テックビューロは20日の２時15分に、「仮想通貨の入出金停止に関するご報告、及び弊社対応について」というリリースを公表した。

同社が提供する仮想通貨取引所サービズ「Zaif」において、前週の９月14日17時頃から19時頃までの間に、外部からの不正アクセスで、ホットウォレットで管理している仮想通貨（ビットコイン、モナコイン、ビットコインキャッシュ）が不正に送金されたというが、被害総額は最低でも 5,966 BTC（約67億円相当）で、総額の確定は出来ていないという。

「Zaifなら安心・安全！万全のセキュリティ」というテキストがむなしく響く同社ホームページ 

 
当サイトでは、かねてよりテックビューロの消極的な情報開示体制を批判してきたが、あのコインチェック事件に次ぐ規模の事故を起こしておきながらも、今回もその例に漏れないようである。

14日：ハッキング被害
17日：サーバー異常を検知
18日：ハッキング被害を確認
20日：被害報告/ユーザー連絡

まじでZaif終わってんだろ・・・

— zephyr(ゼファー) (@zephyr_3_) September 19, 2018

Zaif では当初、17日に公式サイトではなくTwitter 上で「BTCとMONAに加え、BCHの入出金がサーバ障害により停止しております」と報告。

【続報】現在、BTCとMONAに加え、BCHの入出金がサーバ障害により停止しております。復旧に向け調査中です。入出金をお控えいただけますようよろしくお願いいたします。
またZaifPaymentによる決済も停止しております。ご迷惑をお掛けして申し訳ございません。

— Zaif - 暗号通貨取引所 (@zaifdotjp) September 17, 2018

その翌日には、同じくTwitter 上で「引き続き障害対応中ですが、お客様の資産の安全を確認いたしました」とも報告しつつ、他のトークンについても出金を停止させていた。

【仮想通貨入出金障害の続報】
現在BTC,MONA,BCHの入出金を一時停止しております。引き続き障害対応中ですが、お客様の資産の安全を確認いたしましたことをご報告いたします。復旧については1～２営業日中に完了する予定です。ご迷惑をおかけしておりますことをお詫び申し上げます。

— Zaif - 暗号通貨取引所 (@zaifdotjp) September 18, 2018

そして本日20日未明、公式サイト上で更新された内容はいきなりの（同社ホットウォレットに対する）総額67億円超のハッキング被害の報告と、業務提携先である株式会社フィスコデジタルアセットグループの子会社を通じた、金融支援を含む基本契約締結、フィスコグループへ Zaif を引き継いだ後の現経営陣の退陣などの報告であった。

• 仮想通貨の入出金停止に関するご報告、及び弊社対応について｜テックビューロ株式会社のプレスリリース

利用者にとっては、文字通り「寝耳に水」となった今回の報告だが、当社は今回のハッキング被害について、前述のリリース内で「弊社は，平成30年9月17日にサーバ異常を検知し、翌18日にはハッキング被害が確認された」と報告している。

つまり、18日のツイート内容である「お客様の資産の安全を確認いたしました」との報告は、消費者を欺いた可能性がある。

また、14日に不正アクセスを受けた割には「17日にサーバ異常を検知」していることなども含め、ウェブ上では今回のZaif 側報告のタイムスタンプに疑問の声が出ている。 

このほか、運営会社が20日の未明に発表したことなどについて「今月14日に発生したにもかかわらず、なぜこの時間に公表？」といった投稿や、「発表では『今月18日にハッキング被害に気付いた』とあるが、その日にツイッター上では『客の資産の安全を確認』とも投稿していて、説明を聞きたい」などと対応を疑問視する声も相次いでいます。

Zaif 仮想通貨大量流出 ネット上で懸念と疑問の声 | NHKニュース

 ハッキング被害の判明（自称）から48時間以内に、50億円にも及ぶ金融支援の取り付け（と、関連企業によるプレスリリース）や現経営陣の総退場意向の発表まで、公表されているタイムスタンプからすれば余りにスピーディーでもあり、同社の報告の真正さに疑問を感じる点は多い。

また、それらに加えて、「クラウドサイン」が同日に公開したエントリ「Zaif利用規約に見るコインチェック事件の教訓、そして事件前日の改訂に残る謎」では、Zaif が事件発生直前の13日に利用規約を改訂していたことを取り上げている。

上記記事によれば、この改訂においては、「『消費者保護の観点から』という理由で、「一切責任を負わない」と定めていた全部免責条項を削除する改訂を行なっていた」ことが橋詰氏の調査で判明したという。

Zaif 側は事件直前まで、会員に同意を求めていた利用規約で「本サービスに関連して本会員が被った損害につき、賠償する責任を一切負わないものとします」としていた。

こうした「一切責任を負わない」条項は、消費者契約法上無効となる可能性が高いことが指摘されている。
コインチェックの「当社は賠償責任を一切負わない」と定める利用規約は有効なのか | STORIA法律事務所

コインチェック事件から半年経った、Zaif ハッキング事件の「前日」というタイミングでこの条項の改訂を行っている点について、「クラウドサイン」の記事は「ここまで日付が接近していると、そもそも会社が事件発生を把握したのが本当に9月14日だったのか？という疑問を覚えてしまいます」と指摘している。

然るべくして起こったようにも感じられる今回のZaif の大事件。
金融庁は当社に立入検査を実施し、業務改善命令を発出しておきながらも、今回の事件を止めることは出来なかった。

もはや真相解明はテックビューロに求めることは出来ず、今後行われる金融庁の検査結果に期待するしか無い。