DMMビットコイン、流出事件の最新情報まとめ｜約482億円の行方とは

暗号資産交換業者のDMMビットコインは2024年5月31日、同社ウォレットから4502.9BTC（約482億円相当）のビットコインが不正に流出したと発表しました。

DMM Bitcoinから482億円分のビットコインが流出、全額保証へ

DMMビットコインは、令和5年3月期の事業報告によると、37万以上の顧客口座および、顧客預かり資産として400億円を有している日本有数の暗号資産交換業者です。

今回の記事は、事件の詳細および流出したビットコインの行方や過去の流出事件を特集したものとなります。

DMMビットコイン流出事件の概要

画像引用元：DMMグループ

DMMビットコインによると、不正流出は5月31日13時26分頃に検知され、ビットコインは500BTCずつ9回に分けて1つのアドレスに集約されたとのことです。

同社は、顧客の資産についてはグループ会社の支援を受けて全額保証する方針を示しています。また、新規口座開設の審査や暗号資産の出庫処理など、一部サービスの利用を停止し、被害状況や原因の調査を進めています。

今回の不正流出は、暗号資産業界全体のセキュリティ対策の重要性を改めて浮き彫りにする出来事となりました。

現時点（6/2）での情報まとめ

• 流出日時: 2024年5月31日13時26分頃
• 流出額: 4502.9BTC（約482億円相当）
• 流出先: 1つのアドレスに集約
• 顧客資産: 全額保証の方針
• サービス: 一部停止中
• 原因: 調査中

これまでの日本における暗号資産流出事件について

これまでにも日本国内における暗号資産の流出事件は何度か発生しており、主要なものとしては以下が挙げられます。

今回のDMMのビットコイン流出事件は、日本の暗号資産流出事件の中では過去2番目の規模となっています。

流出したビットコインの詳細及び業界各社の反応

事件から2日が経ちましたが、未だ詳細な事件内容や金融庁の反応などは分かっていません。

この記事では、現時点ではビットコイン流出事件に関して発生しうる多くの疑問について、解説して行きます。

注意: 本記事は記事執筆時点で入手可能な情報に基づいて作成されており、今後の調査状況によっては内容が変更となる可能性があります。

ビットコイン流出の該当トランザクション

画像引用元：Whale Alert

DMMから流出したビットコインのトランザクションは既に把握されており、Whale Alertによって検知されていました。

トランザクションの詳細から、およそ500BTCずつが9回にわたって送付されたことがわかります。

また、トランザクション手数料が、0.1BTCとなっていることにも注目です。0.1BTCは、トランザクションの大きさと比べて異常なほど高額の手数料となっています。

盗まれたビットコインの行方｜現在は特に動きはなし

画像引用元：Arkham

流出したビットコインの動向は、オンチェーン上で調べることができます。

オンチェーンデータプラットフォームのArkhamを使って送付先アドレスを検索すると、そのアドレスからどのアドレスへ暗号資産が送付されたかを調べられます。

記事執筆時（6月2日）では、これといった動きはなく、盗まれたビットコインはどのアドレスにも送付されていないことが分かります。

仮に、このアドレスに動きがあった場合には、オンチェーン上での範囲においては、誰でも調べることが可能です。

何故コールドウォレットから資金流出したのか？｜内部調査の続報が待たれる

画像引用元：DMM Bitcoinセキュリティ体制

DMMビットコインは自社のセキュリティ体制に関して、顧客資産の95％以上はコールドウォレットに保管し、毎営業日ごとに確認していると発表されています。

また、コールドウォレットからホットウォレットへ暗号資産を移動する際には、取締役も含めた複数部署の承認のもと、二人体制で移動作業を行っているとしています。

コールドウォレットとは、ウォレットの保管方法の1つであり、ウォレットをネットワークから切り離して安全なところに保管することで、オンライン上でのハッキングから保護する仕組みです。

今回流出した4502.9BTC（約482億円相当）のビットコインは、DMMビットコインの預かり資産の大部分に相当する金額です。同社が顧客資産の95％以上をコールドウォレットに保管する方針であることを考慮すると、コールドウォレット内の資産も含めた流出であることが予想されます。

ネットワークから切り離されたコールドウォレットから資金が流出したことから、マルウェア感染だけでなく内部犯行の可能性も一部で指摘されており、今後のDMMビットコインの内部調査の進展に注目が集まります。

今回の事件に対する業界主要企業からの反応

DMMのビットコイン流出が報告されてから、日本の主要暗号資産交換業者が顧客の不安感を払拭するために、資産管理状況及び対応についてアナウンスをしました。

SBI VC Trade

2024年5月31日の国内暗号資産交換業者からの顧客暗号資産の流出に関する発表及び各種報道を受け、多数のお問い合わせを頂戴していることから、お客様の資産管理状況及び当社対応についてご報告いたします。https://t.co/VP4s0nDljs

— SBI VC Trade (SBI VCトレード） (@sbivc_official) June 1, 2024

bitFlyer

DMM Bitcoinでビットコインの流出被害が確認されました。当社では被害がないことを確認しております。

当社では創業以来、流出被害は発生しておらず、お客様の資産は安全に保管されております。

当社以外の取引所に暗号資産を送付される際は十分にご注意ください。…

— bitFlyer（ビットフライヤー） (@bitFlyer) May 31, 2024

Coincheck

【当社におけるお客様からの預かり資産の保全について】
当社において、現在、お客様よりお預かりしているすべての資産について分別管理ができており安全に保管されていることを確認いたしましたので、お知らせいたします。…

— Coincheck(コインチェック) Status (@CoincheckStatus) June 1, 2024

日本暗号資産取引業協会 (JVCEA)

画像引用元：JVCEA

この他にも、楽天など暗号資産を取り扱う会社はそれぞれ自社の顧客資産情報の調査を報告しています。

今後の暗号資産規制はどうなるか

事件からまだ2日の経過であり、詳細な事件の報告が待たれますが、今回の事件をきっかけとして日本における暗号資産に対する規制がさらに厳しくなる可能性もあります。

暗号資産の法規制の大きなきっかけとなったコインチェック事件

画像引用元：コインチェック公式HP

コインチェック事件は、2018年1月に発生した、当時国内最大規模の暗号資産流出事件です。

事件の概要

• 発生日時: 2018年1月26日午前0時2分から午前8時26分までの間
• 流出暗号資産: 5億2630万XEM（当時価値約580億円）
• 原因: コインチェックのNEM保管用ホットウォレットへの不正アクセス

事件の経緯

1. 不正アクセス: コインチェックの従業員が受信したフィッシングメールを開封し、マルウェアに感染。これにより、外部からの不正アクセスが可能となりました。
2. NEM流出: 攻撃者は、不正アクセスを通じてNEMの秘密鍵を盗み出し、外部のアドレスにNEMを送金しました。
3. 発覚と対応: コインチェックは、NEMの残高異常に気づき、不正アクセスとNEM流出を確認。NEMの入出金を停止し、金融庁に報告しました。
4. 顧客への補償: コインチェックは、流出したNEMを日本円で買い戻し、顧客に補償することを発表しました。

法改正によって規制が強化｜コールドウォレットによる管理が義務化へ

コインチェック事件をきっかけの1つとして、日本の暗号資産に対する規制は主に以下の点で強化されました。

法改正による規制強化

• 改正資金決済法の施行 (2019年5月、令和元年法律第28号)：顧客資金を信託銀行等に信託する義務、コールドウォレット等での信頼性の高い方法での管理義務化やホットウォレット分については弁済原資の保持が必須、カストディ業務が暗号資産交換業の定義に追加。

自主規制団体の設立とルール策定

• 日本暗号資産交換業協会 (JVCEA) の設立：業界の自主規制団体が設立され、セキュリティ対策や顧客保護に関する自主規制ルールを策定し、会員企業に対して遵守を義務付けました。

DMMビットコイン流出事件が法規制に与える影響

日本における暗号資産規制の大きなきっかけとなったコインチェック事件は、フィッシングメールの開封によって発生しましたが、今回のDMMビットコイン流出事件では、現時点ではそのようは報告はありません。

しかしながら、コインチェック事件をきっかけにコールドウォレット等での管理が義務化されたものの、今回のDMMビットコイン流出事件ではコールドウォレットからの資金流出が濃厚とされており、企業の内部統制に関する疑念が沸き起こっています。

今後、コインチェック事件による法改正と同様、DMMビットコイン流出事件をきっかけとして、暗号資産交換業者の内部コンプライアンスや資産管理に関する包括的な法規制議論が進む可能性があります。

情報ソース：DMMビットコイン令和5年3月期事業報告、Whale Alert、Arkham、DMMビットコイン（セキュリティ体制、流出報告・第一報）、JVCEA、改正資金決済法（令和元年法律第28号）