弊社の顧問、佐久間修氏による「法と日常の交差点」は、法律の話をきっかけに、日々の出来事や物語のワンシーンを少し違った角度から見つめてみるコラムです。
厳密な解説だけではなく、エッセイのように気軽に読んでいただける内容もございますので、お楽しみいただければ幸いです。

今回は、「仮想通貨（暗号資産）をめぐる事件史」についてご紹介します。

多発する流出事件

2014年・日本
取引所マウントゴックスからBTC（ビットコイン）が流出（約480億円相当の被害）
2014年・ルクセンブルク
取引所BitsampからDoS攻撃でBTCが盗難（19000BTCの被害）
2014年・カナダ
取引所Flexcoinに対するサイバー攻撃（約6000万円相当の被害）
2016年・ドイツ
仮想通貨投資プロジェクトThe DAOに対するハッキング（約52億円相当の被害）
2017年・スロベニア
仮想通貨採掘サービスNiceHashに対するハッキング（約76億円相当の被害）
2018年・日本
取引所コインチェックからサイバー攻撃でNEM（ネム）の全額が流出（約580億円相当の被害）
2018年・日本
取引所テックビューロ（旧zaif）から不正アクセスにより流出（約70億円相当の被害）
2019年・日本
取引所ビットポイントジャパンでBTC、XRP（リップル）、
ETH（イーサリアム）などの仮想通貨の流出（約30億円相当の被害）
2024年・日本
取引所DMM Bitcoinから大量のBTCの流出（約482億円相当の被害）

★各種のメディアで報告された流出事件の中から、発生国や被害額が判明しているものをまとめました。多くの事件が日本で発生しています。

　仮想通貨（暗号資産）の流出事例は、世界各地で発生しています。そのため、一部の国々では暗号資産の取引を禁止したほか、マウントゴックス社事件などの不祥事も重なったため、2010年代の終わり頃には、法定通貨に代わるデジタル通貨になるのでは…という期待は消失しました。実際、仮想通貨交換業者（取引所）の事業計画がずさんであったり、利用客の権利内容が明らかでなく、詐欺的行為が頻発したりするなどの問題点が指摘されています。

　以下では、刑事判例により事実関係が明らかとなったマウントゴックス社事件、コインチェック事件、そして、刑事裁判にはなりませんでしたが、DMM Bitcoin事件をみておきましょう。

マウントゴックス社事件

　マウントゴックス（Mt. Gox）社は、東京を拠点とする仮想通貨取引所（交換所）でした。2013年頃には、全世界のビットコイン取引の7割を占めるようになりました。他方、2011年2月には、同社のサーバーがハッキングされて、保有資産であるビットコインや預かり金の大半が流失したほか、2011年6月には、ハッキングによる不正な流出が判明したため、入出金が停止されています。さらに、2014年2月にも、出金が大幅に遅延したうえ、ビットコインの払い戻しが完全に停止されることで、その価格が暴落した結果、多くの利用客が本社ビルへ押し寄せる騒ぎになりました。

　そもそも、旧経営陣から事業を引き継いだ時点で、利用者のビットコインが不正に引き出された事実があり、その後も、利用者の金銭を会社名義の銀行口座で管理するなど、両者を分別していませんでした。結局、マウントゴックス社は、払い戻しの停止から1か月後に破綻しましたが、この事件を契機として、2016年から、いわゆる「仮想通貨」に対する法規制が始まりました。なお、本件では、ハッキングによる流出被害だけでなく、経営陣の不祥事も重なっており、交換業者のリスク管理やコンプライアンスも問われました。同社の実質的経営者Mは、不正電磁的記録作出罪などで起訴されています。

コインチェック事件

　その後も、こうした流出事件が続いたことで、交換業者等の管理態勢の不備が明らかとなりました。たとえば、2016年5月のThe DAO 事件では、ICO（Initial Coln Offering）で資金調達をする会社から、大量の仮想通貨・イーサリアムが盗まれています。また、2018年1月のコインチェック事件では、ホットウォレットに保管していたネム（NEM）が盗難に遭ったほか、2018年9月のテックビューロ事件でも、同じくホットウォレットにあったBitcoinが盗まれています。いずれも、交換業者が顧客の資産をオンライン状態のホットウォレットで管理したという、セキュリティのずさんさが招いたものでした。

　さて、コインチェック株式会社は、2014年から運営を開始したビットコイン取引所サービスでした。2018年1月26日の夜、同社が保有する仮想通貨のうち、ネム建ての顧客資産がクラッキングにより外部へ送金されました。その後、これらが別口座へ移転されることで、ほぼ100%が流出しています（合計5億2630万NEM）。被害額は当時のレートで約580億円といわれました。この事件では、同社の社員が怪しいメールリンクを開いたことでマルウェアに感染したうえ、ホットウォレットでネムを管理しており、送金時の認証方法も不十分であったとされます。これにより仮想通貨の売買や出し入れのほか、日本円による出金もできなくなったため、事件を知った顧客の間で大騒ぎとなりました。

DMM Bitcoin事件

　2024年5月31日、DMM Bitcoinは、4502.9BTC（約482億円相当）に上る不正流出を公表しました。ビットコイン（BTC）の流出事件の中でも、この被害額は、最大規模のものとされます。DMM Bitcoinの説明によれば、利用客の資産の95％以上をコールドウォレットに保管しており、コールドウォレットからホットウォレットへ暗号資産（2019年に「仮想通貨」から改称）を移動させる際には、複数の人間によるチェックを徹底してきたといいますが、実際にはどうだったのでしょうか。

　金融庁は、同年9月26日、DMM Bitcoinに業務改善命令を出しています。金融庁によれば、「システムリスク管理態勢等及び暗号資産の流出リスクへの対応について、重大な問題」があったとされます。具体的には、システムリスクの管理権限を一部の者に集中させたり、外部ウォレットの導入にともなう流出リスクについて十分に吟味しなかったり、暗号資産の移転に必要な秘密鍵についても、一括して管理するなどの不備が指摘されました。

暗号資産とリスク管理

　最初のマウントゴックス社事件では、実質的経営者がひそかに口座のビットコインや米ドルを増加させました。こうした行為は、金融機関が勝手に法定通貨を発行したり、証券取引所が他社の株券を作成したりするのと等しい行為です。そもそも発行者がいないビットコインでは、これらの不正を防ぐためにブロックチェーンを構成し、お互いに監視し合うことで信用ないし信頼を確保しており、そうした仕組みを根底から揺るがす行為であるといえるでしょう。

　つぎのコインチェック事件では、同社の経営陣が各種リスクを適切に評価しておらず、暗号資産の売買や信用取引に係るトランザクション情報の送信者が、真実の権限保有者であるかどうかを確認しない仕組みになっていました。また、急速に業務が拡大したことにともない、それに応じたリスク管理態勢の不備があったほか、顧客保護に係る認識が不十分なまま、業務拡大を優先させたことが原因とされています（下記の判例を参照）。DMM Bitcoin事件でも、リスク管理体制に問題があったことは、上述したとおりです。

　暗号資産が普及してこれを原資とする各種の金融商品さえ登場した現在、その安定性や信頼性を損なうような不良業者を放置しておくと、業界全体の健全な発展を阻害することになります。逆に言えば、初めて暗号資産を購入する利用者にとっては、優良な交換業者を見極めることが肝要ともいえるでしょう。


仮想通貨（暗号資産）の主要なリスクとして、

　1　価格変動のリスク

　2　秘密鍵やパスワードの漏えいリスク

　3　サイバー攻撃による盗難リスク

　4　取引所の経営破綻のリスク

　5　ネットワークシステムの障害リスク

　7　法令・税制の変更によるリスク

　8　不良業者による詐欺のリスク　などがあります。

〈参考文献〉
東京高判令和2・6・11高等裁判所刑事裁判速報集（令2）号180頁、最決令和3・1・27LEX/DB（マウントゴックス社事件）、東京地判令和4・3・23刑集78巻3号261頁、東京高判令和4・10・25刑集78巻3号270頁、最判令和6・7・16刑集78巻3号113頁（コインチェック事件）、前田雅英「MTGOX虚偽データ事件－ビットコインと私電磁的記録不正作出」Westlaw Japan 文献番号2021WLJCC001、楠正憲「Zaifからの仮想通貨流出―仮想通貨交換業者はアンコントローラブル？」情報処理（情報処理学会）59巻12号（2018年）1066-1068頁など参照。