仮想通貨流出「Zaif」の報告「全てにおいて不十分」 金融庁

[片渕陽平，ITmedia]

　不正アクセスによって約70億円相当の仮想通貨が流出した取引所「Zaif」の運営元テックビューロに対し、金融庁が9月25日、3度目の業務改善命令を出した。顧客被害への早急な対応を促すもので、業務停止命令などは必要に応じて判断する方針だ。同社は18日、同庁に被害を届け出たというが、その内容は「全てにおいて不十分」（同庁幹部）だったという。

猶予は2日間　金融庁の“厳しいスケジュール”

　今回の業務改善命令では、テックビューロに対し、流出トラブルの事実関係・原因の究明に加え、再発防止策、顧客被害への対応などを、9月27日までに書面で報告するよう求めている。期限まで2日間と猶予はないが、金融庁は顧客被害を重く見た。

　流出トラブルを受け、テックビューロは顧客資産の財源確保のため、フィスコ、カイカの2社と支援契約を20日に締結したが、金融庁は「9月末までに約50億円の支援を受けるというが、当庁に具体的なスケジュールなどを示していない。今頃には計画が具体化していないといけない」と指摘する。

不正検知に3日間

　テックビューロによれば、ハッキングを受けたのは、入出金用のホットウォレットを管理するサーバだった。14日ごろから仮想通貨の入出金サービスなどに不具合が発生していたが、サーバの異常を検知したのは17日。翌18日にハッキング被害を確認した。サーバへの不正アクセスは、14日午後5時ごろ〜午後7時ごろに起きていたという。

　同庁は「不正の検知に（14日から3日間も）時間がかかっているのは問題外」と断じる。18日に同社から届け出を受けたが、報告内容は「全てにおいて不十分」（同庁）だったとし、より詳しい事実関係・原因の究明を求める。

業務改善命令の内容

　また「ホットウォレットに保有している仮想通貨の割合が高いという印象だ」と金融庁は指摘する。インターネットに接続されているホットウォレットは、遠隔操作や高頻度の入出金には適しているが不正アクセスには弱い。仮想通貨交換業者によっては、ホットウォレットでの保有分を資産全体の1割以下に抑え、秘密鍵がネットから分離されたコールドウォレットに残りを入れておくケースもある。

　「ホットウォレットで保有する資産の水準は、何かが起きても自社の純資産でカバーできるといったリスク管理が大事と考えている。そういった点では今回、（水準を）超えるような管理をしていたのではないか」。同庁は具体的な水準の値は示していないが、他の業者も含め実態を把握していく考えだ。

　これまでも金融庁は、テックビューロに対し、2回の業務改善命令を出してきた。今年3月にシステムリスク管理体制について、6月にマネーロンダリング対策や、顧客資産と同社資産の分別管理体制などについて、それぞれ不備を指摘し、改善計画を提出させていた。進捗していた点はあるというが、同庁の幹部は「そうした中で、流出トラブルが起きたことは非常に遺憾」と話した。

　テックビューロは昨年11月、改正資金決済法に基づき、金融庁の登録を受けた業者だ。「資金決済法によれば、登録の取り消し、業務の一時停止といった手段も考えられる。検査を続け、把握した状況を踏まえ、必要な対応を取る」（同庁）

金融庁が直面、審査の限界

　一方、記者からは、金融庁による審査の限界を指摘する声も上がった。「人材が足りているのかと問われると『足りている』とはいえない」（同庁幹部）。

　今年1月にコインチェック（東京都渋谷区）が運営する取引所から約580億円相当の仮想通貨が流出し、同庁はコインチェック以外にも登録業者への立ち入り検査、業務改善命令を出してきた。「コインチェックの事案を受け、検査にリソースを割かれている」（同庁）

　だが、新規登録を目指す業者は後を絶たない。「当然、審査は厳しく行わないといけないが、今回の流出があったからといって新規登録を止めるわけにはいかない。多数の申請者がいるので、事案も踏まえて速やかに対処していく」（同庁）