仮想通貨NEMの不正送金に関する質問

事案概要について

Q.

2018年1月26日に発生したNEMの不正送信について、具体的に何があったのか教えてください。

A.

当社がお客様からお預かりしていた仮想通貨NEMのうち、5億2630万10XEMが、平成30年1月26日午前0時2分から午前8時26分までの間に、不正アクセスにより外部へ送金されました。
現在、NEM以外のお客様の仮想通貨は、当社の顧客用のウォレットにて、安全に管理されております。

Q.

他の仮想通貨については、被害が生じていないのですか。

A.

NEM以外の通貨について、外部へ不正に送金されたという事実はございません。

原因について

Q.

本事象の原因は何だったのですか。

A.

外部の攻撃者が、(a)当社従業員の端末にマルウェアを感染させ、外部ネットワークから当該従業員の端末経由で当社のネットワークに不正にアクセスをし、遠隔操作ツールにより当社のNEMのサーバ上で通信傍受を行いNEMの秘密鍵を窃取したうえで、(b)窃取したNEMの秘密鍵を使用して外部の不審通信先にNEMを不正送金したものであると推定されております。

Q.

不正アクセス対策はしてなかったのですか。

A.

これまで当社では、マルウェア対策や不正アクセス対策を行ってまいりましたが、今回の不正アクセスを防止することができませんでした。

Q.

原因究明は、どのようにして行ったのですか。

A.

当社は、本事案発生後、当社内での調査だけでなく、情報セキュリティ関連の5社の外部専門家にも調査を依頼し、本事案の発生原因の調査を行いました。これらの外部専門家は、サイバー攻撃や情報漏えい等のサイバーセキュリティ対応、フォレンジック・マルウェア解析等に実績のある企業です。
具体的な調査内容として、通信に関するログの解析、従業員のヒアリング、当社の端末のフォレンジック調査等を実施いたしました。調査の正確性及び信頼性を高めるべく、同一の調査を複数の外部専門家において行いました。

対策について

Q.

再発防止策として、行ったことは何ですか。

A.

ネットワークの再構築、サーバの再設計・再構築、端末のセキュリティ強化、セキュリティ監視、仮想通貨の管理方法の見直しなどを行いました。

Q.

ネットワークの再構築とは、どのようなことを行ったのですか。

A.

当社は、本事案を踏まえ、当社の社内ネットワークの再構築をし、外部ネットワークから社内ネットワークへの接続に対する入口対策を強化するとともに、社内ネットワークから外部ネットワークへの接続に対する出口対策においても多層防御を行います。
また、当社内部におけるアクセス制限や、外部からのアクセス制限の強化を行い、外部からのサイバー攻撃の防御と監視を行ってまいります。

Q.

サーバの再設計・再構築とは、どのようなことを行ったのですか。

A.

セキュリティ対策の強化のため、各サーバ間の通信のアクセス制限の強化、システム及びサーバの構成の見直しを実施しています。
特に、機密性の高い重要情報については、暗号化等の方法により管理を強化して、安全性の高い管理を行うことといたしました。

Q.

端末のセキュリティ強化とは、どのようなことを行ったのですか。

A.

業務に使用する端末を新規に購入し、既存端末と入れ替え、端末がマルウェア等に汚染されている潜在的なリスクを排除しています。
また、今後の利用にあたっては、ファイアウォールに守られた新規ネットワーク上の安全な経路を利用してまいります。

Q.

セキュリティ監視とは、どのようなことを行ったのですか。

A.

外部からの不正アクセス対策として、社内におけるモニタリングの強化に加えて、金融系システムセキュリティ及びサイバーセキュリティ対応に関する外部専門機関によるセキュリティ監視を実施することにより、万が一、外部からの不正アクセスによって、社内ネットワークに侵入を許した場合にも、被害の発生や拡大の防止を図ってまいります。

Q.

仮想通貨の管理方法の見直しとは、どのようなことを行ったのですか。

A.

コールドウォレットに完全対応している一部の仮想通貨について、安全に入出金等が行える技術的な検証を終えております。
なお、これらの対策につきましては、金融系システムセキュリティ及びサイバーセキュリティ対応に関する実績のある外部専門家の確認・検証も経たうえで実施しております。

Q.

システムリスク管理体制は、どのように変更したのですか。

A.

当社は、業務部門から独立した内部管理部門において、新たに金融機関出身者をシステムセキュリティ責任者(CISO)として選任しました。システムセキュリティ責任者(CISO)は、取締役会と連携してシステムリスク管理態勢の構築に取り組んでまいります。
また、システムセキュリティ責任者(CISO)の業務を補佐する組織としてCISO室を新設いたしました。CISO室においても、社内の各セキュリティ対策のために、各種施策を実行してまいります。

情報セキュリティ及びシステムリスク管理を強化するため、社内委員会として、システムリスク委員会を新設しました。全社的なセキュリティリスクの把握及び各部署の責任者に対しセキュリティ対策に関する指示等を実施してまいります。

当社では、本事案の発生を踏まえ、内部監査部門の人員等の強化を図るとともに、内部監査規程、監査計画等の見直しを行い、内部監査機能の強化を図ってまいります。
また、システムリスク管理態勢の整備状況を重点監査項目として内部監査を実施してまいります。監査にあたっては、必要に応じて、外部専門家による外部監査等も利用しながら実効的な監査の実現に取り組む予定としております。

上記のシステムリスク管理態勢の強化に加えて、経営体制の強化や監査役による監査機能の強化等を行い、再発防止に取り組んでまいります。

NEMの補償について

Q.

NEM保有者に対して行われる補償の内容を教えてください。

A.

補償の内容は以下の通りでございます。
補償時期:2018年3月12日
補償方法:日本円(JPY)でコインチェックウォレットにご返金いたします。
補償金額:88.549円×1月26日23:59:59時点での保有数
補償対象:1月26日23:59:59時点でコインチェックウォレットにてNEMを保有していたお客様

Q.

補償資金はあるのですか。

A.

補償は全額自己資金で準備しています。

Q.

補償の支払いを行っても倒産しないのですか。

A.

NEMの補償を行った上でも当社には事業継続に足りる自己資産を有しており、事業を継続してまいります。

Q.

なぜ今まで開示しなかったのですか。

A.

当社では、お客様の資産保護、また原因究明等を最優先とし、現在まで再発防止策の策定、システムリスクへの対応等を行っており、サービス全体に係る態勢の整備や再開に向けた準備を行っておりました。

その他のご質問

Q.

NEMが日本円で補償されることによって、利益確定となり税金かかるのですか。

A.

課税関係につきましては、現在、国税当局に相談を開始したところです。取り扱いがわかり次第、アナウンス差し上げます。
※ NEMの補償として支払う金銭は、本年(平成30年)に発生した事実に基づいてお支払するものですので、課税対象となるか否かにかかわらず、平成29年分の確定申告に影響を及ぼすものではありません。

Q.

警察への刑事告訴は行ったのですか。

A.

被害の届出を行いました。

Q.

警察からの事情聴取などその後の動きを教えてください。

A.

捜査に関わる内容でございますため、お答えは控えさせてください。

Q.

仮想通貨交換事業者登録は可能なのですか。

A.

当社は、仮想通貨交換業者の登録取得に向けた取組みを継続しております。今回のセキュリティ対策の強化や態勢整備の強化も通じて、登録取得に向けて努めてまいります。

Q.

金融庁に提出した業務改善命令に係る報告書は公開されないのですか。

A.

その予定はございません。

Q.

顧客資産はすべて返却できるのですか。

A.

顧客資産は分別管理をしておりますため、出金申請をいただけましたら順次出金させていただきます。

Q.

コインチェックの財務状況を教えてください。

A.

現在、開示予定はございません。
NEMの補償実施及び今後の事業継続に必要な自己資産を有しております。また、顧客資産につきましては分別管理をしております。

日本語で表示しますか?

はい いいえ もう表示しない

Show in English?

Yes No Never