Fintertech株式会社のプレスリリース
-
本POCの概要
2023年11月30日に公表しました通り、大和証券グループ本社及び大和証券、パブリックチェーンを活用した金融システム構築に精通するFintertech及びGincoは協同し、下記の要領で本POCを実施いたしました。
本POCにおける各社の役割
参加企業 |
POCにおける役割 |
大和証券グループ本社 |
社債STの発行 |
大和証券 |
本POCの統括、プランニング、検討内容の整理・確定 |
Fintertech |
ソウルバウンドトークン³(以下、SBT)の発行 本POCにおける技術的なアドバイス・検証 |
Ginco |
本POCにおけるシステム環境の構築 本POCにおける技術的なアドバイス・検証 |
¹パブリックチェーン上で電子記録移転有価証券表示権利等が発行されたのは国内初
² 特定の管理主体を置かず、不特定多数の自由な参加者により合意形成を行うブロックチェーンであり、ビットコインやイーサリアムが代表例
³ ソウルバウンドトークンとは譲渡不可能なトークン。保有する本人の証明等に活用されることを期待されている
① 本POCに用いるスマートコントラクトの開発・公開
本POCの実施に先立ち、FintertechならびにGincoは、本POCで利用するSTとSBTの発行を行う、スマートコントラクトを実装し、パブリックチェーンであるイーサリアム上に公開しました。
② SBTの付与
STの発行に先立ち、Fintertechは、イーサリアム上に用意された投資家2名(以下「投資家A」「投資家B」)のアドレスに対して、SBTを付与しました。
③ STの募集
2024年2月19日に、大和証券グループ本社がSTの条件決定を行い、投資家Aに対して募集を行いました。翌2月20日を払込日・発行日として、イーサリアム上にて、STを発行しています。
④ STの移転
投資家Aは投資家Bに対して、STの売却・移転を行いました。投資家A及び投資家Bのアドレスには、ともにSBT が付与されているため、投資家Aの指示に基づき、STは投資家Bに移転されました。
⑤ ハッキング実験その1
投資家Bの秘密鍵⁴がハッカーに盗まれたと仮定し、投資家Bの保有するSTについて、別途用意したハッカー役のアドレスへの移転指示を行いました。ハッカー役のアドレスにはSBTが付与されていないため、STは移転されないことが確認できました。
⑥ ハッキング実験その2
次にSBTの発行体であるFintertechの秘密鍵がハッカーに盗まれ、SBTコントラクトのオーナー権限⁵により、ハッカー役のアドレスへSBTの付与を行うケースについて検証しました。
SBTの付与がオーナー権限で行われたことはFintertechから確認できるため、Fintertechは自社の秘密鍵が盗まれている事実を認識することができます。
⁴ 公開鍵暗号方式において、対応する公開鍵で暗号化された情報を復号する際に利用する文字列のこと。暗号資産の領域では、そのトークンの所有者であることを証明するデータを意味し、これを盗まれると自身のトークンが自由に移転されるリスクがある
⁵ イーサリアム上でのSBTの発行を管理するプログラム(いわゆるスマートコントラクト)を、ここでは「SBTコントラクト」としている。Fintertechは「SBTコントラクト」のオーナーであり、保有する秘密鍵によりオーナー権限がある。このPOCでは、その秘密鍵がハッカーに盗まれ、ハッカーがオーナー権限でSBTを付与している
こうした事実を把握したFintertechは、オーナー権限によりSBTコントラクトを無効化することができることを確認しました。そのうえで、新たなSBTコントラクトを用意し、当該新SBTが移転可能なアドレスを表すものであることを、投資家及び発行体に周知したうえで、改めて投資家A及び投資家Bに当該新SBTを付与できることを確認しました。
Fintertechからの連絡を受け、発行体である大和証券グループ本社はオーナー権限により、STコントラクトにおける移転を可能とするSBTの一覧から、無効化されたSBTを除くとともに、新SBTを追加し、新SBTを有する投資家のみがSTの売買が可能になるように変更を行えることを確認しました。
⑦ ハッキング実験その3
投資家Bの秘密鍵を盗んだハッカーが、投資家Bの保有するSTについて、投資家Aのアドレスへの移転指示を行うケースを検証しました。
投資家A及び投資家Bのアドレスにはハッキング実験その2で新たに付与されたSBTがあるため、STは移転されました。
投資家Bは、保有するSTが移転されたことに気が付き、発行体である大和証券グループ本社へ連絡することで、大和証券グループ本社は、投資家Bの秘密鍵が盗まれている事実を認識しました。
そこで大和証券グループ本社はハッキングの事実をFintertechヘ連絡し、FintertechはSBTコントラクトのオーナー権限により、投資家BのSBTを無効化しました。
さらに、大和証券グループ本社はSTコントラクト⁶のオーナー権限により、不正に移転されたSTについて、投資家Aから投資家Bのアドレスに強制移転を行うことで、ハッキング前の状況に戻すことができることを確認しました。
なお、投資家BのSBTを無効化後は、投資家BからのSTの移転指示が反映されないことも確認しております。
⑧ ハッキング実験その4
発行体である大和証券グループ本社の秘密鍵がハッカーに盗まれ、STコントラクトのオーナー権限により、STについて、投資家Bから投資家Aへの強制移転が行われたケースについて検証しました。
オーナー権限にて強制移転が行われたことは大和証券グループ本社から確認できるため、自社の秘密鍵が盗まれている事実を認識することができます。
こうした事実を把握した場合、大和証券グループ本社は、オーナー権限によりSTコントラクトを無効化することができることを確認しました。さらに、新たなSTコントラクトを用意し、当該新STが社債の保有状況を表すものであることを投資家に周知したうえで、改めて投資家Bに当該新STを付与できることを確認しました。
⁶注記⁴と同様に、イーサリアム上でのSTの発行を管理するプログラムを、ここでは「STコントラクト」としており、当該コントラクトのオーナーは発行体である大和証券グループ本社である。
⑨ 新たなSBT下での、新たなSTの移転
⑦で入れ替えた新たなST、SBTを用いた移転が可能かを確認するため、投資家Bは投資家Aに対してSTの売却・移転を行いました。
⑩ 償還
2024年2月28日にSTは償還されたため、発行体である大和証券グループ本社は、オーナー権限によりSTコントラクトを無効化しました
本POCで利用したST及びSBTのスマートコントラクトは以下になります。
-
本POCによる成果
本POCにおいて、STはSBTが付与された投資家間でしか移転できない設計とし、これによってハッキングによる秘密鍵の流出時にもSTの不正な移転ができない設計としました。そのうえで、下記のハッキング実験を行っています。
盗まれた秘密鍵 |
実験により確認したこと |
|
ハッキング 実験その1
|
投資家の秘密鍵 |
不正な移転をSBTで制限することが可能か |
ハッキング 実験その2 |
SBT発行体の秘密鍵 |
SBTのオーナー権限でSBTを不正に付与された時に、ハッキング前の状況に回復可能か |
ハッキング 実験その3 |
投資家の秘密鍵 |
SBTを保有している同士で不正な移転が起きたときにハッキング前の状況に回復可能か |
ハッキング 実験その4 |
発行体の秘密鍵 |
STのオーナー権限でSTを不正に付与された時にハッキング前の状況に回復可能か |
ハッキング実験その1を行った結果、SBTの活用がハッキングによる不正移転防止に、一定の有効性を持つことを確認できたと言えます。
ハッキング実験その2では、SBTコントラクトのオーナーの秘密鍵がハッキングされ、ハッカーのアカウントにSBTが付与されるケースにおいても、そのSBTコントラクトを無効化し、新たなSBTを付与することで、ハッキング前の状況に戻すことが可能であることを示すことができました。
ハッキング実験その3では、不正な移転先がSBTを有する場合には、SBTのみでは不正な移転を防ぐことはできないことも確認いたしました。こうした場合においても、オーナー権限によるSBTの無効化及び、STの強制移転によりハッキング前の状況に戻すことが可能であることも確認できました。
ハッキング実験その4では、STコントラクトのオーナーの秘密鍵がハッキングされ、ハッカーによりSTの強制移転が行われるケースを検討しましたが、こうした場合においても、そのSTコントラクトを無効化したうえで、新たなSTを付与することで、ハッキング前の状況に戻すことが可能であることを示すことができました。
ビットコインやイーサリアムといった暗号資産では中央集権的な管理組織が存在しないことから、ハッキングによる不正な移転が行われた際に元の状況に戻すことは非常に困難です。
しかし、STにおいては発行会社や証券会社、SBTの付与者等が連携し、スマートコントラクト等を用いて管理することで、不正な移転が行われたとしても、ハッキング前の状況に戻すことが可能であることを示せたと言えます。
-
パブリックチェーンとパーミッションドチェーン⁷との比較
現時点で、国内で発行されたSTは、主にパーミッションドチェーン上で発行されています。こうしたパーミッションドチェーンと今回のPOCで利用したパブリックチェーンを比較すると以下のようになります。
パーミッションドチェーン |
パブリックチェーン |
|
代表例 |
Progmat、ibet |
ビットコイン、イーサリアム |
スケーラビリティ(処理速度) |
一般にパブリックチェーン対比で処理速度は速い |
一般にパーミッションドチェーン対比で処理速度は遅い |
ガス代⁸ |
一般に、パブリックチェーン対比でガス代は安い |
一般にパーミッションドチェーン対比でガス代は割高になる |
プライバシー |
外部に公開されていないため、プライバシーが保たれる |
透明性が高く、取引状況等が公開される |
セキュリティ |
限定された管理者に対し攻撃すれば足りるため、パブリックチェーン対比で、セキュリティのリスクは高いとされる |
攻撃には、攻撃者が相当のリソースを持つ必要があり、パーミッションドチェーン対比でセキュリティが堅固とされる |
インターオペラビリティ |
パブリックチェーンとの連携にはクロスチェーン技術⁹を利用 |
同一のパブリックチェーン内であれば、クロスチェーン技術は不要 |
₇あらかじめ限定された参加者により合意形成を行うブロックチェーンのこと
⁸ブロックチェーンにおいて、取引の実行やブロックチェーン上のプログラムに処理時に必要となる手数料のこと
⁹異なるブロックチェーン同士を接続する技術のこと
パーミッションドチェーンは、パブリックチェーンと比較し、スケーラビリティやガス代、プライバシーなど利点があります。
一方、パブリックチェーンは、セキュリティ面が堅固である他、暗号資産やNFTといった既存のパブリックチェーン上に存在するトークンとの相互運用性が高いと言えます。そのため、パブリックチェーンにおいて日々進化するエコシステムの活用が容易であり、そのダイナミズムを取りこみやすい点が利点であると言えます。
例えば、パブリックチェーン上に発行されたSTの保有者に対し、利払いや優待としてパブリックチェーン上で発行されたステーブルコインやNFTを付与するケースを考えてみると、付与されたステーブルコインやNFTもパブリックチェーン上に存在するため、パブリックチェーン上のサービスにおいて、直接利用することが可能です。
しかし、パーミッションドチェーンで同様の行為を行うと、付与されたステーブルコインやNFTはパーミッションドチェーン内にとどまるため、パブリックチェーンに広がるエコシステムに直接的に接続することは難しいと言えます。
-
残された課題・今後の展望
本POCでは、発行体である大和証券グループ本社が投資家を勧誘し、証券会社による私募の取扱い・媒介等は行わず、保護預かりも行わない形式としました。今後、投資家の利便性を考え、証券会社による募集の取扱い、媒介、保護預かり等が可能な体制を整えることを検討しています(Phase1)。
また、将来的には、投資家のアンホステッドウォレット¹⁰の利用を認める場合(Phase2)についても検討していく方針です。Phase2では、証券会社保護預かりの口座から、アンホステッドウォレットに移転する際に、犯罪による収益の移転防止に関する法律における取引時確認を適切に実施できるかが論点となります。こうした際にどのような対応が考えられるかは、ステーブルコインの移転を行う電子決済事業者等取引業者において求められる措置などを参考にしながら、法制度の整備も含め、業界全体で検討していく必要があるものと考えます。
¹⁰秘密鍵を、証券会社等に預けず、自身でウォレットアプリなどを用いて保管すること
Fintertech株式会社について
Fintertechは、大和証券グループ及びクレディセゾンがそれぞれ創業来培ってきた金融ビジネスのノウハウを礎としながら、最先端のテクノロジーの活用や外部企業との連携により次世代金融サービスを機動的にかつ柔軟に創出することを目指しています。
主な事業として、暗号資産を活用した「デジタルアセット担保ローン」及び「デジタルアセットステーク(消費貸借)」、クラウド型応援金サービスの「KASSAI」、「未来をわかちあう投資」を提供する貸付型クラウドファンディングサービス「Funvest」を展開しています。
会社名:Fintertech株式会社
所在地:東京都千代田区一番町5番地アトラスビル6階
代表者:相原 一也
設 立:2018年4月2日
事業内容:次世代金融領域における新たな金融サービスの創出、運営
企業URL:https://fintertech.jp
株式会社Gincoについて
Gincoは、「経済のめぐりを変えていく」をビジョンに掲げ、ブロックチェーン技術を活用し、企業のWeb3事業を支援するWeb3 Development Companyです。
2017年の創業からWeb3業界の総合ディベロッパーとして、より早く、より安全に、より費用対効果高くブロックチェーンを活用するためのインフラを提供してまいりました。
Web3サービス開発のためのAPI&SDKサービス「Web3 Cloud」や、業務用暗号資産ウォレットを中心とする「Web3 SaaS」、コンサルティングなどのプロフェッショナルサービスなどのB2B事業に加え、個人向けモバイルウォレットアプリ「Ginco」を提供するなど、Web3の社会実装に向けて多角的に取り組んでいます。
会社名:株式会社Ginco
所在地:〒104−0032 東京都中央区八丁堀三丁目27-4
代表者:森川夢佑斗
設 立:2017年12月21日
事業内容:クラウド型ブロックチェーンインフラおよび、同インフラを利用した各種エンタープライズサービスの開発・運営・提供
企業URL:https://ginco.co.jp
以上