DMM Bitcoin、ビットコイン不正流出事件で何があったのか?
先日、今年5月に発生したDMM Bitcoinでの資金流出事件に対する行政処分についての文書が関東財務局から発表されました。今回はこの文書によってわかったDMM Bitcoinの問題点などをまとめます。企業に関する話ですが、個人でのセキュリティを考える上でもとても重要な事柄もあるのでぜひ参考にしてください。
DMM Bitcoinは、今年5月に同社が保管していた4,502.9BTCを不正流出させるという事件を起こしました。その後DMM Bitcoinは、DMMグループ内から合計550億円の資金調達を実施し、顧客より預かっているビットコインを全量保証しました。しかし、今回不正流出に関して、その原因などの詳細は、事件が起こってから数ヶ月、発表されていませんでした
今回の行政処分に当たる関東財務局からの発表では、同事件についてこれまで詳細が明らかになっておらず不透明だった原因の一部が明らかになりました。同社の杜撰な管理体制が明るみに出てSNSなどでさまざまな意見が飛び交っています。
発表に記載された同社の大きな問題点は、大きく分けて以下の2つでした。
1.システムリスク管理体制の不備
関東財務局によると、業務開始から事件に至るまでの期間システム管理役員を設置していなかっただけではなく、システムリスクの管理や開発および運用管理などの権限を一部に集中させていたとのことです。また、監査スキルのある人材を配置せず、システム管理のモニタリングを自ら行わせていました。
2.暗号資産の流出リスクへの対応
暗号資産を扱う上で、秘密鍵の管理は最も慎重になるべき業務です。同社はこの秘密鍵での署名業務を単独で実施させたり、複数の秘密鍵を一括で管理したりするなど、金融庁の発表している「事務ガイドライン(第三分冊:金融会社関係)」に反した取り扱いを行なっていました。また、このガイドラインに反していることを認識しながらも、この取り扱いを継続していたとのことです。さらに、不正行為等が起こった際に追跡するためのログの保管期間を検討していないなど、不正流出に対する対策が不十分でした。
これらの問題点が判明し、同社は行政処分を受けることになりました。なお、同社が受けた行政処分は「業務改善命令」です。主な内容は上記の状態を改善することで、流出事件に関する具体的な事実関係及び根本原因の分析・究明と、顧客対応を適切に行うことが求められています。
業務改善計画は10月28日までに提出する必要があり、実施状況及び進捗を毎月実施完了まで行うよう求められています。
DMM Bitcoinは公式サイトで自社サービスについて「安心・安全のセキュリティ」と表現していました(現在も掲載中)。ユーザーとしては、その社内の管理体制まで見ることはできないので、それらの宣伝文句を信用するしかないわけです。ただそういった場合も(今回は顧客資産は保証させましたが)流出のリスクがあることなどに留意は必要でしょう。
またこれらの中央集権的な取引所のリスクを避けるために、秘密鍵を自分で管理するセルフカストディーという選択肢もありますが、それも秘密鍵を自身で紛失してしまうなどのリスクは存在します。
いずれにしても暗号資産を取り扱うときは自身のセキュリティについての仕組みもまず理解し、自分にとって最適な方法を選ぶのがいいでしょう。
関連ユース:関東財務局がDMM Bitcoinに行政処分、BTC不正流出の「重大な問題」確認で
関連リンク
今後もこちらでの連載や、私のnote、XなどでWeb3に関する情報発信をしていきますので、ぜひフォローいただけると嬉しいです。