<vol.25> 被害総額100億円超…内部犯行をGeoMPCでブロックする取引所運営とは?
暗号資産(仮想通貨)界隈では、ハッキングのニュースが多く報じられがちです。が、意外にも内部犯行による資産流出事件が大きな被害をもたらすケースが後を絶ちません。大手取引所でも、幹部や社員、委託先が鍵を不正に操作したり、何らかの形で巨額を横領したり、といった事件が報道されるたび、市場は大きく動揺することになります。
実際、被害総額が100億円を超えるような内部不正事件が、過去にいくつも存在してきました。ここで注目されるのが、GeoMPC(Geographical Multi-Party Computation) という暗号技術です。地理的要素と複数ノード分散管理を掛け合わせた手法で、「内部犯行が起こりにくい取引所運営」を実現する可能性があります。本記事では、内部犯行がどうして起こるのか、その事例や対策を振り返りながら、GeoMPCでブロックできる仕組みを探ります。
1. なぜ“内部犯行”は起こるのか
1-1. ヒトが鍵を握る構造
暗号資産取引所の資産は、コールドウォレットやマルチシグなどで守られているとされることが多いです。しかし、最終的に「人」が署名権限を持っており、複数人によるマルチシグであっても、結局はそれぞれの秘密鍵を誰かが管理しています。
例: 幹部が出張時に秘密鍵を持ち歩いている → 旅先や帰国後にソーシャルエンジニアリングや脅迫で鍵を奪われる
例: 社内で鍵を分散保管していても、共謀や不正アクセスで“同時署名”を成立させられる
1-2. 欺瞞と物理距離
悪意ある社員が本社を離れた海外拠点からVPN経由で秘密鍵を使い、不正送金を行う── そんな事件も想定されます。外部ハッカーだけでなく、内部スタッフ自身が鍵を行使すれば、通常の監視システムでは「正規の署名」と認識されてしまうのが問題です。
2. 具体事例:被害総額100億円超の内部犯行
2-1. 大手取引所ですら免れないリスク
一時期、主要取引所が“内部犯行”と思われる事件で大きな損失を出したと報じられました(実名は伏せますが、海外メディアをにぎわせた例がある)。
特徴:
コールドウォレットと称していたが、担当者が定期的にオフィス外で署名していた
署名ホルダーが買収され、マルチシグを突破
数千BTC規模の送金が実行されても、システム上は“正規権限”とみなされ発覚が遅れた
最終的に被害額が数百億円相当に上ったと言われ、ユーザー信頼を大きく揺るがしました。
2-2. 取引所の権限構造の甘さ
内部犯行が成功する背景には「権限が実質的に少人数に集中している」「地理的に離れていてもVPNさえあれば送金操作ができる」など、物理的要素が無視されがちな構造があります。担当者一人の不正でコントロールが効かなくなる点が問題です。
3. GeoMPCによる内部犯行ブロックの仕組み
3-1. マルチシグを“複数ノード+地理分散”で徹底
GeoMPCは、秘密鍵やトランザクション情報を複数ノードに分割して保管し、ノード間でマルチパーティ計算を行うことで「署名権限」を実行します。これにより、
単独ノードや1人の社員が鍵を握る状況を消す
どのノードも秘密鍵の断片(シェア)だけを持ち、単独ではBTC送金などの大口操作を完結できない。
地理的に分散したノードを運営
本社、監査法人、海外拠点など複数の独立主体が参加し、不正共謀しにくい仕組み。
3-2. GeoMPC特有の“地理認証”要素
更に一歩進んで、GeoAuthの考え方をGeoMPCに組み込めば、
「大口送金を行うには、ノードA(本社内にあるサーバー)とノードB(オフィス内端末)を同時に稼働させる」
幹部が海外にいてリモートで署名できないよう、指定エリア内でのみ署名分散が発動する設定
内部犯行者が海外から鍵を奪おうとしても、実際にオフィスへ行って正しい端末やGNSS署名を通さない限り承認されないという壁を作れる。
4. GeoScoreで“不審な行動パターン”を先読み
GeoMPCでのマルチシグ分散は「送金実行時の防衛線」ですが、さらにGeoScoreを導入して“発動前”にスタッフの行動パターンをモニタリングするアイデアもあります。
社員の普段の行動パターン: 通常はオフィスと自宅の往復がメインで、海外出張などはごくたまに。
GeoScore: これを暗号的に評価し、安定度が高いか低いかを判定する。
急変: もし突然海外の複数国を短期間に渡り歩くなどの挙動があれば、スコアが急落 → リスクフラグを立て、重要権限操作を制限。
こうした“行動の兆候”を見て、不正や共謀が起こる前に運営が察知できれば、100億円超の大口流出を未然に回避しやすくなる。
5. メリット:内部犯行対策を根本から強化
遠隔からの権限悪用を排除
GeoMPCノードを地理的に分散し、かつ物理的に指定エリアでのみ承認が通る設計にすれば、リモートやVPNで乗っ取りが困難に。
不審動作の早期発見
GeoScoreでスタッフの地理的行動を(プライバシーを侵害せず)評価し、リスクの高い変化を自動アラート。
ユーザー信頼の向上
「当社は大口送金が一人の権限で行われることはありません。地理的にも分散管理で100億円クラスの不正流出をブロックします」というメッセージを発信できる。
6. 実装課題と注意点
6-1. ノード運営のコスト
複数ノードをどのように設置・運営するか。外部パートナーや監査法人、機関投資家などを巻き込んで、共同でノードを運用するモデルを考える必要がある。
6-2. ハードウェア署名やGNSS認証
地理認証を本当に強固にするには、スタッフが使う端末を改ざん不可にし、GPS偽装を防ぐ仕組みを導入しなければならない。
コストや導入のしやすさをどう両立するかが課題。
6-3. スコアバイアス
GeoScoreで社員の行動を評価する際、人によってライフスタイルが多様なので、過度に海外出張を“悪”とみなすロジックは避ける。柔軟にロジックを調整し、誤検知を最小化。
7. TRUSTAUTHYのGeoMPC導入事例(例)
当社「TRUSTAUTHY」では、GeoMPC と GeoScore を組み合わせた内部犯行対策ソリューションを開発中。
GeoMPCノード構築: 取引所の幹部数名+外部監査ノード+(オプション)自治体やパートナー企業など複数主体で運用。
マルチシグ×GeoAuth: 大口送金には“指定エリアのノードが全て承認”という地理的制限を加える→ 海外リモートや不審操作は不成立。
スタッフGeoScore: マルチシグ署名者の普段の行動安定度を算出→ 異常値が出たら管理権限を自動的に一時停止するなど運用フローを設計。
すでにPoC(概念実証)段階で、テスト環境における内部犯行シナリオを複数想定し、GeoScoreの急落やGeoMPCノードへの不正アクセス未遂をリアルタイムに検知できたという結果も出ています。
まとめ
「被害総額100億円超…内部犯行をGeoMPCでブロックする取引所運営とは?」 と銘打って解説しましたが、内部犯行リスクは小規模取引所だけでなく、大手や世界最大級の取引所でも決して無縁ではありません。物理的に担当者や幹部が鍵を操作できる構造である以上、人の脆弱性がどこかに潜んでいるのです。
ここでGeoMPCによる“分散秘匿管理”と、GeoScoreでの“行動安定度評価”が組み合わされば、
大口送金や権限操作を複数ノード+指定エリアで厳格化
幹部・社員の行動が怪しい兆候をスコアで捉え、先回りで抑止
プライバシーを必要以上に侵害せず、社員の信頼関係を維持しつつセキュリティを高められる
という理想的な体制を築けます。内部犯行という「最大の盲点」に対しても、GeoMPCは「一人の悪意では動かないインフラ」を提供し、GeoScoreは「悪意を持つ人が怪しい行動パターンを始めたら即座に検知」する仕組みを整えるわけです。
もしあなたが取引所を運営している、または運営側と協力しているなら、“鍵を持つ人を信じる”だけに頼るセキュリティから脱却して、GeoMPC+GeoScoreのアプローチを検討してみてはいかがでしょうか。内部犯行をブロックする真の鍵は、複数ノードと地理情報の巧みな組み合わせにあるかもしれません。
Vlightup(ブライトアップ)株式会社
東京都千代田区丸の内1−11−1パシフィックセンチュリープレイス丸の内
公式X https://x.com/Vlightup_offl
Webサイト https://trustauthy.jp/
いいなと思ったら応援しよう!
