ブロックチェーンの安全性 (Bitfinexにハッキング)

平成28年8月3日付のビットコインニュースが、ビットコイン(BTC)取引所最大手のBitfinexがハッキングに会い、6347万ドルが盗まれたと報道しました。4日付日経新聞は6500万ドルの被害と小さく報道しましたが、その後、被害額は頻繁に変ってロイターでは7200万ドルとなっています。別に被害額が多少、異なるのはたいした問題ではないようですが、本当は正確な情報が即座に掴めないという分散管理の問題は大きい。技術的問題よりも管理態勢の問題で、更にややこしいのが、ブロックチェーン(BC)は中央統制管理ではないことが売りだということです。

それよりも問題なのは、世界最大のBTCドル取引所であるシンガポールのBitfinexが、ハッキングを受けて顧客口座から12万BTC近くが盗難に会い、同取引所がセキュリティ欠陥のあったことを正式に認めていることです。同取引所は、取引を停止して調査と顧客被害の対策、顧客間の損失連鎖への対応等を急ぐとしています。ハッキングの経緯調査にあたっては、ブロックチェーン技術専門家に調査依頼しているというのですが、それも意外というか、なんだ自社で開発運用しているのではないのか、どうやってセキュリティやコンプライアンスをチェックしてきたのかと思ってします。

BTC取引所の被害は、昨年から続いています。Bitstamp、Gatecoin、Shapeshiftなどで、Bitfinexも昨年、少額ながら被害を受けています。BTCを保管管理するのにオンライン状態の口座をホットウォレット、オフラインだとコールドウォレットと呼び、高額はコールドで、小さな取引などに使う資金はホットにしまっておきます。専門家は今回の事件は金額からしてもコールドだろうとします。すると、外部からのハッキングではなく、内部犯罪の可能性が指摘されます。

仮想通貨の怖さは、外部からの攻撃もありますが、内部犯罪の方が怖い。内部にいれば、目の前に巨額な資金が見えて、少し操作すれば自分のものになるという誘惑はあります。自分だとバレナイ方法さえ編み出せば、内部者が手出しするのを止められません。その点、現金は持ち運びが不便ですし、人に見られないようにするのが難しい。ネット経済でのセキュリティの根本的課題です。ソフトウェアやデータはコピーも変更も可能です。それを止められるのはハードですが、それすらも内部犯罪だと防ぎきれない。

今年5月にはThe DAO事件がありました。ドイツのベンチャー企業Slock.itがEtherreum上に組成した事業ファンドで、組織運営を出資者が投票で決める仕組みを作りました。株式会社の再発明などと評判になり、1万人強の投資家が156億円を出資したそうです。ところが、攻撃者が作った自分の口座に出資持ち分を移す際、一回しかRewardできない設計なのに何回でも移せるようなっていたというのです。コードが書き換えられたのか、コーディングミスなのか調査中です。その結果、約50億円分が盗まれたということです。筆者は毎日多くのメディアに目を通しているのですが、この事件を知りませんでした。

パブリック型だから危なくて、プライベート型なら大丈夫だとは、内部犯行の可能性がある限りは言い切れません。今後、BCセキュリティに関して、技術面でも業務運営面でも改善、強化が進められるでしょうが、一部の著名人がBCの安全性を力説していますが、BCにも脆弱性のあることが、早い段階で明白になったことは、むしろ良いことです。BCを信奉する発言を繰り返していた銀行経営者もいますが、彼らが今後、どのようにBCを評価するのか楽しみですが、突然、全面否定するようなことがないことを期待します。

ところで、金融情報システムセンター(FISC)は、フィンテック・セキュリティに関する有識者会議を10月に設置します。昨年はクラウド・セキュリティがテーマでした。今年の前半は外部委託先管理がテーマでした。これらを統合して、FISC安全対策基準を全面改訂することを企画しているそうです。来年度一杯かけて検討し、改訂版の発効は、2018年頃になるのでしょう。その改訂版における基本的方針は、今年7月1日に公開された外部委託先管理有識者会議の報告書に記載されています。骨子はリスクベース・アプローチとプリンシパル・ベースの基準になるということです。

FISCは、1984年11月に設立されました。筆者も一期生として2年弱出向しました。40数名が金融機関やIT企業、そして大蔵省、日銀から出向しました。当時、大蔵省銀行局調査課長だった秋山さんという方が、金融界やIT企業を口説いて、多くの反対を押し切って作った財団です。当初は安全対策も重視しましたが、金融業界におけるIT化の調査や関連する規制などを研究する予定でした。ところが、設立直後に三軒茶屋ケーブル火災事件がおきて、当該地域の通信網が全面的に長時間停止してしまい、三菱銀行などのオンラインが停止しました。そこで、安全対策基準の策定を急ぐことになったのです。筆者は調査企画部という、長期的なIT化動向を調査する部署でしたので、エレバンや決済ネットワーク、CMS、金融VANなどを調査発表する仕事で、役所とはこんなに楽なところかと思いながら仕事していましたが、隣の安全対策部の人達は、深夜、休日を含めて、連日、大変な作業を続けていました。

関連業界から委員として代表者が集まるのですが、FISC事務局10名弱の半分はIT未経験者です。30歳前後で若いといっても、良くやったものだと思います。彼等は外部専門家との勉強会を連日開催していましたが、筆者はそれを安全対策弁当会など冷やかしていました。2年近くかけて、ようやく作った基準は、その後、環境変化に合わせて少しずつ改訂されてきました。しかし、クラウド、サイバーセキュリティ、外部委託、フィンテック等、状況が大きく変り、さすがに、実状に合わなくなりました。全面改訂は、本当に良いことだと思います。30年前のあの苦労がまた繰り返されるのは気の毒ではありますが、頑張って欲しいものです。

プリンシパル・ベースとリスクベースになると上述しました。その意味を良く考えて、準備をしておく必要があります。行政はこれから細かい技術的なことにいちいち口出ししない、適正に社内基準を設けて実施されている限りは、結果責任を問わない。その替わりに経営陣は、しっかりと理解した上で組織的対応を進めて監視せよということです。前述有識者会議報告書には繰り返して、この考え方が記述されています。それも、政府系組織の報告書としては過激とも言える表現です。是非、確認しておくことをお奨めします。発効してから、さてどうしようかなどと言って間に合う話ではありません。今回、紹介したBitfinexやTheDAOのような事件を起こすと、まさに経営責任を問われるでしょう。また、その対策は、IT部門やリスク管理部門ができるような範囲とレベルをはるかに越えます。この有識者会議報告書が金融IT関係者の間で、余り注目されていないのが心配です。

                          (平成28年8月4日 島田 直貴)