（写真＝picture alliance/アフロ）

　テックビューロ（大阪市）が運営する仮想通貨取引所「Zaif」で仮想通貨の不正出金・不正取引が発生した問題で、同社が複数の利用者に対して、被害額と同額の仮想通貨を返却する方針を通知したことが日経ビジネスの取材でわかった。仮想通貨の不正流出では、1月下旬にも交換会社のコインチェック（東京・渋谷）で約580億円分の仮想通貨NEM（ネム）が流出。相次ぐ不正流出を背景に、取引所のセキュリティーや利用者に対する補償の体制が焦点になっている。

　テックビューロは1月10日、1月6～7日にかけて同社が利用者に発行している「APIキー」が悪用され、10人分のアカウントについて合計37件の不正出金が行われたほか、15人分のアカウントで合計137件の不正注文があったと公表した。アクセス元については海外のホスティング会社のものと思われる4つのIPアドレスからの接続を確認しており、APIキーの漏洩経路の特定は調査中としていた。

　複数の被害者によると、2月23日にテックビューロから「APIキー不正利用の件について」というメールが届いた。手続きの詳細や実施時期については改めて連絡するとした上で、不正出金について「同額の仮想通貨を返却いたします」と記載されていた。不正取引に関しては、希望する利用者については取引前の状態に戻すとした。

　APIキーの漏洩経路については依然として判明していない。テックビューロが被害者に対して行った利用状況のヒアリングでは、漏洩につながる共通事項はないと確認されたという。一方で、同社のシステムにも欠陥や漏洩の痕跡は見当たらなかったとしている。

　ただ、APIキーを利用できるIPアドレスを制限する機能などを用意しておけば、事故を未然に防げた可能性があるなどの理由で、「原状回復を行うことが適切である」と判断したという。今後、同様の問題が起きた場合には「同等の対応を保証するものではなく」その都度協議するとしている。

　テックビューロは、被害者に通知したメールの内容に関する日経ビジネスの取材に対し、「公表している内容以外、何も申し上げられることはございません」と回答した。

　金融庁は2017年4月に改正資金決済法を施行。仮想通貨の交換事業者に対し、顧客と自身の資産の分別管理に加えシステム管理や安全対策を義務付けている。金融庁の審査で認定された登録業者と登録申請中の「みなし業者」しか事業を行うことはできない。過去最大規模の不正流出を起こしたコインチェックはこの「みなし業者」だった。一方、テックビューロはシステム面のチェックを受けたはずの登録業者であるにも関わらず、このような事態が発生していたため、APIキー漏洩についての原因究明と補償方針が注目されていた。

　今回、事件発生後の顧客対応についても課題が残った。米山大輔さん（仮名）は不正出金による被害者の一人。約1000万円が不正出金されたという。不正出金されていることがわかるとすぐに、補償体制についてテックビューロに問い合わせたが十分な回答は得られなかった。仕方なく金融庁の相談窓口に連絡。金融庁から同社へ連絡後、2週間以内に返答がくることになっていたが結局それもこなかった。今回の全額返却の連絡でひとまずは安心したというが、「問い合わせに対しほとんど対応されなかったことが、一番憤りが大きかった」という。

　テックビューロは最近でも別のトラブルが発生している。2月16日、ある個人がZaifで21億BTC（2200兆円）ものビットコインを購入した。同社によれば、ビットコインの発行上限を遥かに超える売買が起こったのはシステムの不具合が原因だという。午後5時40分から18分間、ビットコインが0円で売買できる状態が発生した。個人は手にしたビットコインを売りに出したが、「指し値注文」だったため売買は成立しなかった。その後0円で売買されたデータは修正されたが、登録業者の持つシステムとしてあってはならない不具合だ。

　仮想通貨という新しい技術に対し、日本は世界に先駆けて法整備など体制を整えている。だが、国が認めた事業者でトラブルが相次ぎ、その後の対応もおざなりという状態が続けば市場の成長は見込めない。