仮想通貨取引所のハッキング:過去最大の被害事例と安全対策
逃走用の車はもう必要ありません。今や世界で最も儲かる強盗は、ラップトップ、騙された従業員、そして誰も取り戻せないウォレットアドレスで行われています。仮想通貨取引所のハッキングは、静かにオンライン上で最も儲かる犯罪へと成長し、その損失は止まりません。2025年だけでも、窃盗犯は仮想通貨プラットフォームから約34億ドルを盗み出し、これは1年で55%も増加したことになります。そして、ある1件の強盗でそのほぼ半分が奪われました。取引所にコインを預けているということは、サインアップ画面に明記されているかどうかに関わらず、このようなリスクを負っているということです。安心できる点は、そのほとんどすべてが、同じ短いリストのミスに起因しているということです。それらのミスを避ければ、ほとんどの危険を回避できます。
仮想通貨取引所がなぜこれほど魅力的な標的となるのか
取引所とは一体何なのか、考えてみてください。それは、数十億ドルもの他人の資金を保有する単一の企業であり、その多くはインターネットに接続された「ホットウォレット」に保管されているため、顧客は午前3時でも取引を行うことができます。これらのウォレットの背後には、鍵とアクセス権を持ち、人間である以上当然の弱点も抱える数十人の従業員がいます。地球上のどの銀行の金庫も、これほどまでに価値を集中させることはできません。
それが、仮想通貨の中心にある厄介なトレードオフだ。仮想通貨取引所を使いやすくしている中央集権的な仕組みが、同時にハニーポット(標的型攻撃)の温床にもなっている。使いやすいアプリ、即時取引、パスワードリセットボタンといった利便性は得られるが、ハッカーにとっては標的が1000万人ではなく1人だけになる。銀行強盗なら引き出しの中身を全て奪えるが、取引所を襲えば全てを一度に奪い、裁判所の手が届かない場所に持ち出すことができるのだ。
取引所が運用する2種類の仮想通貨ウォレットを理解することが重要です。コールドウォレットはオフラインで保管され、遠隔操作は非常に困難ですが、アクセス速度が遅いという欠点があります。ホットウォレットはオンライン状態を維持するため、出金処理が即座に行われますが、まさにこのホットウォレットこそが資金流出の温床となるのです。どの取引所もこの2つのバランスを取っており、どちらか一方に利便性を過度に重視すると、不正アクセス者が利益を得られる余地が大きくなります。Chainalysis によると、年間合計額は、このバランスがどこまで達したかを示しています。2024年には約22億ドル、2025年には34億ドルが盗難被害に遭い、その額は増加の一途を辿っています。
最大の暗号通貨取引所ハッキング事件ランキング
このリストは単なる恥辱の殿堂ではありません。上から下まで読み進めれば、ずさんなホットウォレットの放置から、国家主導の攻撃チームがソフトウェアサプライチェーンに侵入するといった、攻撃の形態がいかに変化してきたかが分かります。このランキングこそが、真実を物語っているのです。
Bybit 2025:15億ドルの記録
2025年2月、攻撃者たちはたった1日の午後でBybitから約15億ドル相当のイーサリアム(Ether)を抜き取った。これは、 CNBCの報道によると、過去最大の仮想通貨ハッキング事件である。誰もが懸念すべき点は、彼らがBybitに「侵入」したわけではないということだ。彼らはBybitが使用していたサードパーティ署名ツールであるSafe{Wallet}の開発者マシンを侵害し、インターフェースに悪意のあるコードを仕込んだ。そのため、送金を承認する人々は、悪意のある取引を承認しながら、通常の取引を見ているように見えた。北朝鮮のラザルスグループが背後にいた。Bybitは、顧客の損失を自社の準備金で補填した。
この事件が規模以上に重要な理由は、カテゴリーの転換点となったからだ。10年間、取引所への標準的なアドバイスは「秘密鍵を厳重に管理し、資金の大部分をコールドストレージに保管する」ことだったが、Bybitはまさにその通りに行動していた。攻撃者は単に上流へと攻撃対象を移し、取引所自体ではなく、取引所が信頼していたソフトウェアを標的にしたのだ。これは防御するのがはるかに難しい問題だ。なぜなら、セキュリティはサプライチェーン内のすべてのベンダーとツールの強度に依存するようになったからだ。主要なプラットフォームはすべて、その後数ヶ月間、これまで疑問視したこともなかったソフトウェアの監査に時間を費やした。
Mt. Gox、Coincheck、そして初期の失敗事例
以前の仮想通貨取引所のハッキングはより粗雑で、同様に壊滅的でした。Mt. Gox を例にとってみましょう。かつては世界最大の仮想通貨取引所で、世界のビットコイン取引の大部分を扱っていましたが、約 85 万 BTC を流出し、2014 年までに崩壊しました。業界は今もその混乱の後始末をしています。Coincheck は 2018 年に約 5 億 3000 万ドル相当の NEM をハッキングされましたが、その理由は実に愚かなものでした。マルチシグネチャ保護のないホットウォレットにトークンを保管していたのです。FTX は奇妙な例です。2022 年のその破綻は、ハッキングではなく詐欺が主な原因でしたが、破産申請をしたまさにその夜に、何者かが約 4 億ドルを不正に引き出しました。外部からの攻撃か内部犯行か?人々は今も議論しています。以下の表は、その中でも最悪の事例をまとめたものです。
| 交換 | 年 | 盗まれた | 何が失敗したのか |
|---|---|---|---|
| バイビット | 2025 | 約15億ドル | 侵害されたサードパーティ署名インターフェース |
| コインチェック | 2018 | 約5億3000万ドル | NEMはホットウォレットに保持されており、マルチシグはありません |
| マウントゴックス | 2014 | 約85万BTC | 長年にわたり発覚しなかったホットウォレット窃盗 |
| DMMビットコイン | 2024 | 約3億500万ドル | ベンダー従業員に対するソーシャルエンジニアリング |
| クコイン | 2020 | 約2億8000万ドル | ホットウォレットの秘密鍵が流出(73%が復旧済み) |
| WazirX | 2024 | 約2億3000万ドル | マルチシグアップグレードの脆弱性を悪用 |
| FTX | 2022 | 約4億ドル | 崩壊時のハッキング |
仮想通貨取引所のハッキングは実際にどのように起こるのか
暗い部屋で天才が暗号を解読する映画のようなイメージは忘れてください。仮想通貨を保護する暗号技術は、ほとんど破られることはありません。破られるのは、その周囲のすべて、つまり鍵、スタッフ、そして彼らが信頼するソフトウェアです。専門用語を取り除けば、これらの仮想通貨ハッキングのほぼすべては、2つの失敗のいずれかに起因します。
鍵の盗難と不正使用による財布の盗難
秘密鍵を握っている者がコインを完全にコントロールします。そのため、仮想通貨を盗む攻撃者は、それを守る数学的な仕組みではなく、鍵そのものを直接狙います。2024年には、盗まれた資金全体の43.8%が秘密鍵の漏洩によるもので、これは群を抜いて最大のカテゴリーです。ホットウォレットに多額の資金を残したり、鍵をずさんに保管したりする取引所は、1台のマシンが侵害された瞬間に、すべての資金を盗み出すことになります。
社会工学とサプライチェーンの変革
より新しく、より恐ろしい攻撃手段は人間です。北朝鮮の工作員はLinkedInで採用担当者を装い、従業員のコンピューターにマルウェアを仕込んでいます。これは、3億500万ドル相当のDMMビットコイン盗難事件の発端となったソーシャルエンジニアリングの脆弱性です。彼らはBybitなどの取引所が依存するツールにコードを注入しています。彼らは漏洩したAPIキーを悪用し、セッションクッキーを乗っ取り、同僚を説得して送金を承認させるほど巧妙にスタッフになりすまします。ディープフェイク音声や動画もこれらの手口に使われるようになり、「本当に上司かどうかを確認する」という昔ながらのアドバイスは、聞こえほど安全ではありません。私がこの点を繰り返し強調するのは、業界が未だに「軍事レベルの暗号化」を宣伝している一方で、実際に侵入されるのは、疲れたエンジニアが偽の求人をクリックすることだからです。数学的には完璧ですが、それを使う人間はそうではなく、攻撃者は何年も前にそのことに気づいています。
北朝鮮:史上最大規模の窃盗事件の背後にいる犯人たち
現代の仮想通貨取引所のハッキングに共通する点があるとすれば、それは単一の国家がほとんどの重責を担っているということだ。Chainalysisによると、北朝鮮のハッキング部隊(中でもラザルス・グループが中心)は、2025年だけで推定20億2000万ドルを盗み出し、これは同年サービス侵害によって失われた資金全体の約76%に相当する。TRM Labsの研究者らは、北朝鮮政権による累計の盗み出し額は73億ドルを超えると推定している。
彼らを他と区別するのは、忍耐と規模です。これらは強奪ではありません。攻撃の回数は少ないものの、はるかに大規模な攻撃を実行します。標的に数ヶ月間潜伏してから移動し、盗んだ資金を洗浄して制裁対象国の兵器開発計画の資金に充てます。そのペースも衰えていません。TRM Labsは、2026年の最初の4ヶ月だけで業界全体で7億7000万ドル以上の仮想通貨盗難が発生し、そのうち約76%は北朝鮮によるもので、わずか2回の攻撃によるものです。これは問題全体を再定義します。最大の取引所盗難は、もはや一匹狼の日和見主義ではなく、国家主導の仮想通貨犯罪であり、給与のある政府を相手に戦わなければなりません。これは、個々の取引所が負け続けている戦いです。
盗まれた仮想通貨はどこへ行くのか、そしてなぜ取り戻されることがほとんどないのか
人々は安心できる物語にすがりつく。ハッカーは必ず捕まり、お金は戻ってくる、と。しかし、そんなことはまずあり得ない。資金が移動した瞬間に何が起こるかを見てみよう。泥棒たちは資金をミキサーやクロスチェーンブリッジに通し、分割したり再編成したりして、1時間も経たないうちに痕跡は消えてしまうのだ。
例外はいくつか存在するが、それらはむしろこの法則を裏付けるものだ。Poly Networkのハッカーは2021年に6億1100万ドルを盗み出し、その後、誰も完全に説明できない理由でほぼ全額を返還した。KuCoinは、迅速な凍結と保険によって2020年の損失のほとんどを取り戻した。Bybitはユーザーに返金したばかりだ。これらは幸運なケースだ。Mt. Goxの債権者は?10年以上経った今もなお返還を待っており、期限は2026年10月に延期され、数万ビットコインが返還されていない。皮肉なことに、これらすべてはパブリックブロックチェーン上で展開されるため、アナリストは盗まれた資金がリアルタイムで流出するのを傍観しながら、それを阻止するために何もできない。盗まれたお金は、失われたお金として扱うべきだ。
FTXは、一つだけ有益な傷跡を残した。それは、業界を準備金証明(Proof of Reserves)へと導いたことだ。これは、取引所が主張するコインを実際に保有していることを示すための、公開された暗号技術である。これでハッキングを防げるか?否。FTXが何ヶ月も隠していた静かな破綻を暴けるか?概ね可能だ。したがって、取引所が準備金証明を公開しない場合は、その理由について各自で判断すべきだろう。
暗号資産取引所のハッキングからあなたの暗号資産を守る方法
これは、大げさな「史上最大のハッキング事件」リストでは見落とされがちな部分です。仮想通貨取引所のハッキングは、一般ユーザーを直接標的にすることは稀ですが、それでも自分自身をはるかに攻撃されにくい状態にすることは可能です。そのほとんどは地味な作業で、半日もあればできます。
自己保管および冷蔵保管
仮想通貨における最も古いルールは今もなお有効です。「秘密鍵を持っていなければ、コインは自分のものにならない」。積極的に取引するのではなく、保有している資産は、取引所からハードウェアウォレットなどのインターネットに接続しないコールドストレージに移しましょう。リカバリーフレーズは紙に書き留め、安全な場所に保管し、ウェブサイトやチャットに入力しないようにしてください。80ドル程度のハードウェアウォレットは、上記で説明したほぼすべての攻撃からあなたを守ってくれます。なぜなら、秘密鍵はハッカーが探している場所にはないからです。
取引所アカウントをロックダウンする
取引所に保管している資金については、アカウントのセキュリティを強化しましょう。二段階認証には認証アプリを使用し、SIMスワップで簡単に盗まれるSMSコードは絶対に使用しないでください。出金先アドレスの許可リストを設定し、事前に承認したウォレットにのみ資金が送金されるようにしましょう。他では使用されていない、固有の長いパスワードを使用してください。取引所の実際のURLをブックマークし、そのブックマークからのみログインするようにしましょう。なぜなら、最も安上がりな方法は、すぐ隣のタブにある巧妙な偽サイトにパスワードを入力することだからです。予期しない「アカウントの確認」メールやテキストメッセージは、そうでないと証明されるまでは敵対的なものとして扱いましょう。そして、シンプルなルールを守りましょう。どの取引所にも、失っても構わない金額以上の資金を保管してはいけません。
より安全な仮想通貨取引所を選ぶ
すべての取引所が同じリスクを持つわけではなく、生き残っている取引所には、1セントでも入金する前に確認しておくべき共通の習慣があります。信頼できるプラットフォームは、デジタル資産の大部分をコールドストレージに保管し、準備金証明を公開してコインの存在を確認できるようにし、緊急事態に備えて保険基金を運営しています。例えば、Binanceは顧客の安全策として、10億ドルのSAFU基金を保有しており、最近15,000BTCに換算されました。
| 緑の旗 | 危険信号 |
|---|---|
| 資産の大部分は冷蔵保管されている | セキュリティに関する情報開示が曖昧、または全くない |
| 公的準備金証明 | 保険や積立金はありません |
| アプリベースの2段階認証、出金許可リスト | SMSログインのみ、出金制限なし |
| 規制対象、監査済み、長年の実績 | 匿名チーム、驚異的な「収益」 |
管轄区域も重要です。金融監督がしっかりしている国で登録・認可された取引所は、不正行為による損失が大きく、万が一問題が発生した場合でも、少なくとも法的根拠は確保できます。一方、どこから来たのかもわからない匿名のチームが運営するプラットフォームは、そうした安心感を一切提供しません。そして、まさにそうした組織こそが、後々出口詐欺として明るみに出る傾向があるのです。また、複数の取引所に資産を分散させることも重要です。そうすれば、一度の侵害で全資産を失うリスクを回避できます。
これらはどれも保証ではありません。Bybitは、被害を受けた当時、評判が良く、規制された中央集権型取引所でした。まさにそこが重要な点です。評判はリスクを軽減するだけで、リスクを完全に排除するわけではありません。しかし、これらの兆候はあなたに有利な状況を作り出し、セキュリティについて議論することを拒否する取引所は、何らかのメッセージを発信していると言えるでしょう。
仮想通貨取引所のセキュリティの未来
防御策は徐々に追いつきつつあります。取引所は、鍵を分割して単一のマシンが保持しないようにするMPCウォレット、ハードウェア署名、オンチェーンコンポーネントのスマートコントラクト監査、承認前にトランザクションをシミュレートするソフトウェアなどへと移行しています。これらはすべて、セキュリティ侵害のリスクを軽減するのに役立ちます。しかし、騙されたり賄賂を受け取ったりする可能性のある人間という最も弱いリンクは、どれも解決されません。この状況が変わるまでは、仮想通貨取引所のハッキングに関して最も安全な想定は、どの取引所も次に標的になる可能性があるということであり、最も賢明な対策は、ハッキングされた取引所がアクセスできない場所に仮想通貨の大部分を保管することです。
