破綻前のMt.Gox公式サイト「世界最大のビットコイン交換サイトで信頼できる取引を!」という文言が今となっては虚しい。

第二第三のMt.Goxが生まれる可能性は高い!

  • このエントリーをはてなブックマークに追加

by [2014年3月05日]

破綻前のMt.Gox公式サイト
「世界最大のビットコイン交換サイトで信頼できる取引を!」という文言が今となっては虚しい。

先日来、新聞・テレビなどのニュースで報じられているように、仮想通貨bitcoinの取引所を運営していた株式会社MTGOX(マウント・ゴックス:東京都渋谷区渋谷)が2月28日に東京地方裁判所に事件番号「平成26年(再)第12号」として民事再生法の適用を申請、受理されました。

同社のカルプレス・マルク・マリ・ロベート社長は記者会見で、顧客から預かっていた75万BTCのbitcoinと購入用の預かり金約28億円、それに同社自身が保有していた10万BTCのbitcoinを喪失したことを明らかにしており、それらのbitcoinが自社の取引システムにあったセキュリティホール(ただし同社自身はこれを「ビットコインのシステムのバグを悪用した不正アクセス」と称しています)を悪用した攻撃により不正アクセスで盗まれた可能性が高い、として自社もまた被害者であるとの立場を取っています。

これらの発表内容はおおむね2月初頭頃からネット上で流布していた情報(出所不明の文書など)と一致しておりある意味予想された結末(※ただし、これは予想された中でも最悪の部類に入りますが)であったと言えます。

この発表を受けて各国政府の関係省庁・組織が実態調査や規制の検討に乗り出していますが、現時点では同社がユーザーから預かっていたbitcoinや預かり金の救済策は全く示されていません。元々、法の規定の枠外にあったことですから、当然と言えば当然です。

今回はこのMt.Gox破綻の意味するところとbitcoinの信頼性について考えてみたいと思います。

2年間も欠陥を放置
Mt.Goxの運営のお粗末さ

Mt.Gox公式サイトのトップに掲載された「民事再生手続の申し立てに関するお知らせ」
何の対策も講じなかったことは棚に上げ、自社も被害者であると強調した文面になっており、Bitcoin Forumから強い反発を受けた。

今回のこのMt.Goxの破綻で最も注目されるのは、今回の破綻が同社自身の主張するように「ビットコインのシステムのバグを悪用した不正アクセス」であるのか否か、という一点です。

結論から言うと、現在判明している状況証拠から判断する限り、今回の問題はMt.Goxの稼働させていたbitcoinソフトウェアの欠陥によるもの、つまりMt.Goxの運営体制の問題である可能性が非常に高いと言えます。

というのも、Mt.Goxは2011年6月に自社サーバがハッキング攻撃を受け、6万人分の個人情報を流出させるという失態を犯し、また同時期にbitcoinの取引に用いられるクライアントソフトのセキュリティホール問題(Transaction malleability:トランザクション展性)がアナウンスされていたからです。

このセキュリティホールはbitcoinのメカニズムに備わっているコイン授受失敗時の再リクエスト機能を悪用したもので、各取引に与えられるIDを(悪意を持った)受け取り側が改ざんし、実際には授受が成功しているにもかかわらず、改ざんされたIDを送金側に伝達することで送金処理が失敗したように見せかけて再度送金をさせる、というものです。つまり、この手口を用いれば送金が成功するたびにIDを改ざんして送信するだけで、いくらでも送金側の保有bitcoinを吸い上げることができるわけです。

これはそうした問題の指摘が行われた2011年の時点で迅速かつ適切にクライアントソフトを改修し対策を施し続けていれば概ね防げた問題で、むしろそれを漫然と放置し続けたために2年ほどの間に保有bitcoinをほぼすべて喪失するに至ったMt.Goxの対応は驚くべき無神経、あるいは非常識であったと言えます。

さらに2013年4月には同社サイトはいわゆるDoSアタック(※これもトランザクション展性を悪用したもので、つまりこの時点までMt.Goxはこの問題についてまともな対処をしていなかったことになります)でサーバがダウン、サービス停止に追い込まれ、それ以外でも同社の口座に預けられたbitcoinの現金化が度々滞るなど、この種の事業を営む企業としてはなはだお粗末な対応が相次いでいました。

また、そもそもそうしたシステム的な問題以前の話として、顧客からの預かり金28億円が喪失していたという事実から、Mt.Goxは客からの預かり金と経費を一緒くたにして扱う、いわゆるどんぶり勘定を行っていた可能性が高く、出来の悪い個人商店以下の金銭管理状態であったと考えられます。

同業者からも冷めた目で見られるMt.Gox

こうしたMt.Goxの杜撰と言うほかない運営状況についてはBitcoin Foundationに属する他の取引所も同じ意見らしく、公式ブログで以下のような見解を示しています。

The issues that Mt. Gox has been experiencing are due to an unfortunate interaction between Mt. Gox’s implementation of their highly customized wallet software, their customer support procedures, and their unpreparedness for transaction malleability, a technical detail that allows changes to the way transactions are identified.

(Mt.Goxの経験している問題は、Mt.Goxによって高度にカスタマイズされたウォレットソフトウェアの実装、彼らの顧客サポート手順、そして彼らのトランザクション展性(トランザクションが識別される方法の変更を許可する技術的な詳細)についての不備の間の不幸な相互作用によるものです)

つまり、少なくともBitcoin Foundationは今回の問題はクライアントソフトの改修等による対策を怠ったMt.Goxという企業の不手際が原因であり、bitcoinそのものの構造的欠陥によるものではない(=トランザクション展性の問題はクライアントソフト側で解決すべき問題である)、と主張しているわけです。

実際、bitcoinの基礎となるいわゆる中本論文では取引のメカニズムそのものは提示してもこうしたクライアントソフトの具体的な実装については言及しておらず、さらにMt.Goxがクライアントソフトの欠陥が既知となった後、2年以上もそのまま放置していた状況証拠がある以上、同社が今回の一件についてbitcoinのシステムそのものの不備が原因と主張するのはかなり筋違いです。

今回のBitcoin Foundationによるこの声明も、自社の失態の責任を他者になすりつけようとする身勝手かつ無責任なMt.Gox(およびカルプレス・マルク・マリ・ロベート同社社長)の行動を批判するものと言えるでしょう。

bitcoinは大丈夫なのか

とはいえ、今回の一件で莫大な数のbitcoinが不正な手段で奪われ、社会的にもbitcoinの信頼性について大きな不安が生じたのは確かです。

これに関連して、これ幸いと課税やら介入やらを画策するさもしい各国政府の行動が報じられていますが、筆者の見る限り、少なくとも中本論文で示されたbitcoinの根幹に関わるメカニズムについては、瑕疵はほぼ皆無に近いと考えられます。

もっとも、だからこそ中本論文で明示されておらず隙のあった部分、つまりクライアントソフト側の実装の不備を突くような攻撃が執拗に繰り返されてきたのだと言えますが。

取引所に依存し続ける以上、ユーザーにできる対応策は少ない

Mt.Goxが提供していた問題のアカウント登録画面
同社サイトでアカウント作成を行うと、自動で同社管理下のWebウォレットが作成されるようになっていた。

問題は、ユーザー側のクライアントソフトでいくらセキュリティホール対策済みの最新版を導入してあっても、今回のMt.Goxのように取引所側のクライアントソフトが更新を怠っていればユーザーにはなすすべもない、ということです。

こればかりは、取引所側が一定の情報公開を行ってそのセキュリティの信頼性を証明するような何らかの制度を用意しなければ、ユーザーとしては安心して取引も保有コインの預託もできません。

ユーザー側としてできる今回のような事態への対応策は、取引所がサービスとして提供するウォレットは必要がない限り使用せず、自前のパソコンなどにインストールしたスタンドアローンなウォレットでbitcoinを保持する、といったいささか消極的なものしかありません。

しかも、これはこれで例えば自分のパソコンのハードディスクが故障して読み出せなくなればそこに保存されていたbitcoinが永遠に失われてしまいますし、またスマートフォンとパソコンを併用している場合、支払いや換金の必要が生じるたびにいずれかのウォレットからもう一方のウォレットへコインを移動せねばならず、色々不便です。

その点でウォレットのクラウドサービスとなる、取引所の提供するウォレットサービスは確かに便利ではあったのです。

第二第三のMt.Goxは生まれるのか?

また、いくらBitcoin Foundationが今回の一件はMt.Goxの不始末によるものだ、と声明を出したところで、それはつまりBitcoin Foundationに属する他の各取引所いずれかで同じような問題が生じる可能性があるのは否定できないということで、Mt.Gox以外の取引所についても不安はぬぐい去れません。

これまではbitcoinの仕組みそのものの信頼性の高さ故にそれはある種無視されてきた要素だったのですが、いくらbitcoinのメカニズムが完璧であっても、それは人が運営しbitcoinのメカニズムの枠外に位置する取引所そのものの信用保証にはなりえないのです。

ここへ来て各国政府がbitcoinに対する規制を(少なからぬ危機感をはらみつつ)強めている背景には、こうしたbitcoin取引におけるラストワンマイルとでも言うべき、ネットとリアルの境界面に潜在する問題が表面化したことがあるのは間違いありません。

しかし、そうした政府による規制は一定の信用確保にはつながるかもしれませんが、その反面これまでbitcoinが持っていた自由さを奪うものであり、善し悪しです。

当面は直接送金・支払いの必要のある範囲に利用をとどめるべきか

以上のような状況・事情を考慮すると、bitcoinを正常に利用可能とするには他の何よりも優先して取引所の取引メカニズムの信頼性・透明性を担保する仕組み・制度を確立する必要があると言えます。

ネット上での仮想通貨を実現するメカニズムとしてのbitcoinがいかに完璧に近くとも、それが換金・預金されるべき取引所が全く信用できないのではお話になりません。

取引所そのものの信用を、できれば各国政府による介入・締め付けが生じる前にいかに素早く確保できるか。

現在の取引所を用いたbitcoinの換金メカニズムが今後も維持できるかどうか、あるいは政府の干渉を受けない自由な仮想通貨としてのbitcoinの命脈が保てるか否かはそこにかかっていると言えます。

コメントは受け付けていません。

PageTopへ