2024ブロックチェーン振り返り(2)　「鍵」への理解とサイバーセキュリティ：社会受容への遠さを感じさせる2024年に注目された論点

　2024年の終わりにさしかかり、ビットコインとフィアット通貨の交換レートが大きく上昇し、ブロックチェーンや暗号資産の将来は約束されているかのような言説を見ることもある。さらに、その言説を元に新たな政策提言や宣伝が行われている。年末に少し話題になったが、令和7年度与党税制改正大綱に「一定の暗号資産を広く国民の資産形成に資する金融商品として業法の中で位置づけ」ることが、検討における前提事項として記載された。筆者は専門外の税制については一切言及することはないが、「広く国民の資産形成に資する金融商品」であるかという点について、専門である暗号技術と、セキュリティの観点から、2024年に発生した論点を振り返りたい。

ブロックチェーンにおける鍵への理解

　もしかしたら、大きく注目されていないかもしれないが、2024年7月16日にコインチェック事件に関連したマネーロンダリングについての最高裁判決が下された。この判決そのものの妥当性はこの記事では取り扱わない。（参考：那須翔「【最高裁】コインチェック流出NEM収受事件上告棄却判決について」）この判決は、規制の面で明確に重要な論点となり、一方でブロックチェーン技術の安全性の根幹である「鍵」の扱いについて、大きな課題を示すことになった。

　この判決では、NEMの取引の際に使われる鍵（署名鍵）について「正規に秘密鍵（判決文ママ）を保有する者」という表現が入っている（注）。この表現が必要な理由は、ビットコインやブロックチェーンに至るまでの電子マネーに関する歴史が大きく関係する。

（注：ブロックチェーン技術で使用されるAppendix型電子署名の国際標準であるISO/IEC 14888-4では、電子署名作成の際に使われる鍵をSignature Keyと定義しており、本記事では、この鍵のことを「署名鍵」と記載する。）

　1990年代に盛んに研究された電子マネー（筆者が参加していた日銀NTT電子現金を含む）は、現金と同じようにオフラインで転々流通する電子マネーを目指して設計されており、そのころから「お金の移転」の証明において署名鍵による電子署名を用いていた。その意味で、ビットコインの発明の10年以上前から「Not your Key, Not your coin」（あなただけが鍵を管理しているのでなければ、そのコインはあなたのお金でない）という思想が技術的には実装されていた。一方で、この研究開発は2001年9月11日以前であることに注意が必要である。この日に発生したアメリカ同時多発テロ事件によって、明確に国際送金の手段についてAML/CFT（Anti-Money Laundering／Countering the Financing of Terrorism、マネーロンダリング対策とテロ資金供与対策）が求められるようになった。これは、お金の移転における二重使用の防止という1990年代に行っていた研究における要件に、新たな技術要件が加わったことを意味する。ビットコインプロトコルは、二重使用の防止ということについては、1990年代のプロトコルでは解決できていなかった問題の解決に対して大きな進展を与えた。一方で、2001年9月11日後に出現したにも関わらず、AML/CFTについての要件は考慮しないまま設計と実装が行われた。

　先に述べた最高裁判決は、現状のビットコイン、あるいは暗号資産の技術において、AML/CFTが考慮されておらず、オンチェーンのプロトコルの改良か、鍵の取り扱い方の改良か、あるいはオフチェーンの仕組みの追加などで、この仕組みを追加し、その上でAML/CFTの観点での規制の検討と（必要であれば法制化）が必要である、ということを暗に示している。つまり、技術、運用、規制の未整備の点が浮き彫りになったと言える。

　この問題を、現状のプロトコルのまま、技術を変えずに、鍵の意味合いの解釈や規制の変更だけで解決するのは難しいのではないかと考える。仮に難しいとすれば、この問題の解決のために、技術者と規制当局者の共同作業が必要になる。2023年の9月にVitalik Buterinらが、”Blockchain Privacy and Regulatory Compliance: Towards a Practical Equilibrium”で、この問題に近い課題への解決策の提案を行っており、BGINにおいては、その実現のためのウォレットの技術であるAccountable Walletの提案がなされている。この方向を皮切りに、解決への動きが進むことを願いたい。

　そして、ブロックチェーンと合わせて用いられる暗号技術は複雑化しており、例えば日本の電子署名法が想定する電子署名の使い方や、CRYPTRECが規定する電子政府推奨暗号リストが想定する使い方を超える暗号技術の使われ方が生まれており、その複雑度は日に日に増している。これには、マルチパーティー計算やゼロ知識証明とその応用が含まれる。従来の暗号用の枠組みで考えられていた署名鍵、検証鍵だけでなく、例えばLightning Networkで用いられる鍵や、様々なプライバシープロトコルで使われる鍵、そして鍵という名前がついていないが秘密に取り扱うべき情報は複雑化している。これらの取り扱いは、当然に規制の考え方に対しても重要な意味を持つ。この数年で、レイヤー2を含む技術が大きく進歩したがゆえに、そもそもブロックチェーンや暗号資産の世界で使われる「鍵」は何があり、誰がどのような責任で管理すべきなのか、その管理は社会が許容できる形に設計できるのかなど、実際に検討すべきことは山積している。

サイバーセキュリティ対応は十分か

　そして、日本においては、2024年5月に発生したDMMビットコイン事件で、Mt.Gox事件から続く「取引所とカストディのセキュリティの難しさ」が露呈した形となった。2024年12月24日（日本時間）に、警察庁とFBIは、北朝鮮のグループがこの事件に関与しているという報告を発表した。筆者が2018年に指摘したように、そもそも取引所はビットコインのブロックチェーンプロトコルの設計の世界には存在しないもので、本来ビットコインが取り除きたかった単一障害点そのものである。一方で、完全な鍵管理と手持ちのデバイスのセキュリティ（それも国家レベルの攻撃への対応）を個人に求めるのは無理であり、まさに社会受容のための窓口として取引所やカストディは存在しえるものである。

　日本では業界団体を通じた対策を進めても、度重なる大規模な暗号資産窃取事件が発生しており、危機感は増す状況だと言える。この事件では、被害者への補償に、取引所のグループ会社からの増資などが充てられるという発表もあり、少し違う角度から見れば、暗号資産の窃取は「媒介」で、日本で行われたビジネスの利益が他国のサイバーテロ組織に渡ったという見方もできるし、そういう見方をされてしまうと、日本の金融資産を暗号資産に変えることで、他国からのサイバーテロの対象となるリスクを高めるのではないか、という疑念を掛けられることになる。これは、ブロックチェーンをなんとか社会受容させたい人たちにとっては、もちろん本意ではないだろう。

　サイバーセキュリティは、リスクが0になることはないし、DMMビットコイン事件でも標的型攻撃が使われたように、攻撃者が圧倒的に有利でもある。だからこそ、長年の知恵のなかで、情報セキュリティマネジメントシステム（ISMS）が開発され、リスクが管理可能なように定期的な見直しも行うようになっている。日本の多くの産業、特に重要インフラ産業では、ISMSの運用実績が積み重なっている。一方で、ブロックチェーンや暗号資産の世界では、それができている企業もあるが、その取り組みができていない企業もある。そして、セキュリティは常にThe Weakest Link（鎖の一番弱い部分）が攻撃対象となる。

　ブロックチェーンを使ったシステムが、単なる暗号資産の取引を超えて、多様化、複雑化している中で、それぞれのリスク分析を細かくやることは簡単ではないが、ここから逃げることもできない。一方で、世界的に見ても、国家レベルのサイバー攻撃に対応できる技術者の数は限られているし、そのような人たちはすでに重要なインフラの防御で手いっぱいだ。そのような制約のなかで、ブロックチェーン業界の人が、多くのセキュリティのエキスパートとの協力を得られることができるか、新しいエキスパートをいかに養成できるかは、ブロックチェーンに対する信用と社会受容の大きな鍵になるだろう。BGINでも、サイバーセキュリティのワーキングループを立ち上げ、2025年3月2日、3日に東京で行われる第12回総会（Block 12）では、サイバーセキュリティの標準文書の議論を行う予定だ。

社会受容への歩みを進めるために

　上記のように少し根の深い課題を取り上げると、この記事がブロックチェーンの「社会実装」のネガティブキャンペーンをしているように感じられるかもしれない。しかし、ブロックチェーン技術の進展に多大なフィアット通貨を差し出した企業やVC、そしてトークンなどの「購入者」の数は過去にない程増加し、すでに逃げられないほどの期待を集めてしまっている。この期待は、明確にブロックチェーンが広く「社会受容」された時に果たす役割に根ざすものである。であるとすると、現在でもブロックチェーンや暗号資産の将来に懐疑的である人たちの協力を得る必要がある。

　筆者が個人的に気になるのは、この世界の人たちの中に、現在理解を十分に示していない、つまり受容していない人を「古い人」、「新しい技術への敵」のように述べる人が少なくないことだ。また、様々な人が協力して、グローバルな標準を作ることによって、世界的なマーケットを造り、世界中の人が受容したインターネットの時と大きく違うのは、他のステークホルダーと協力しなくても、標準を作らず互換性のあるマーケットを造らなくても、トークンを売ってしまえば、短期的な利益が得られてしまうことだ。これでは、協力者を増やすための対話のインセンティブは起きない。ここに、ブロックチェーン技術が広く社会受容される前に乗り越えないといけない大きなキャズムになっている。2024年は、このキャズムが明確に顔をのぞかせたとも言える。2025年が、社会受容への取り組みが進む年になることを祈りたい。