Last Updated on 2026年1月7日 by けん実おじさん
「億り人」が地獄を見た日
総務のけん実おじさんです。
今回の監査対象は、2018年に発生し、仮想通貨バブルを終わらせた歴史的事件
「コインチェック事件」
です。
被害額は、当時のレートで約580億円。
マウントゴックス事件を超える、世界最大級のハッキング被害でした。
出川哲朗さんのCMで人気絶頂だった取引所が、一夜にして「引き出し停止」の地獄絵図と化しました。
「取引所に預けておけば安心」 その常識が通用しないのが、ブロックチェーンの世界です。
今回は、なぜ580億円もの資産が一瞬で盗まれたのか、その初歩的すぎるセキュリティ不備と、最新のDMM Bitcoin事件(482億円流出)にも通じるハッカーの手口を徹底監査します。
事件の真相:金庫の鍵を開けっ放しにしていた
なぜ、これほどの巨額が盗まれたのか?
原因は、最新技術の欠陥ではありません。
「鍵の管理」という、あまりにも初歩的なミスでした。
▼【監査ポイント】2つの致命的欠陥
- ホットウォレットでの管理: コインチェックは、顧客のNEM(ネム)を全て「インターネットに接続された状態(ホットウォレット)」で保管していました。 これは、現金を金庫に入れず、レジの横に置きっぱなしにしているのと同じです。ハッカーに侵入された瞬間、全てを持ち逃げされました。 本来あるべき姿: オフラインの「コールドウォレット」で保管する。
- マルチシグの未実装: 送金に複数の鍵を必要とする「マルチシグ(Multi-sig)」を使っていませんでした。 鍵が1つ盗まれただけで、金庫が開いてしまったのです。
ハッカーの正体:「Lazarus」
背後にいたのは、北朝鮮の国家ハッカー集団「Lazarus(ラザルス)」と言われています。
彼らは従業員にウイルス付きメール(スピアフィッシング)を送りつけ、社内ネットワークに侵入しました。
ミサイル開発資金のために、日本の取引所がATM代わりにされたのです。
被害者の地獄:強制利確と税金の罠
事件後、コインチェックは自己資金で被害を補償しました。
「お金が戻ってきたなら良かったじゃないか」と思いますか?
いいえ、ここからが本当の地獄でした。
税金という名の追撃
補償は「日本円」で行われました。
これにより、税務上は「強制的に利益確定(売却)」したことになります。
- 2017年の含み益: 仮想通貨バブルで1億円の利益が出ていた。
- 2018年の暴落: 事件後、相場は暴落。手元の資産は激減。
- 2019年の税金: しかし、前年に確定した「1億円の利益」に対して、最大55%の税金(約5,000万円)が請求される。
手元にお金がないのに、税務署から督促状が届く。
これで破産した「元・億り人」が続出しました。
これが仮想通貨投資の残酷なリアルです。
2024年の悪夢:DMM Bitcoin事件と「サプライチェーン攻撃」
「今は規制が厳しいから大丈夫でしょ?」
そう油断していませんか?
2024年5月、DMM Bitcoinから482億円のビットコインが流出しました。
日本の規制を突破した手口
DMMは金融庁の厳しい規制を守り、コールドウォレットを使っていました。
それでも盗まれました。
原因は「サプライチェーン攻撃」です。
ハッカーはDMMの社員ではなく、ウォレット管理システムの委託先企業の社員を騙し、そこから侵入したと言われています。
「システムが完璧でも、人間が騙されたら終わり」 防御側がどれだけ壁を高くしても、攻撃者は「人」という一番弱い穴を突いてくるのです。
監査総括:自分の資産を守れるのは「自分」だけ
取引所は銀行ではありません。
「分別管理されているから倒産しても大丈夫」というのは、あくまで法律上の話です。
ハッキングで盗まれてしまえば、ない袖は振れません。
【総務部からの資産防衛マニュアル】
- 「Not Your Keys, Not Your Coins」 秘密鍵を持たない者は、コインを持っていないのと同じです。取引所に置いている資産は、あなたのものではありません。
- ハードウェアウォレットを使え。 長期保有(ガチホ)する資産は、必ずネットから切り離された「ハードウェアウォレット(Ledgerなど)」に移してください。これが最強の金庫です。
- 分散管理の徹底。 一つの取引所、一つのウォレットに全財産を入れないこと。
技術は進化しますが、泥棒の手口も進化します。
「面倒くさい」と言ってセキュリティを怠ることは、銀座の路上に札束を放置するのと同じです。
自分の身は自分で守る。この基本を忘れないでください。
コメント