Coincheckは、電気料金の支払いなど、ビットコインを日常的に利用できるサービスを提供し、他の取引所と一線を画すことで、大手の取引所へと成長していきました。ところが2018年1月26日、Coincheckから仮想通貨「NEM(ネム)」が、約580億円分不正に流出したことが発覚しました。この失敗の根本原因は一体なんだったのでしょうか? 本記事では、特定非営利活動法人失敗学会理事の佐伯徹氏の著書『DX失敗学 なぜ成果を生まないのか』より、データをもとにCoincheckのDX失敗原因について紐解いていきます。
技術力の過信で招いた失敗
~事例から「他山の石」としていただきたいこと~
仮想通貨(暗号資産)の交換業において、新技術(ブロックチェーン)を使用し、収益性を重視した経営を行った結果、顧客の資産が不正に流出してしまい、事業廃業や想定外の出費を強いられてしまった。
コインチェック「Coincheck」
DX戦略…日常的なビットコイン利用
Coincheckは電気料金の支払いなど日常的にビットコインを使えるなど、他の取引所と一線を画したサービスを提供した。MTGOXの破綻の後、ビットコイン以外の仮想通貨も増えていった中で、それらの取引も行う大手の取引所となった。
Coincheckとは?
コインチェックが2014年8月に運営を開始したビットコイン取引所サービス。2017年4月に改正資金決済法が施行され、金融庁が取引所を登録制にしたが、それ以前からの取引所であったため「みなし業者」として、審査が終わる前でも運営を続けていた。
失敗事象…約580億円分の不正流出発覚
2018年1月26日、Coincheckから仮想通貨「NEM(ネム)」が、約580億円分流出したことが発覚した。外部の攻撃者が、コインチェック従業員の端末にマルウエアを感染させ、遠隔操作ツールを使ってNEMの秘密鍵を窃取。その秘密鍵を使用して外部の不審通 信先にNEMを不正送金させた。
ちなみに、コインチェックは他社への見本ともいえる素晴らしい対応を実施している。発生原因の特定に情報セキュリティー関連5社の外部専門家に調査を依頼し、通信に関するログの解析、従業員のヒアリング、端末のフォレンジック調査などを実施している。
その後、2018年3月8日関東財務局から立ち入り検査が行われ、業務改善命令が発出され、コインチェック社は2018年6月18日Coincheck上における一部対象仮想通貨(XMR、REP、DASH、ZEC)の売買、入出金、保有、同社への貸し出しの廃止を決定することとなった。
失敗原因を考察
それでは失敗の原因をリストアップしていく。
「ITプロジェクト版失敗原因マンダラ図」から全ての失敗原因を抽出する
※「ITプロジェクト版失敗原因マンダラ図」とは…筆者が所属している失敗学会は、失敗の原因を構成する要素を分類して関連を階層ごとに図示した「失敗まんだら」を提唱している。仏教で悟りの世界や仏の教えを示した図絵である連関図にヒントを得て、失敗原因に関わる全ての要素や関連、位置づけを一覧できるようにしたもの。この失敗まんだらをITプロジェクト向けに改変したもの。
以上、全ての原因について考察したあと、「ITプロジェクト版失敗原因マンダラ図」に丸をつけてみると下記のようなイメージ図となる。下図のように20項目が選定される。
真の失敗原因を特定する
<直接的な問題点>
利便性・コスト面から仮想通貨の管理方法をホットウォレットと していた。ホットウォレットとはインターネットに接続したまま保管する仮想通貨の保管法で、利用が簡単なのが特徴。しかし、ネットにつながったままなので、不正アクセスの危険とは隣り合わせになる。ネットから切り離して管理するコールドウォレットという方法を使う取引所もあった。
■筆者が考える今回の問題点
①法整備が整っていない状態での新たなサービス利用であるのに、安全が軽視された。【安全意識の不良】
②リスクなど問題が発生した場合に備えコンティンジェンシープランを策定した上で、どのリスクにコストを配分し、注力していくかについて、十分な議論がおこなわれてない。【想像力不足】
③ブロックチェーン技術はまだまだ発展途上であるとの認識で、一つひとつセキュリティーを考慮しながらシステムを構築できなかった。【標準化不足】
■筆者が考える対応策
①法整備が整っていない状態での新たなサービス利用は、安全が軽視される傾向にあるため、常に利用者側に不利益があると想像して利用しなければならない。
②ブロックチェーン技術は100%セキュリティーが確保されていると言われていたが、現実に不正が行えることが証明されたことで、常にセキュリティーが100%確保されているものはないという意識で利用すること。
失敗の根本原因は「技術力の過信」
今回、メディアに掲載された内容から「ITプロジェクト版失敗原因マンダラ図」で真因を考察した結果、MTGOXと同様に自社のインターネット技術を過信しているように感じた。現在世間で流行しているマルウエアやランサムウエアでも同じことが言えるが、インターネットを利用する人口は全世界に広がっているのである。
ということは、自分とは全く違う思考(悪い思考も含めて)も何十億ケースもあるということ。なので、自分が考えつかないセキュリティーリスクを突いてくることは<当たり前>と考えてプランを立てなくてはならない。また、定期的にリスクを再チェックして新しいリスクを見出すためにプロジェクトメンバーとはベルの組織を編成(第三者を含む)することを勧める。
佐伯 徹
特定非営利活動法人失敗学会
理事
コメント