。
Q. 二段階認証のバックアップコードを紛失したらどうなりますか?
Coincheckのサポートに本人確認書類を提出して、二段階認証の解除を依頼する必要があります。手続きに時間がかかるため、バックアップコードは必ず安全な場所に保管してください。
まとめ
Coincheckは2018年の事件から多くの教訓を得て、セキュリティを根本から再構築しました。コールドウォレット管理・マルチシグ・金融庁登録・マネックスグループのガバナンスにより、現在は業界標準以上のセキュリティ水準を備えています。
ただし、取引所のセキュリティだけに頼るのではなく、ユーザー自身も二段階認証の設定・強力なパスワードの使用・フィッシング対策を徹底することが大切です。安全な暗号資産ライフのために、取引所とユーザー双方のセキュリティ意識が重要です。
取引所を選ぼう
おすすめ取引所を比較して選ぼう
bitbank
アルトコインNo.1
アルトコイン取引高国内No.1
- Maker手数料がマイナス(受け取れる)
- セキュリティ世界6位・コールドウォレット管理
- 40種類以上のアルトコインに対応
コインチェック
おすすめ No.1
国内No.1・初心者に最適
- アプリDL数国内No.1(※)
- シンプルな操作で初心者向け
- 500円から少額投資可能
GMOコイン
国内大手
国内大手・手数料が安い
- 現物手数料が実質無料
- GMOグループで安心・信頼
- ステーキングサービスも充実
※ 当サイトはアフィリエイト広告を含みます。情報は記事執筆時点のものです。投資は自己責任でお願いします。