2017年の夏は、「イニシャル・コイン・オファリング(Initial Coin Offering=ICO)」の詐欺やハッキングが相次いだ。ICO[日本語版記事]は、設立から間もないブロックチェーン関連企業などに投資しようと考える人に対して、「コイン」や「トークン」と呼ばれる暗号通貨を発行する資金調達方法だ。
7月中旬には、CoinDashという名のスタートアップが、ICOの最中に700万ドルを失った。投資家の送金を受け付けるアドレスがハッカーによって改ざんされ、CoinDashではなくハッカーのデジタルウォレットにお金が送られてしまったからだ。
その数日後には、少なくとも3つのICOが暗号通貨のデジタルウォレット「Parity」のバグの影響を受け、合わせて3,000万ドルが盗まれた。さらに、デジタル金融サーヴィス開発企業エニグマの偽のプレセールが告知され、50万ドル以上が盗まれる事件も発生した。
ICOの急増に伴い、資金調達をICOに頼るスタートアップと、普通のインターネットユーザーが大半を占める投資家の両方が、膨大な金額を失いかねない大きな危機にさらされているのだ。
その未熟さゆえに生まれた「闇」
ICOは2013年以降、ヴェンチャーキャピタルによる従来の資金調達ラウンドと、クラウドファンディングとを融合させてきた。スタートアップのなかにはICOを利用する理由として、その「平等主義」を挙げるところもあるが、多くの企業は単にヴェンチャーキャピタルや金融機関といった従来の投資家から出資を断られたことが理由だ。
ICOの人気が爆発したのは1年ほど前からで、いまではパリス・ヒルトンでさえICOを支持している。だが、生まれたばかりで規制されていない金融システムではしばしば見られるように、ICOにもリスクがあり、システムが未熟で、これからどうなるかはわからない。ICOを行うスタートアップは、その資金調達計画が広く知れ渡った場合の備えが十分ではない。
一方、資金提供者は、ICOのことをよく知らないばかりか、投資自体が初めてという人が多い。ICOが行われる仕組みやICOで予想される事態について得られる情報が少ないため、ICOの参加者はとりわけ、さまざまな詐欺に対してほとんど免疫がないのが現状だ。そして詐欺師は、実に見事なタイミングで姿を現す。
「こうしたICOは、大きな標的を背負っているようなものです。詐欺師たちが、今後行われるICOやその調達予定額をスプレッドシートにまとめていたとしてもわたしは驚きません」と語るのは、アドビ システムズの製品マネージャーで、暗号通貨「Dogecoin」の共同開発者でもあるジャクソン・パーマーだ。
「ICOは、適切な情報セキュリティ対策のやり方もよく知らないような、非常に経験が浅い人たちに対しても、資金を調達するための道を切り開きました。一方、投資家も大いに経験が不足しています。つまり、人々がお金を失う可能性が高い最悪の状況なのです」
常態化するICOへの攻撃
もちろん、すべてのICOがハッキングされるわけではない。多くのスタートアップが、損害を食い止めることはもちろん、自分たちや投資家を詐欺から守ることに成功している。だが、このところ急速に、ICOが攻撃を受ける事態が一般的になりつつある。
資金調達サイトがDDoS攻撃を受けたという話や、「Slack」のチャンネルが操作されて偽のウォレットアドレスが告知されたという話、あるいは暗号通貨取引を処理するバックエンドプロセスが攻撃されたという事例が各社から報告されている。
暗号通貨プラットフォームを手がけるKickicoのアンチ・ダニレフスキーCEOは8月31日(米国時間)、投資家宛ての声明において、同社が最近実施したICOに対して行われたさまざまな攻撃の手法を明らかにした。
最終的に、このICOでお金を失った人は誰もいなかったが、ダニレフスキーは次のように告白した。「当社は自分たちの過失を正直に認めます。大々的なPRをしておらず、名前も知られていないような小さな企業(のICO)が(ハッカーから)注目されるとは、考えてもみませんでした」
Kickicoがこの経験から学んでくれることを期待する。なぜなら彼らは、自社サーヴィスのひとつとして、他企業のICOを支援する計画があるからだ。CEOのダニレフスキーは『WIRED』US版に対し、安全対策を強化していることを明らかにした。また、システムやウェブサイトのセキュリティを高めるために、侵入テストや独立監査を開始したという。
詐欺の多くは「ソーシャルエンジニアリング」
オンラインで投資に使われるのを待っているお金はたくさんあり、ICOが広まるにつれて普通の人々から多額の資金が集まるようになっている。だが、このような人々は、暗号通貨を扱った経験を必ずしももっていないばかりか、投資自体の経験さえないこともある(ボクサーのフロイド・メイウェザー・ジュニアがICOでどこかの企業に出資すると発言したことなどがきっかけとなって、人々はICOに対して“安全”で“ごく普通のシステム”のような印象をもつようになる)。
ブロックチェーンの分析を手がけるChainalysisが8月に発表した報告によれば、この数年間でICOは16億ドルを超える投資マネーを引き寄せたが、2016年にはそのおよそ10パーセントがサイバー犯罪者にもって行かれた。デジタル通貨全体の時価総額は、いまや900億ドルを超えている。
ICOをハッキングする手段としては脆弱性の悪用などもあるが、成功したICO詐欺のほとんどは、ソーシャルエンジニアリングをきっかけとしたものだった。詐欺師たちはフィッシング攻撃を仕掛けたり、ソーシャルメディアを悪用したりして、ICOの管理者になりすます。そうすれば、投資を考えている人やインターネットのユーザーに対し、嘘の送金場所を伝えることはもちろん、ICOが行われる時期についても嘘の情報を広められるようになる。
Enigmaの詐欺事件を起こした攻撃者は、同社の公式ドメインやSlackのチャンネル、メーリングリストを悪用することで、真実に見せかけた情報を広めることに成功した。その情報とは、投資に関心をもつ人がICOに先行参加できるという特別プレセールだった。だが、彼らが実際に広めていた情報は、彼らが管理していて、中身を抜き取ることのできる不正なウォレットの情報だった。
EnigmaのCEOガイ・ジスキンドは、8月の『WIRED』US版の取材で、「注目度の高いほかのICO関係者と連絡をとったところ、同じ攻撃者がほかのいくつかのICOを攻撃していたようです」と述べた。しかしジスキンドは、「一時的な問題は起こっていますが、わたしたちの誰もが面白いものをつくり上げるのだという使命感を抱いています」とも述べた。
ジスキンドは取材時に本当のICOを翌週に行い、詐欺に遭った投資家たちに資金を返す予定だと述べた。だが、ICOの最中に発生した詐欺に対して、すべての企業がこのようなかたちで責任をとるわけではない。場合によっては、ICO自体がインチキなこともある。資金を調達するように見せかけたダミー会社が、実際にはその集めた資金をひそかに犯罪者に横流ししていることもあるのだ。
証券取引委員会が介入する理由
米証券取引委員会(SEC)は現在、この問題を詳しく調査している。特に焦点となっているのは、SECへの登録を行っていないICOが、違法な証券取引に該当しないかどうかだ。
また、暗号通貨プラットフォーム「The Decentralized Autonomous Organization」(The DAO)が2016年に行ったICOに関する調査も実施。その結果、DAOトークンは証券であり、The DAOは証券取引所として登録する必要があったと結論づけた[PDFファイル]。将来的には、この結論がSECのガイダンスとして適用されることになるだろう。
なお、The DAOが目をつけられたのは、ICOがまだ真新しいコンセプトであったころからICOを実施したことだけが理由ではない。脆弱性をハッカーに悪用され、投資家から集めた5,000万ドルを奪われたからだった。
とはいえ、SECのガイダンスは、ICOの野放し状態をすぐに解決できるようなものではない。また、SECが特に懸念しているのは、ICOの詐欺が一般投資家に与える影響のようだ。ここでいう一般投資家とは、資金運用の一環として証券を売買している個人投資家を指す。シンガポールや香港といった国々も、同じようにICOを追跡しており、ICOに規制を課すことを検討している。
その理由は、マネーロンダリングを特に警戒しているからだ。さらに中国は9月初旬、ICOを全面的に禁止すると発表した。
それでも投機家たちがICOに押し寄せるなか、新しい詐欺が次々と現れては広まっている。SECは8月28日、現在起こっている問題に関する新たな投資家警告情報を発表した。
SECで分散型台帳技術作業部会の責任者を務めるヴァレリー・シチェパニクは、「わたしたちは技術を規制するのではなく、証券に関わるテクノロジーの利用と実装を規制しています」と語る。
「ICOは資本の形成と投資家の仲立ちにおける、まったく新しいかたちを提示するものですが、同時に新しいリスクをもたらしています。合法的な活動を行っていても、ニュースでとり上げられたり派手な宣伝がなされたりすれば、詐欺師の格好の餌食となります。わたしたちは、投資家が損害を被るリスクがありそうな領域に注意を向けています」
いまのところスタートアップも投資家も、ICOに対して慎重なアプローチを採っている。Dogecoinの共同開発者パーマーは、「人々が懸念しているのは、参加しないうちにすべてが駄目になってしまうことです」と語る。「そのため、さまざまなプロジェクトが、市場が急落するような事態が起こる前にICOを実施して資金を集めようとして躍起になっています。事前の査定が十分に行われることはあまりないので、いずれ限界が訪れるでしょう」
いまの熱狂はすべてバブルだと主張する人もいれば、ICOがいずれ成熟し、資本を調達する安定的な手段になる可能性があると考える人もいる。ICOを目指しているスタートアップは、防御に力を入れる必要がある。そして、投資を検討している人は十分に警戒してほしい。
TEXT BY LILY HAY NEWMAN
TRANSLATION BY TAKU SATO/GALILEO