[コインチェック流出]その技術的ミスをNEM財団VPが語る 公式インタビュー全文翻訳

1月26日、コインチェックの巨額流出を受け、流出した仮想通貨NEMを推進するNEM財団のバイスプレジデント ジェフ・マクドナルド氏への緊急インタビューがYouTubeで公開された。聞き手は、NEM財団の情報を対外発信する公式SNS@inside_nemの担当者アレックス氏。収録時間は約27分。

NEM財団とその開発者コミュニティでは、流出したNEMへの技術的包囲網と監視が続けられており、状況はリアルタイムで進展している。インタビューでは、今回の巨額流出のメカニズムのキーになりえる知見に富んだ発言が散りばめられており、全文翻訳にて公開する。

注1：この記事はYouTube動画をベースに、NEM財団が公式に配信した英文書き起こしを参照して翻訳しています

注2：文中では、NEM（仮想通貨の名称）とXEM（その通貨単位）が混在していますが、インタビューの発言内容のためそのままとしています

（インタビュー公開日：2018年1月26日）

関連記事：コインチェック流出：30歳契約社員は｢生活にゆとり欲しかった｣と貯金200万を投資していた

関連記事：独自解析：コインチェック580億円流出は｢わずか5分｣の犯行と判明、データ解析で探る巨額のゆくえ

コインチェックがNEM財団とのホットラインに連絡

—— ジェフ・マクドナルド（Jeff McDonald）、NEM財団のVPとつながっています。昨日、コインチェックからXEMコインが盗難にあったことについてお話しします。NEMチームとコインチェックは状況の解決に向けて最善を尽くしています。ジェフ、いま何が起こっているのかの概観と今後数日に何がおこるのかについてのあなたの考えを教えて。

ジェフ：まだわかっていないことがたくさんありますが、私から言えるのは、コインチェックチームとミーティングをして、私たちはこの盗難について大変残念に思っている、ということです。誰かが5億以上のXEMを彼らのウォレットから削除（remove）し、コインチェックチームは何が起こったのかを把握するためにできる全てのことをやっています。我々NEM財団はコインチェックチームと接触して対話しており、可能な限りのサポートをしようと試みています。

知るべき情報はまだたくさんあります。ただ大枠として、私たちははコインチェックチームを助けようとしています。私たちはなくなってしまった資金を追跡しており、NEM財団では（BIJ注：今回の流出）資金に関連する全てのアカウントをタグ付けしている（ところです）。私たちは目下、取引所に接触し、これらのXEMの支払いを停止するよう促しました。

状況はひどいものですが、NEMにはパワフルなAPIがあり、任意のデポジットに1つAPIを追加すれば、取引所は盗まれた資金がデポジットされたかどうかを見ることができる。取引所と協力して、これができることを試しているところです。

—— （Inside NEMのTwitterアカウントを読みながら）いくつかのコミュニティから質問が来ています。｢ハッカーによって盗まれたXEMコインは、顧客に戻るのでしょうか？”

ジェフ：ハッカーがコインチェックにお金を返すかという質問ですか？

—— いいえ。盗まれたNEMをコインチェックに戻すことは可能でしょうか？

ジェフ：あまり憶測を立てたくありません。コインチェックは基本的に5億ドル相当のXEMを失いましたが、もし10億ドルの現預金があるなら、損失を簡単にカバーできることになります。私はコインチェックがどのぐらいの売り上げがあるのか知りません。それはコインチェックがこれから調べることで、私はそのことについてはコインチェックと話していません。（BI Japan編集部注：その後1月28日未明に、コインチェックは期日未定ながら日本円での返金補償についてプレスリリース配信済み）

※下記は巨額流出を受けて、1月27日に日本へ向けて日本語で発信されたINSIDE NEM公式アカウントのツイート

—— これは以前あなたとお話したことですが、XEMを取り扱うあらゆる取引所は自分たちの資金で購入しています。割引価格では購入していない。他の人と同じ値段を払って購入している。だから、XEMは全ての取引所で取り扱っているわけではないのだと。NEM財団は割引について、とてもしっかりしたスタンスを持っているから。これが実際のところ、コインチェックにとって大きな損害になっています。

ジェフ：そうですね。とても残念に思います。というのもコインチェックのチームメンバーには直接あったことがあり……本当にいい人たちでした。日本では、親しみやすく使いやすい取引所として定評があり、とても人気があります。

ずいぶん前、コインチェックはその運営方法もあり、3億のXEMを購入しました。盗まれたXEMの中にコインチェックのXEMがどのぐらい入っているのか、ユーザーがデポジットしたXEMなのかはわかりません。これは時間が経たなければわからないが（コインチェックのXEMとユーザーファンドのXEMの）両方のミックスではないかと思う。

—— 一体何が起こったのですか？ NEMがすぐに見つけたのか、何かメールが送られたのですか？ ホットラインですか？ コミュニティでは、取引所がハッキングされたことがどう可視化されたのか（知らされたのか）について質問が来ています。

ジェフ：昨夜（BIJ注：おそらく発生当日）知りました。NEMにはホットラインがあります。昨夜コインチェックチームが我々のホットラインに連絡して来て、私たちは電話に応じました。それからすぐにコインチェックとビデオ会議をし、そこで、私たちが持ちうる選択肢について話し合いました。その時、NEM財団がコインチェックのために（アカウントの）タグづけをすることと資金の追跡をスタートすることを決定しました。

NEM財団が不正送金を｢キャンセル｣できない理由

—— コミュニティからの別の質問として、｢強制的にXEMを復旧させる（取り戻す）方法はないのか？｣というものもあります。NEM財団がストップさせられないのか？と。しかし、そういう風にただ取引を停止させるということはできませんよね。

ジェフ：いくつか、説明しておくことがあります。（まず、）コインチェックから資金が動いたとき、全ての資金がホットウォレットにあったようです。APIが無防備（exposed）な状態になり、おそらくは秘密鍵も無防備になっていたかもしれません。本当にそうだったら良かったのですが、コインチェックがマルチシグでNEMを使っていれば、これらすべての問題から守られたでしょう。

言えるのは、資金が一旦コインチェックから持ち出されると（その資金は）ブロックチェーンに記録され後戻りさせる方法はありません。ブロックチェーンの記録をハードフォークなしに改変することは不可能です。そして、ハードフォークは私たちの選択肢にはありません。NEMのプロトコルは、設計されている通りにしか動きません。資金が盗まれたら、それを強制的に取り戻す唯一の方法はハードフォークですが、これは私たちの選択肢として検討しません。なぜなら、NEMシステムは正常に稼働しているからです。ぞっとする話ですが、しかし、資金が戻るとすればハッカーがコインチェックにXEMを戻す以外にはないでしょう。

—— 念のため言っておきますが、コインチェックと我々（NEM財団）は良好な関係にあります。彼らはいい人たち（good people）ですが、的確なセキュリティ対策を講じなかったというミスをしました。（コインチェックの）COOがテレビにライブ出演して報道陣にこのことについて説明しています。ここで、誰かを貶める（おとしめる）ようなことには興味はありません。私たちの関心は、一体何をすべきで、何をなすべきでないかを話し合うことです。

現時点でやるべきでないことは全ての資金を取引所に置かないこと。お金はコールドウォレットに入れておくべきです。マルチシグをどのように使うかについてはたくさんのチュートリアルを設けて、これらの機能について話していきます。今回の一件は、コインチェックと彼らの顧客を始め、多くの人々にとって、自身のコインを安全ではない方法で保管すると何が起こるのかを知らしめる恐ろしい出来事となりました。

ジェフ：その通りです。ユーザーもそして取引所にとっても。過去幾度にも渡って、取引所はハッキングされてきました。どれだけのセキュリティ対策を取引所が講じていたとしても、常にハッカーは最新のセキュリティ技術を破ろうと試みます。イタチごっこです。

ひとつ、ここでカタパルト（Catapult）について触れておきましょう。NEMは新しいメジャーアップデートを行い、このような機能が将来的に取引所でも使えるようになります。取引所がハッキングされて秘密鍵が漏洩しても、資金が盗まれないようになります。これは、NEM Catapult Systemのコアに直接追加（plugged）される高度なコントラクトにより実現します。これはブロックチェーンと仮想通貨の問題なのです。取引所が次々とハッキングされています。NEMはこうした影響を受けた最初のブロックチェーンではありませんが、（現在）影響を受けている、あるいは（将来的に）影響を受けるでしょう。素晴らしいソリューションはたくさんあり、我々は以前からこれについて多くの時間を費やして話してきました。もしカタパルトアップデートが（流出より早く）リリースされていて、それを取引所が適切に実装していたとしたら、今回のハックによって彼らの資産が失われるようなことは起こりえませんでした。

巨額流出がNEM（XEM）に与えるインパクトは？

—— 数百の通知がTwitterに届いています。｢長期的にXEMへのインパクトはありますか？｣つまり、今（アカウントを）追跡しており、取引所と協力して資金を取り返そうとしていることはわかったけれど、ハッカーが将来XEMの価格を操作することもあり得るのでしょうか？

ジェフ：これは常に大きな問題です。そして、その質問への答えは｢現時点では確実に言えない｣です。現時点では、ハッカーが5億ドル相当のXEMを売却する方法はありません。市場がそれを恐れることはないと思います。最も流動性の高い、最大の取引所に連絡したところ、すぐに反応があったことは、とても嬉しいことでした。コミュニティ全体、そしてパートナー企業がXEMで作りあげているエコシステムは私たちからの連絡や提案にすぐに反応してくれ、本当に嬉しく思っています。いま、（盗まれた）資金を持っている人が売却するのを難しくするシステムを作っています。このシステムが実際にどのようなものなのか、いつ実装されるのかについて詳細を話すことはできませんが、すでにそれに向けた作業を進めており、盗まれた資金に関連づけられたアカウントは全てタグづけされています。

—— では全てのお金がどこにあるのか誰が持っているのか、リアルタイムで100％確実にわかるのですね？

ジェフ：100％とは言い切れません。しかし、最新のレポートでは、98％はカバーしていました。もう一度確認する必要がありますが。基本的に、我々はアクティブに動向を見ており、資金に何が起こっているのか、どのように移動したのかを把握しようとしています。取引所と協力して我々のコミュニティにとって問題がないようにしようとしています。

—— コミュニティでは、もし自己資金を費やして購入した資金を回復できなかったら、取引所が倒産するのではないかという恐れが出ています。

ジェフ：それはコインチェックが考えるべきことです。我々は大規模なハッキングをたくさん経験して来ましたが、取引所が倒産したもの、しなかったものがある。この問題は取引所（BIJ注：コインチェック）が自分たちで振り返り公の場で発言するべきです。だが、私はどちらに転んでも驚きません。運営を続ける可能性もあるし、閉鎖する可能性もある。本当にわかりません。

—— 率直に言って、銀行でも仮想通貨でも、この規模のハッキングを思いつきません。

ジェフ：過去最大の盗難だという人もいます。とても主観的な意見ですが。過去に、アメリカの金融界はサブプライム危機の責任を問われました。他にも、巨額のお金が消えてしまったことは過去にたくさんあります。だが、仮想通貨界、仮想通貨取引所界においては、私が知っている限り、これは過去最大のハッキングです。

—— （Twitterを読みながら）いくつかの質問が来ています。｢中央集権化されたシステムがあり、あなたは神のように他の人のお金を追跡して凍結できるのですか？ ひどく恐ろしいことだ｣という意見があります。

ジェフ：それは真実ではありません。これはブロックチェーンなのです。ブロックチェーン上の全ての情報は常に知られており、オープンです。NEMの素晴らしさは、APIにあります。非常に簡単に組み込めますし、リアルタイムに送金を追跡できます。また、コインチェックを支援したいと思うあらゆるパートナーとそれらを共有することもできます。

これに参加するかどうかは取引所が決められます。ブロックチェーンを完璧にコントロールすることはできません。私たちにできることは、人々が気づき、警戒するためのツールの提供です。NEMはシンプルなAPIコールで良いが、リアルタイムで資金の追跡が効率よくできないブロックチェーンもあります。トランザクション（取引）のハッシュで全ての情報を参照しなけばならないところもある。これはひどい方法だし、非効率です。はっきりさせておくと、NEMのチームはハードフォークをするつもりはありません。けれども、我々は、パートナーが決して犯罪行為を支援を行わないようツールを提供できます。

NEMにおける流出防止技術とは

—— マルチシグに話を戻しましょう。なぜコインチェックがマルチシグを使わなかったのかという意見がたくさん届いています。NEMはマルチシグ以外の選択肢も用意しているのか？　今回のようなことを防ぐことができる新しい機能がNEMのパートナー向けにあるのか？という質問もあります。

ジェフ：ちょっと補足させてください。通常、取引や取引所は複数の階層でセキュリティを講じています。一つ目に通常行うのは、コールドウォレットとホットウォレットを用意することです。通常、資金の90％から95%をコールドウォレットで維持します。これが最善の方法と言われています。

二つ目に、取引所ができることとして……（そもそも）マルチシグのような（取引の）合意メカニズムをコアに実装していない仮想通貨も数多くあるのです。

NEMは、マルチシグのような合意の仕組みと、ブロック生成を持った、初のブロックチェーンでした。ビットコインでは事後的にマルチシグをどうやるかを探ろうとしました。Bitcoと呼ばれる有名な企業が、大規模な取引所に代わってマルチシグを処理しています。つまり、ビットコインの大型の取引所はマルチシグを第三者企業に委託しているのです。NEMはこれに対し、処理を委託することなく、APIをプラグインするだけです。本当に大変残念なことですが、1）コインチェックはコールドウォレットシステムを使っていなかった、そして2）彼らはホットウォレットとコールドウォレットのいずれかあるいは両方で、マルチシグを使っていなかった。

コインチェックは素晴らしい人たちで、名指しで批判したくありませんが、今回のハッキングをほぼ不可能にするためにできることがたくさんあったと思います。他の取引所はコールドウォレットシステムをいずれかの方法で実装することを願います。コールドウォレットシステムを実装済の取引所はあります。実際それは資金保全には、最も安全な方法です。

—— コミュニティからの大きな質問として、｢取引所が実際にマルチシグのようなものを使っているかどうか、確実に知る方法はあるか？｣という質問が出ています。他の取引所でハッキングが起こらないと言えるのか。私たちは取引所を所有・運営するパートナーと協業関係にあります。私たちが取引所に何か強制することはできません。もちろん、トレーニングを提供したり、使い方を見せることはできます。

ジェフ：取引所から求められれば、（教えたり、サポートしたり）できます。必要なら喜んで協力しますし、プロトコルをどのように使うかのトレーニングとサポートを提供します。私はたくさんの取引所と対話しており、一部の取引所は高度なセキュリティ機能を持っています。非常に優れたセキュリティで感銘を受ける取引所もあります。だが、どこがやっていてどこがやっていないなどと、名指しで言うつもりはありません。

—— はい、その点について触れるのはやめておきましょう。

ジェフ：そうですね。

—— あなた、そして他のNEMチームは3ファクタ認証を実施してますね？ 3ファクタ認証について教えてください。

ジェフ：NEMはマルチシグを使って非常に高度なことを可能にします。ですから、今まで多くの人がやってきたことは、複数のマシンでマルチシグを実行することに置き換えることができます。その一部はインターネットに接続しているものもあれば、していないものもあります。あるマシンで取引が始まり、別のマシンで承認され、また別のマシンで承認されていきます。

たとえば、私が自分のWindowsコンピューターで取引を開始し、Macに接続されているTREZOR（トレザー、ハードウェアビットコインウォレット）というハードウェアで承認し、インターネットにほとんど接続しないLinuxベースのUbuntuシステム起動させる、ということができます。

少々不幸なことに、Nanowalletの次のバージョンは既にオフライン取引におけるイニシエーションの法人対応があり、アナウンスしているところです。が、少し遅かった。インターネットに全く接続させないマシン向けのオフライン取引サポートは、次のNanowalletで実現します。私自身も試し使いましたが、とても良いものです。

—— いいですね、カタパルト（Catapult）、急いで。

ジェフ：現行版のNEMでも、ずいぶん前からオフライン取引はサポートしています。NEM.ioコミュニティのプロジェクトウェブサイトに行けばわかりますが、これはホット/コールドウォレットと呼ばれています。実験的なPoC（プルーフオブコンセプト、実証）ウォレット機能で、インターネットに決して接続することなく、取引で送金したり受け取ったりができます。これはクールなアイディアで、次のバージョンのNanowalletのオプションとして加わります。次のバージョンのNanowalletは、この1-2週間で公開になる予定です。ここでオフライン取引のセキュリティ機能が提供されます。

カタパルト（Catapult）は、ここでは詳細を話せませんが、2種類の高度な機能があります。このうち1種類でも使えば、典型的な取引所に対するハッキングは不可能になっていたでしょう。これは本当に素晴らしいことです。

カタパルト（Catapult）が早く実現すると良いが……。、（カタパルトでは）典型的な取引所のハッキングが行われないようにする方法が2つあるのです。素晴らしいAPIとプロトコルです。

まとめ：｢ハードフォーク｣はあり得ないが支援していく

—— このインタビュー中にも私はコミュニティをモニタリングしていますが、彼らはNEMの価格と、コインチェックにある自分のコインについて心配しています。ですが、あなたは先ほど明確に説明してくれましたね。ブロックチェーン上にあり誰もが見ることができて、我々がコントロールしているのではないと。我々はそれらにフラグを立て、人々はそれを知ることができますが、取引所とともにやっていて、そしてすべての取引所の反応がよく、私たちのフィードバックに耳を傾け、この問題でも協力してくれていると。

ジェフ：その通り。繰り返しますが、ハードフォークはあり得ません。しかしNEMの魅力はブロックチェーン上で簡単にタグ付けでき、誰かがコインチェック由来の資産を預けようとすると（deposit）、取引所はアラートを受けることができるのです。

—— もっとお話しすることはありますが、言っておきたいことは、NEMはブログ、プレスリリースなどで対話を続けていき、何が起こっているのかを継続的に伝えています。私たちの代表のロン（Lon Wong氏＝NEM財団・プレジデント）はこの出来事が起こった時から今もコインチェックとも協力しており、積極的に発言しています。今後も新しい動きや発見をコミュニティに伝えていきます。コインチェックも詳細な調査をする機会につながるでしょう。

ジェフ：そうです。最新情報を伝え続けます。

—— コミュニティに感謝しています。我々は最善を尽くしています。パートナー、コインチェックを製品でしっかりケアしています。重ねて申し上げますが、ひとたび我々の手を離れれば、パートナーのセキュリティになります。コミュニティの他の人たちにNEMにはマルチシグがあることを知ってもらい、いかにして自分の仮想通貨を取引所とあなたのウォレットで管理するかを知らせてください。

ジェフ：それから、ハードウェアウォレットもあります。我々はTREZORをサポートしており、これも資金を安全に保管する素晴らしい方法です。

（翻訳：末岡洋子、西山里緒、伊藤有、佐藤茂）