コインチェック記者会見の内容まとめ|3月8日
3月8日に行われたコインチェックの記者会見の内容についてまとめています。
3月8日16時、仮想通貨取引所コインチェックは流出した仮想通貨NEMの補償になどに関する記者会見を行いました。
以下に会見の内容についてまとめます。
https://www.youtube.com/embed/U7p_gU34_Ek和田晃一良代表取締役の説明
本日はお忙しい中お集まりいただきありがとうございます。
弊社のこの度の一連の問題において、お客様並びに関係者の皆様に多大なご迷惑とご心配ををお掛けしました事を深くお詫び申し上げます。
この度金融庁から改めて業務改善命令を頂き、この指導に関しては真摯に対応していく所存で御座います。
改めて本事案に関しまして、お客様・関係者の皆様にご迷惑とご心配をお掛けしてしまった事、また本日ご説明する内容についてもご報告が遅れてしまった事を深く反省しております。
大塚雄介取締役の説明
事件の背景の説明
5億2630万10XEMが平成30年1月26日の午前0時2分から午前8時26分の間に不正アクセスにより外部に送金されました。当時XEMを保有していた利用者は約26万人です。
ネム以外の仮想通貨及び日本円が不正アクセスによって外部に出たという事実はありません。
事件発生の原因調査の概要について
事件が発生して社内で調査を行ったほか、外部の金融セキュリティの専門家の方々の協力を得て原因の追求を行いました。具体的な調査内容としては、社内で使っていたパソコンのログの調査を行い、ネットワーク機器についての通信のログの調査、サーバー内のログの調査を行っています。
調査の結果は、外部の攻撃者が従業員のパソコンにマルウェアを仕込み感染させた後、マルウェアを使って外部ネットワークからネムのサーバーにアクセスし、ネムのサーバーの秘密鍵を取得してネムを不正送金させたと想定されています。
事件後に行ったシステム面の対策について
自社だけでなく外部の専門家の方々と、改めてパソコンの準備ないしサービスのネットワークの準備を整えております。
ネットワークの再構築を実施しました。新しいネットワークでは、外部のネットワークから接続する際の、出入り口でのセキュリティの強化と多重の防御を行うことでネットワークの強化を行っています。サイバー攻撃を受けたとしても、それを常に監視できる体制を整えております。
今まで使っていたサーバーから全く新しいサーバーに移すために、新しいサーバーの構築をこの1ヶ月をかけて行いました。
端末のセキュリティ強化のために、今まで従業員が使っていた端末を全て使わないようにし、新しい端末を新たに購入しファイヤーウォール等でネットワークから新しい経路を作って、全く新しい環境でのサービスの再開を進めています。
セキュリティ監視の強化については、金融セキュリティに強い外部の会社に委託してネットワークの接続状況を常に監視する対策をとっています。
仮想通貨のセキュリティ強化については、全てコールドウォレット等で完全な入出金が行えるような準備を進めてきました。サービス再開に必要な技術的な安全性が確認されたので、順次できたものからサービスの再開を進めていきます。
システムの管理体制について
システムの管理体制に関しては、新しくシステムセキュリティ責任者(CISO)に元々金融機関出身の者を新たに任命し統括責任者としておくとともに、その下に「CISO」を支えるための「CISO室」というものを新設しました。
CISO室に関しては、事業を行っている者に対してセキュリティの教育を行うとともに、新しくアプリケーションなどを使う際には「CISO室」でリスクの洗い出しを行い、リスクがないと確認できたものを社内で使う事でシステム管理体制の強化を行います。
システムリスク管理委員会の設置を行いました。情報セキュリティ責任者があげてきたセキュリティに対して、セキュリティ対策委員会でセキュリティの優先度を付け、その中で承認されたものが社内で使えるような形になります。
またセキュリティ委員会に加えて内部管理体制の強化を行っています。
今回の事件を踏まえて内部管理体制の人員の強化を測っていくとともに、内部管理規定ならびに内部管理の計画の見直しを行うことで内部管理関係の強化を行います。
経営管理体制の強化について
お客様保護の観点から抜本的な経営体制の見直しを行い、顧客保護を徹底した経営戦略を行っていく所存でございます。
お客様の窓口の強化とネムの補償については、ネムの補償専門の電話対応チームを設けての対応をさせていただきます。
ネムの補償に関しての具体的な目処がついてきましたので、補償方法やどのような形で返金させていただくかは、来週中を目処としてコインチェック社のホームページで告知させていただきます。
一部のサービスの再開に関しても、システム面での安全性の確認ができてまいりましたので、順次体制が整い次第来週中を目処に再開の内容についても同社のホームページで報告する予定です。
記者との質疑応答の内容について
ここからは記者からの質問とそれに対する応答についてまとめています。
和田社長の回答には『和-』大塚取締役の回答には『大-』と記載しています。
1.責任の取り方についてはどのように考えているか
大- まさにこれから内容の方を吟味してご報告させていただく所存でございます。
2.ネムの補償は具体的にはいつどのように?
大- 日本円の形でユーザーのコインチェックのアカウントの方に反映させていただく所存であります。具体的な内容に関しては来週のホームページでご確認下さい。
3-1.マルウェアの感染はどのように?
大- 当社の従業員に対してメールのような形で送られて感染した。詳しい内容に関しては捜査状況も含まれるためお伝えできない。
3-2.メールはいつ受信した?
大- 分かり次第報告させていただきます。
4.ネムの補償がアカウントに反映されるのはいつ?
和- 基本的には来週中にアカウントに反映をすることを予定しております。
5.業容拡大に追いつけなかったことについてはどのように考えている?
大- 仮想通貨全体の価格が一気に急騰しユーザーが増えたことによって、業容の拡大が市場の大きさと共に大きくなった
5-2.他社ではこれほどの問題にはなっていないが、御社特有の問題があるのではないか?
和- 基本的に他社のことについては私たちにはわかりかねますが、私たちとしてはこれまで人員の拡大や内部管理体制については強く認識をしており、そこについての投資は行っていました。ただその中で人員の採用がうまく進まなかったり、色んなところで問題が起きてしまい、このような事案を引き起こしてしまったと考えております。
6.NEMの返金やその他の仮想通貨は利用者の手元に無事に帰ってくるという認識で良いか?
大- 左様でございます。
7.現時点でお二人に辞任される意思はありますか?
和- 内容の詳細が確定次第ご報告させて戴ければと思います。
7-2.辞任することも視野にされるということですか?
和- そこも含めて検討はしております。
8.顧客資産と御社の資産は厳格に分別されていたのか?
大- お客様からお預かりしていた資金は別の口座として管理させていただいていました。先日の日本円出金の際にも随時出金の対応をしており、現時点で600億くらいお客様にお返しさせて頂いております。こちらに関してもお客様の分は別でわけておりますので、順次日本円の出金をいただければ対応させていただきます。
9.仮想通貨の引き出しは来週中に完了する?
大- 順次確認ができ次第やらせていただく
9-2.現在の顧客が一斉に仮想通貨を引き出した場合でもサービスは継続できるか
大- お客様から預かっている仮想通貨は別で管理しており、仮想通貨の送金はそちらから行うのでサービスの継続はできると考えています。
10.マルウェアが送られてきたメールはフィッシングメールということですか?
大- 我々としてはそういう認識をしております。
10-2.それはコインチェックの特定の従業員個人に送られたものですか?
大- 複数の者に送られていることが確認できている
10-3.それは同一のメールが送られているのか?
大- 同じものが複数の者にいっているかは確認させていただきたい思います。
10-4.そのメールは仮想通貨事業社に広く送られるような汎用的な内容だったのか?
大- 汎用的な内容ではなかった
10-5.ではコインチェックに当てられた内容で送られたものということ?
大- そのような文章だったと....
10-6.感染した端末は社員のパソコンということか?それは複数か?
大- 左様でございます。複数台です。
10-7.それは複数のメールを開いたことで同じマルウェアに同時に感染したイメージでいいか
大- イメージとしてはそのような感じです。
10-8.秘密鍵は従業員の端末にあったのか、ネムのサーバーの中にあったのか
大- 従業員ではなくネムのサーバーにありました。
11.業容拡大に体制が追いつかなかったとあったが、業務内容を変更して対応する事はできなかったのか?
大- 価格全体のボリュームが上がってきてしまったことによって、お客様全体が増えてしまったため、絞ろうにも絞れなかった
11-2.事件前に取引を一旦停止させる事で、ウォレットの安全性が確認でき次第の再開ではダメだったのか?
大- お客様が資産を預かっていたため、安易に取引を止めることはできないと判断した
12.NEMの補償額は460億円で確定か
大- ネムに不正送金額に関してはネムの数量になるので、5億2630万10XEMが対象になります。先日出した補償方針のレートで確定している
13.CISOに選任されたのは社内の人間か?
大- CISOに関しては、社内の者で元々金融機関の証券等を担当していたシニアが担当しています。CISO室に関しては、情報セキュリティを元々やっていた社員と外部のセキュリティ専門家を揃えている
13-2.それはいつごろから設置される予定?
大- 既に設置している
14.人員の採用に関する問題はクリアできているのか?
和- 経営管理の抜本的な見直しと共に進めていく予定です
14-2.クリアできる見込みができた上での会見なのではないのか?
和- 「安全性が確認できた」というのはシステムリスクに関する部分なので、今回金融庁から受けた業務改善命令は、経営管理体制や内部管理体制についての見直しと構築を求められているため、その点については今後構築を進めていく
14-3.では体制が整う前に来週のサービス開始を迎えるということですか?
和- そのようになります。
15.取り扱う仮想通貨の各種リスクの洗い出しについてはどのような対応を予定している?
大- 取り扱う仮想通貨に関してもリスクの洗い出しを行い、改めて色々なリスクの観点を踏まえた上でどれを扱うかを検討する
16.人材が不足していたのは具体的にどの分野か?求人はしていたのか?
和- システムの人員、内部管理、内部監査、システムリスクの部門について、人員が足りなかったと認識しております。そこにつきましては私たちとしては当然、求人や紹介会社を使って体制の拡充を図りましたが今回の事案に至ってしまった
17.御社にとっての「顧客の資産保護」とはなにを指す?
大- お客様に対してお預かりしている分をちゃんとお返しをさせていただくことが、まず一番の顧客保護の方法になると思っております。
18.ネムの返金額の計算について、レートはいくらで日本円ではいくらになるのか?
大- 当初は不正送金された時間がはっきりしなかったため、トータルとして5億2630万10XEMという形で、送料の分が少し増えた形となっています。レートに関しては当初発表している88.549円になりまして、その2つを掛け合わせると463億円となっております。
19.訴訟への対応は?
大- 訴訟に対してはお客様にちゃんと向き合って対応させていただきます。
20.サービス再開後、最終的には今までのサービスや取り扱う仮想通貨などは全て再開される?
大- サービス再開後の最終的な形に関しては、今の状況を再現する形でサービスの再開をできるように努力していく
21.マネーロンダリングなどを踏まえて、匿名の仮想通貨の取り扱いをやめる予定はありますか?
大- マネーロンダリングの防止のための整備が求められている事を真摯に受け止め、匿名通貨だけに限らず既存の通貨も含めて改めてリスクの洗い出しをした上で、どの通貨を扱うかを検討する
22.ネムの補償対象者約26万人の中にマネーロンダリングに関わっている人がいた場合は?
大- 基本的な考え方ですが、お客様からお使い頂く時に本人確認資料などを確認しているので、現時点でネム補償の対象者にマネーロンダリングの対象者がいたという事実は御座いません。
23.今後の仮想通貨の管理方法は?
大- 今後の対策に関しましては、コールドウォレットを複数利用した方がよりリスクの分散になるため、そこも視野に入れて対応していく
24.コールドウォレットは自社で開発するのか?
大- 社内のセキュリティの専門家の方からアドバイスを受けながら、開発自体は弊社の社内で行っている
25.マルウェアに感染した端末は社内で使われていた端末なのか?
大- 弊社社員の会社から支給されたPCが感染した
26.アラートの仕組みを整えていたにも関わらず、対応に時間がかかった理由は?
大- 事件の発覚に気付くためのシステムがなかったため、気付くのが遅れてしまった
27.今後の仮想通貨交換事業社への登録について前向きな話はあるか?
大- 仮想通貨交換事業社登録に関する要件が出ているため、そちらの要件を満たすべく努力している
28.業務資本提携に関する考え方は?
大- どちらかというと経営体制の抜本的な見直しだとは思うのですが、本日の業務改善命令を受けまして、そちらのほうの検討のほうを進めさせていただく
和- 私たちとしては基本的には顧客の保護を第一に考えているため、そのための手段として取り入れるべき手段、一番良い手段を取りたいと考えております。
28-2.であれば大手の傘下に入る事も一つの手段としてあるのか?
和- それが顧客の保護に繋がるのであれば、当然そうだと思います。
29.体制が整わない内にネムを取り扱った理由は?
和- なぜネムを取り扱ったかについては、私たちは当時2017年4月にネムの取り扱いを開始しました。その当時ではまだまだ現在のように仮想通貨に対して一般の方が興味を持っているような段階ではなく、私たちとしてはなるべく多くの仮想通貨の購入機会を設けることが、仮想通貨の業界の発展に繋がると考えておりました。ただその後4月から5月、6月にかけてネムや他の仮想通貨の価格が急騰しました。それを受けて私たちが予想していたよりもかなり多くの顧客が新しく登録をすることになったため、その頃から内部管理体制や業容拡大に対しての私たちの管理体制が追いついていなかったものと考えております。
30.ネム以外の仮想通貨を保有している方々の損失への補償などは考えているか?
和- 価格の下落への補填については、私たちの利用規約上、責任は負わないと考えています。
31.御社のビジネスモデルについて
大- ビジネスモデルに関しては主に2つの形式が御座います。
まず一つ目が取引所という形態になりまして、お客様同士に売買して頂く形になります。こちらが取引量の約80%を占めており、こちらの手数料は頂いておりません。
続いて販売所という形式があり、こちらはお客様が我々から仮想通貨を売買して頂くもので、こちらが全体の取引量の2割程度となっております。
32.コインチェックの年間利益はどれくらいある?
大- ビジネスの収益の源泉に関しては、販売所の方で我々が仕入れてお客様と売買した時の差、所謂スプレッドというものを我々の収益の柱にしております。
33.取引を通した仲介手数料以外に、自らの仮想通貨を売買して蓄積した利益もあるのでしょうか?
大- 我々が仮想通貨を保有して何かをするというビジネスモデルは基本的には御座いませんので、主な収益はスプレッドから出させて頂いています。
34.スプレッドからの収益では今後の事業継続は厳しいのでは?
大- もちろんお客様がいなくなってしまえば事業継続は難しいので、お客様に継続して使って頂けるように、これは普通の企業の努力としてやらせて頂く形になっています。
35.今後のコスト増の要因は増えているかと思われるが、それを踏まえても今後の事業継続には自信を持っているのか?
大- 基本的には財務の増強に関しましても、金融庁様の方にご報告させて頂いて継続する意思を伝えています。
36.テレビCMの今後の在り方とレバレッジ取引の今後の考え方は?
大- テレビCMも(レバレッジ取引も)含めて、まずは内部管理体制並びに経営管理体制の抜本的な見直しがされた後で検討していく
37.財務状況を今後開示する予定は?
和- 財務状況については現在のところは開示の予定はございません。ただネムの補償にかかる資産については有しております。
38.業容拡大に追い付けていない中でテレビCMを利用していたのはなぜ?
和- 広告に関しても、まずは仮想通貨の利用者を増やすことが業界の発展に繋がると考えていたため、一般の顧客の方に認知ができるテレビCMを行っておりました。
39.ネムの補償に関してはネムで返金するのが当然ではないのか?
和- 複数の法律事務所と相談した結果このような結果となりました。ネムで補償する事に関しては、それに伴うマーケットのインパクトであったり実現の可能性を踏まえた上で、今回の日本円での補償ということに決定しました。
40.日本円で返金した場合には税金がかかるのではないか?
大- ネムに関しては今国税庁とお話しさせていただいて、そこも含めてどうしていくかというのを確認させて頂いている
41.業容が拡大した内容などは具体的にはどの程度?
大- 取引所と販売所を全部を含めた取引高に関しますと、2017年で
7月が、2,868億
8月が、6,512億
9月が、7.619億
10月が、1兆282億
11月が、2兆5,268億
12月が、3兆8,537億
という形で拡大した形となっています。
ユーザー数全体に関しては、本日時点でのコインチェックのアカウントの口座数が170万口座あります。
42.マルウェアのメールを開いた従業員などへの教育はしていたのか?
大- セキュリティに関しては社内で教育を行っており、このような事にシステム上のリスクがあるという教育は行っていた
42-2.メールを開いてしまった従業員は複数人いるのですか?
大- 左様で御座います。
42-3.メールはどこから送られてきたのかは判明しているのですか?
大- 判明はしているが捜査の関係上お応えできない
43.価格の下落に関しての補填は行わないというのは、どういった理由から?
和- そちらにつきましては利用規約上の根拠が御座いまして、この場で詳細の事を申し上げるのは難しいのですが、別途弁護士を通して回答させていただければと思います。
44.来週のサービス再開には仮想通貨の売買も含まれるのか?
大- サービスの再開に関しては、詳細のやり方なども含めて来週のリリースで詳しく説明するので、本日は控えさせていただきます。
45.ネムの取り扱いは今後も続けていくのか?
大- ネムの取り扱いも再開に向けて準備を進めている
46.保有していないネムを販売していたというのは本当か?
大- 一部報道になったような、我々が持っていないものを販売したという事実は御座いません。
47.マルウェアのメールに関して今までにも今回のような兆候はあったのか?
大- そういうような兆候は、過去には見当たっては御座いません。
48.ネムの補償のレートにZaifの88.549円を採用した理由は?
大- 加重平均という形をとらせていただいて、そちらを元に弁護士の方とお話ししてこれが妥当だという事で提示させて頂いた
49.他の取引所への仮想通貨の送金予定額はどれくらい?
大- そこのところが今、数字のほうが手元に無くお応えすることができない
50.今後は現在取り扱っている仮想通貨を削る事も視野に入れているのでしょうか?
和- 現在取り扱っている13種類それぞれに対して、どのようなリスクがあるのか?取り扱う事に問題がないのか?という点について検討して参ります。どのような結論になるのかについては決定されている事項は御座いません。
51.コールドウォレットからオンラインに接続する際の施策などについては、どのようにお考えでしょうか?
和- 私たちとしては基本的に、書名をする際にもオンラインに接続する必要はないような形を考えており、なるべくどのような通貨についてもそのような方法をとっていきたいと考えております。そこについて決定している事項は御座いません。