仮想通貨はハッキングされるのか?ブロックチェーン、ウォレット、そしてハッキング
では、仮想通貨はハッキングされる可能性があるのでしょうか?ある意味ではそうでもあり、またある意味ではそうでもない、とも言えます。ご説明しましょう。
ブロックチェーン台帳そのもの、つまりブロックチェーンネットワークが検証する実際のチェーンは、17年間一度もハッキングされたことがありません。仮想通貨のハッキングに関する大々的なニュース記事を読んだことがあるでしょうか?それはすべて、どこか別の場所で起きたことです。取引所、ブリッジ、スマートコントラクト、誰かのウォレットアプリなど。安全な部分と危険な部分は画面上で隣り合って表示されていますが、ほとんどの人はお金を失うまでその違いに気づきません。
2025年は、多くの人々にとって個人的な問題となった。Chainalysisが12月に発表したブロックチェーン技術リスクに関する最新情報によると、攻撃者は昨年だけで暗号通貨サービスから34億ドルの資金を盗み出した。CertiKは630件の個別の事件で33億5000万ドルを計上した。TRM Labsは28億7000万ドルとしている。3つの企業、3つの方法論、結果は同じ。記録上最悪の年となった。そして、そのほとんどはブロックチェーン自体には影響を与えていない。
盗難が実際にどこで発生するのか、あなたの本当のリスクはどこにあるのか、そしてそれに対して実際に何ができるのかを、ご説明しましょう。
暗号通貨はハッキングされるのか?まずは直接的な答えから。
では、仮想通貨は意味のある意味でハッキングされる可能性があるのでしょうか?仮想通貨は間違いなく盗まれる可能性があります。しかし、それを保持するブロックチェーン台帳は、ほとんど盗まれることはありません。
言葉遊びのように聞こえるかもしれませんが、そうではありません。「ビットコインがハッキングされた」と言う場合、通常は次の3つのいずれかを意味します。誰かのコインが取引所から盗まれた、ウォレットの秘密鍵が侵害された、またはチェーン上で実行されているスマートコントラクトが空になった、のいずれかです。これらはビットコインやイーサリアム自体への攻撃ではありません。どちらの基盤レイヤーもコンセンサスルールが破られたことはなく、どちらも10年以上稼働しており、数十億ドル相当の資産が、それを破るだけの巧妙さを持つ者なら誰でもアクセスできる状態にあります。「ハッキング不可能なブロックチェーン」というラベルは半分しか正しくありません。チェーン自体は安全で耐性がありますが、その周辺には攻撃の標的が数多く存在します。
まずこの区別から始めましょう。なぜなら、これは防御に対する考え方を変えるからです。もし鎖が弱点であれば、何もあなたを守ることはできません。弱点は鎖の上に取り付けられている(保管、鍵管理、ユーザーの行動、スマートコントラクトのコードなど)ため、実際にはそのほとんどについてあなたが発言権を持っています。
ブロックチェーンのセキュリティとトランザクションの仕組みを理解する
何が壊れる可能性があるのかを見る前に、実際に何がそれを支えているのかを概略的に説明しましょう。ブロックチェーンのセキュリティを理解するには、互いに重なり合う3つのメカニズムを理解する必要がありますが、ほとんどの人はそのうちの1つを知っていても、残りの2つを見落としています。
暗号化と暗号技術について説明しましょう。ブロックチェーン上のすべてのトランザクションは秘密鍵で署名され、対応する公開鍵で検証されます。鍵を解読するには、256ビットの数値を総当たりで解読する必要があります。このような数値は、「宇宙の熱的死よりも長い」か、あるいは私たちが知っている古典的なコンピュータでは完全に不可能です。ビットコインのようなブロックチェーンは、このようにしてすべてのトランザクション署名を暗号化します。サトシ・ナカモトは2008年に鍵の暗号化にECDSAを選択し、それ以来ずっとその有効性が維持されています。
次にハッシュ化です。暗号通貨の取引の各ブロックは、SHA-256などのアルゴリズムによってハッシュ化されます。新しいブロックには、その前のブロックのハッシュが埋め込まれます。履歴のどこかに埋め込まれた単一の取引を変更すると、下流のすべてのハッシュが壊れてしまいます。これがブロックチェーンが不変と呼ばれる理由です。誰も編集したくないからではなく、チェーン全体が悲鳴を上げずに編集することができないからです。
3つ目のポイント、そして多くの人が誤解しているポイントは、コンセンサスです。ブロックチェーンネットワーク上に何千もの独立したノードが存在し、すべてが同じルールに基づいて動作し、互いにチェックし合っている様子を想像してみてください。管理者アカウントも、一時停止ボタンも、誰かが強制的にアクセスできるような本社もありません。歴史を書き換えるには、正直な大多数の人々を上回る計算能力、あるいは賭け金が必要です。これが、ブロックチェーンが信頼を分散化すると言うときに人々が意味するところです。分散型のブロックチェーンネットワークには、賄賂を贈ったり、召喚状を送ったり、DDoS攻撃でオフラインにしたりできる単一の主体が存在しないのです。
これら3つを組み合わせると、実に驚くべきことが分かります。ブロックチェーンによって承認された取引は基本的に永続的であり、暗号技術とコンセンサス機構が組み合わさることで、中央銀行は不要になります。つまり、銀行が存在しないのです。これが安全な部分です。安全でない部分は、その上に存在するすべての人間、すべての取引所、すべてのウォレットアプリ、すべてのスマートコントラクトです。
ビットコインはこれまでハッキングされたことがあるか?基盤層は依然として
短縮版?いいえ。
ビットコインのレイヤー1は、17年間一度も攻撃を受けたことがありません。バグは?もちろん、修正済みです。混乱を招くフォーク?数え切れないほど。ブロックサイズを巡るTwitterでの終わりのない論争?確かに。しかし、コアとなる台帳は一度も書き換えられていません。すべての新しいトランザクションは、2009年1月の最初のブロック以来、ビットコインのブロックチェーンを守ってきたのと同じルールをクリアした後にのみ、ブロックチェーンに追加されます。
MITのデジタル通貨イニシアチブは、プルーフ・オブ・ワークネットワークに対する既知の51%攻撃の記録をすべて保持している。ビットコインの行は空欄だ。イーサリアムメインネットの行も空欄だ。2016年の有名なDAOハッキング事件は?あれはイーサリアム上で実行されていた単一のスマートコントラクトのバグであり、チェーン自体のバグではなかった。その結果、イーサリアムとイーサリアムクラシックは、この問題への対処法について合意できないまま、今日まで2つのネットワークとして存在しているのだ。
さて、次は経済的な側面です。これは数学的な側面よりも説得力があるかもしれません。仮想通貨関連のニュースメディアは2024年に試算を行い、ビットコインに対する51%攻撃の費用を約60億ドルと算出しました。ハードウェア、電気代、コロケーション費用など、すべて込みです。では、その後はどうなるのでしょうか?攻撃が成功した瞬間、ビットコインの価格は暴落します。盗まれたコインの価値はほんのわずかになり、ASICファームはただの暖房器具と化します。攻撃者は高値で買って安値で売るという戦略を意図的に行います。これは、これまでに考案された中で最も高額な損失方法の一つと言えるでしょう。
つまり、本当の戦いは決して下層では起こらない。常に一つ上の層で起こるのだ。
仮想通貨が実際に盗まれる場所
暗号資産の仕組みを建物に例えて考えてみましょう。ブロックチェーンはその土台です。その上にスマートコントラクト、ブリッジ、取引所、カストディアンがあり、最上階にはウォレットを持つユーザーがいます。報道されるハッキング事件のほとんどは、この上層階で発生しています。その多くは、サードパーティのサイト、プラグイン、ツールを経由して行われ、それらがいつの間にかあなたの資金を支配してしまうのです。
Chainalysis は 2024 年の内訳をまとめ、盗まれたもののうち秘密鍵の侵害だけで 43.8% を占めていることを発見しました。秘密鍵の侵害です。スマート コントラクトのバグではありません。鍵です。個人ウォレット (取引所や DeFi ではない) は、盗まれた価値の 44% に跳ね上がり、2022 年の 7.3% から増加しました。次に 2025 年、TRM Labs は損失の 76% がインフラストラクチャ攻撃と呼ばれるものによるものであると述べました。侵害された署名者。クラウド プロバイダー。開発者ラップトップ。サポート スタッフを標的としたソーシャル エンジニアリング。スマート コントラクトの悪用はまだ発生していますか? はい。ハッカーは新しいプロトコルの脆弱性をまだ悪用していますか? 常に。しかし、それらはもはやメイン イベントではありません。
ハッカーはしばしば資金の流れを追うため、標的も変化してきた。2021年から2023年にかけてはDeFiが主流だったが、2024年と2025年には中央集権型サービスと個人ウォレットが取って代わった。このパターンは経済的なものであり、実に退屈なほど単純だ。適切な企業で署名権限を侵害された人物が一人いれば、個人が動かせる金額をはるかに超える資金を動かすことができる。そのため、今日のハッカーの主要な標的は一般の保有者ではなく、他人の仮想通貨の所有権を握るエンジニア、サポートスタッフ、開発者なのである。
ウォレット攻撃:秘密鍵とウォレットアドレスの詐欺
仮想通貨ウォレットは、実際にはコインを保管しているわけではありません。ウォレットは、ブロックチェーン上でコインの移動先を制御する秘密鍵を保管しています。鍵を紛失すれば、コインも失います。鍵が漏洩すれば、他人があなたのコインを入手します。これが仮想通貨の仕組みです。
ウォレットは大きく2つのグループに分けられます。ホットウォレットはインターネットに接続されたデバイス上に存在するウォレットです。スマートフォンアプリ、ブラウザ拡張機能、取引所の残高などがこれに該当します。ホットウォレットは便利ですが、同時に脆弱性も抱えています。デバイス上のマルウェアやブラウザの侵害は、ハッカーがウォレットから資金を抜き取るための経路となり得るからです。一方、コールドウォレットは、ハードウェアウォレットやエアギャップ構成など、秘密鍵をオフラインで保管します。コールドウォレットでは、秘密鍵はインターネットに接続されないチップ内に保存されます。コールドウォレットは攻撃の標的になりにくいため、多くの真剣な保有者は、今週取引する予定のない資産の保管にコールドウォレットを使用します。
ウォレットアドレスの罠は、それ自体が独立したカテゴリーです。「アドレスポイズニング」とは、攻撃者が、あなたが普段送金しているウォレットアドレスとほぼ同じように見えるウォレットアドレスから、ごくわずかなトランザクションを送信することです。最初の4文字と最後の4文字は同じで、真ん中の文字だけが異なります。その後、自分の履歴からコピーする際に、誤ってポイズニングされたアドレスを貼り付けてしまいます。カーネギーメロン大学の研究者たちは、パブリックブロックチェーン全体で2億7000万件ものこうした試みが記録されていることを発見し、確認された損失額は約8380万ドルに上ります。2025年12月には、あるトレーダーが、このようなアドレスポイズニング攻撃によって5000万ドル相当のUSDTを失いました。
ここで問題なのは、ブロックチェーンは設計通りに動作したということだ。取引は承認された。セキュリティ侵害も、脆弱性も、バグもなかった。ユーザーが間違った文字列を貼り付けただけだったのだ。
取引所の侵害と2024年から2025年にかけて発生した最大の仮想通貨ハッキング事件
取引所は業界の保管資産の大部分を保管する場所であり、依然として主要な攻撃標的となっている。過去2年間に発生した大規模な仮想通貨ハッキング事件には明確なパターンが見られる。攻撃者はコードではなく、秘密鍵を狙っているのだ。
| 事件 | 日付 | 額 | 攻撃ベクトル |
|---|---|---|---|
| バイビット | 2025年2月21日 | 14億~15億ドル | Safe{Wallet} 開発者による侵害、ラザルスグループ |
| DMMビットコイン | 2024年5月31日 | 3億500万ドル | 秘密鍵の盗難、北朝鮮関連 |
| PlayDapp | 2024年2月9日~12日 | 2億9000万ドル | 2段階の造幣局攻略法 |
| ドリフトプロトコル | 2026年4月1日 | 2億8500万ドル | 北朝鮮関連企業Solana DeFi |
| WazirX | 2024年7月18日 | 2億3490万ドル | マルチシグウォレットエクスプロイト、Lazarus Group |
| クジラ類(スイ) | 2025年5月22日 | 2億2300万ドル | スマートコントラクトの欠陥(一部修復済み) |
| バランサーV2 | 2025年11月3日 | 1億2800万ドル | マルチチェーンプールエクスプロイト |
| ノビテックス(イラン) | 2025年6月18日 | 8,000万~9,000万ドル | ハクティビスト、資金が焼却されたとの報道 |
| ラディアント・キャピタル | 2024年10月16日 | 5000万ドル | 開発者のハードウェアウォレットにマルウェアが仕掛けられている |
| GMX V1 | 2025年7月9日 | 4200万ドル | 再入国(500万ドルの報奨金で返還) |
Bybitの数字をもう一度見てください。たった1回の侵害で14億ドル。2025年に発生したすべての小売業向けフィッシング詐欺の被害総額を上回ります。FBIのIC3広報発表によると、攻撃者はBybitが使用していたマルチシグインフラストラクチャであるSafe{Wallet}の開発者マシンに侵入しました。そして悪意のあるコードを差し替えました。署名者は正規に見える取引を見て承認をクリックし、401,347 ETHが失われました。
さて、ここからが本題です。米国で規制されている主要なカジノサイトは、2024年と2025年に奇妙な勝利を収めました。事件がゼロだったわけではありません。ただ、実際の資金窃盗がなかったということです。
2025年5月、Coinbaseはサイバー攻撃を受けた。攻撃者はTaskUsというベンダーのサポート担当者に賄賂を渡し、69,461人の顧客データを盗み出した。彼らは2,000万ドルを要求したが、Coinbaseはそれを拒否し、代わりに上場した。顧客は一人も暗号資産を失ったわけではない。
Krakenは2025年2月に発生した内部犯行事件を公表し、約2,000アカウント(ユーザー全体の約0.02%)が影響を受けたと報告した。Binanceも2025年5月に同様のソーシャルエンジニアリング攻撃を受けたが、いずれも顧客資産の盗難には至らなかった。これは重要な実績であり、定期的に仮想通貨を購入するのであれば、規制が厳格で保険が充実したプラットフォームを利用するべき理由の一つと言えるだろう。
スマートコントラクト、DeFi、そしてブリッジハッカーの戦術
スマートコントラクトはコードです。それだけです。ブロックチェーン上で実行されるコードです。コードにバグがあれば、誰かがそれを削除し、チェーンはすべての送金を承認します。なぜなら、チェーンから見れば、コントラクトは指示通りに動作したからです。不正行為は検出されません。スマートコントラクトのハッキングは、ハッカーの得意分野です。再入可能性バグ、計算ミス、オラクル操作、融資プロトコルに潜む論理エラーなど。目を凝らせば、技術的には美しいものです。しかし、ご覧のとおり、もはや損失の大部分を占めるものではありません。
ブリッジはそれ自体が厄介な存在です。大まかに言うと、ブリッジは次のような仕組みになっています。例えば、イーサリアムからアービトラムにトークンを移動したいとします。ブリッジはイーサリアム上のトークンをロックし、反対側で「ラップド」コピーを作成します。つまり、ブリッジはどこかに大量の実際のトークンを保管する必要があり、少数のマルチシグ署名者かスマートコントラクトのロジックによって保護されています。どちらかの側が破られると、ブリッジは空になります。Chainlinkの調査によると、ブリッジによる累積損失は約28億ドルに上ります。これは、Web3でこれまでにハッキングされた1ドルの約40セントに相当します。痛いですね。
いくつかのブリッジ事件が、このカテゴリー全体の方向性を決定づけた。2022年3月のRonin Bridge:9つのバリデーターキーのうち5つが攻撃者に渡ったため、6億2500万ドルが流出。2021年8月のPoly Network:クロスコントラクト呼び出しのバグにより6億1200万ドルが流出し、その後、おそらく暗号通貨史上最も奇妙な展開として、ハッカーはその大部分を返還した。2022年2月のWormhole:署名検証の欠陥により3億2600万ドルが流出。2024年1月2日のOrbit Chain:10個のマルチシグのうち7個が侵害されたため、8100万ドルが流出。これらの事件の後、ブリッジのセキュリティは明らかに向上した。しかし、根本的な問題は依然として解決されていない。少数の署名者グループによって守られている巨額のプールされた担保は、時間と意欲のある者にとっては依然として魅力的な標的である。
北朝鮮、ラザルス、そして組織的な暗号通貨犯罪
これらの事件報告に繰り返し登場する敵対勢力が一つある。ラザルスだ。北朝鮮政府とつながりのあるチームで、主にラザルス自身だが、APT38、BlueNoroff、TraderTraitor、そして比較的新しいFamous Chollimaグループも含まれる。彼らは、潤沢な資金を持ち、忍耐強い、小規模ながら国家規模の暗号通貨エクスプロイト組織だと考えてほしい。
その数字は衝撃的だ。2024年、Chainalysisは47件の事件で13億4000万ドルが北朝鮮の攻撃者によるものだと突き止めた。これはその年の盗難総額の61%に相当する。2025年にはその額は20億2000万ドルに急上昇し、前年比51%増となった。ラザルス関連の盗難の累計額は2017年以降67億5000万ドルを超えている。国全体が、たった一つの脅威アクター集団によって狙われているのだ。
彼らは実際には何をしているのか? いつも同じ手口を繰り返す。まず、暗号通貨エンジニアか、サポートスタッフの契約社員を探す。LinkedInやTelegramで、本物に見える求人情報を送りつける。「コーディングチャレンジ」や「ウォレットアプリ」を送り、マルウェアを密かにインストールさせる。認証情報を入手し、待つ。そして数週間から数ヶ月かけてウォレットや取引所から資金を抜き取る。資金が流出したら、資金洗浄が始まる。ミキサー、クロスチェーンスワップ、レイヤード取引所などを使って、不正行為の痕跡を消し去るのだ。
2024年10月のRadiant Capitalの事例は、まさに教科書通りのケースだ。元契約社員がTelegram経由でPDFファイルを送信してきたが、それはPDFファイルではなかった。5000万ドルが消えた。複数の署名者が同時に被害に遭ったのは、全員が自分のパソコンでその「文書」を確認したからだ。
これを暗号通貨への攻撃と呼ぶのは、事態の本質を見誤っている。これは、たまたま暗号通貨業界に携わっている個人を標的とした諜報活動だ。アンチウイルスソフトは多少役に立つが、被害妄想の方がはるかに効果的だ。
51%攻撃と理論上のブロックチェーンリスク
51%攻撃。この言葉を目にしたことがあるでしょう。では、それは実際にはどういう意味なのでしょうか?
一方の当事者が、ネットワークの計算能力の半分以上(プルーフ・オブ・ワークの場合)またはステーキングされたコインの半分以上(プルーフ・オブ・ステークの場合)を獲得する。この多数派の力によって、最近のトランザクションを覆したり、新しいトランザクションを検閲したりすることが可能になる。これは典型的なコンセンサス攻撃である。そして現実には、このような攻撃は小規模なチェーンにしか影響を与えていない。
ビットコインゴールドはその典型例だ。2回も被害に遭っている。2018年5月には約1800万ドルの資金が二重支払いされ、2020年1月にはさらに7万ドルが二重支払いされた。イーサリアムクラシックは2020年8月に560万ドルの二重支払いで摘発された。なぜこれらのチェーンなのか?ハッシュレートが低いからだ。数万ドルあれば、週末にマイニングパワーを借りて利益を上げることができる。
ビットコインは全く別次元の技術だ。ハッシュレートは数千倍も大きい。イーサリアムのステーキングプールには数千万ETHがロックされている。理論的には51%攻撃は可能だろうか?もちろん可能だ。しかし、経済的に意味があるだろうか?ない。盗んだコインによって、盗んだ資産の価格が暴落し、同時にマイニング機器やステーキングした資金も無価値になってしまう。
他に理論上の脅威はあるのか?確かに存在する。プルーフ・オブ・ワークにおける利己的なマイニング。プルーフ・オブ・ステークにおける長距離攻撃。初期のPoS設計におけるリスクゼロの攻撃。しかし、これらのどれも上位20位以内のチェーンに深刻なダメージを与えたことはない。つまり、「ビットコインはハッキング不可能だ」と言う人は、こういう意味で言っているのだ。コンセンサス層は確かにハッキング可能だが、その上の層はそうではない。
量子コンピューティングは、今後10年ほど先を見据えた未知数だ。ヴィタリック・ブテリン氏は最近、暗号を破る量子マシンが2030年までに登場する確率は約20%だと述べている。ブロックストリームのアダム・バック氏は、数十年先の話だと考えている。専門家の間では、量子コンピューティングが実用化される時期は2029年から2035年頃と概ね一致している。
準備を進めている人はいるのか?はい。Solanaは2025年12月にテストネット上で初のレイヤー1ポスト量子署名テストを実施しました。イーサリアム財団には、移行パスに取り組むポスト量子専門チームがあります。つまり、業界は眠っているわけではありません。しかし、まだ準備は完了していません。量子耐性のある技術はまだメインネットに導入されていません。
フィッシングと一般的な仮想通貨詐欺
これが厳しい現実です。損失のほとんどは、巧妙なエクスプロイトとは無関係です。誰かが悪質なリンクをクリックしたり、不正な取引に署名したり、誰かに指示されたからといって故意に間違ったアドレスにコインを送金したりすることが原因です。FBIの2024年IC3レポートには、仮想通貨関連の苦情が14万件以上記録され、損失額は93億ドルに達しました。これは2023年から66%の増加です。60歳以上のアメリカ人だけでも、3万3000件の個別の苦情で28億ドルの損失が発生しています。
豚の屠殺だけでも58億ドルの規模だった。これは長期にわたる詐欺だ。出会い系アプリやWhatsApp、Telegramで誰かがDMを送ってくる。彼らは友好的で、恋愛には全く興味がない。それから数週間後、「素晴らしい取引プラットフォーム」で儲けたと言ってくる。試してみないか?少額を入金する。ダッシュボードには利益が表示される。さらに入金する。最終的に出金しようとすると、プラットフォームはまず税金を要求し、次に別の手数料を要求する。そしてその人は姿を消す。
その他の脅威としては、ウォレットを空にするフィッシング詐欺(悪意のある承認書に署名させるように仕向ける偽サイト)、偽のエアドロップ、Telegram管理者のなりすまし、そしてSMSによる2段階認証コードを盗むSIMスワップ攻撃などが挙げられます。
一つだけ朗報があります。ウォレットを空にするフィッシング詐欺による損失は、2024年の約4億9400万ドルから2025年には約8385万ドルへと83%減少しました(Scam Snifferのデータ)。その理由は?ウォレットのユーザーインターフェースが実際に改善されたからです。現在ではほとんどのウォレットが、署名によってトークンの無制限支出が承認される場合に警告を表示するようになっています。とはいえ、被害者の数は依然として膨大です。
詐欺師の手口は、消費者教育の進歩よりも速いスピードで変化します。ですから、詐欺の手口を暗記するのではなく、パターンを覚えましょう。見知らぬ人が仮想通貨取引を持ちかけてきたら、ソーシャルエンジニアリングだと考えてください。ウォレットのプロンプトで説明できない承認を求められたら、拒否してください。Telegramの管理者を名乗る人物からダイレクトメッセージが届き、サポートを申し出られたとしても、それは本物の管理者ではありません。
仮想通貨を安全に保管するためのベストプラクティス
仮想通貨のセキュリティ対策は複雑ではありません。必要なのは習慣だけです。ここでは、少額以上の仮想通貨を保有する一般ユーザーの攻撃対象領域を保護するための、簡潔なセキュリティ対策とベストプラクティスをご紹介します。これらは、ほとんどの潜在的な脅威やリスクが回避しようとするセキュリティ対策です。それぞれの脅威やリスクに対して安全な方法に従うことで、攻撃対象領域は急速に縮小します。これらの対策を実践すれば、現実世界で発生するほとんどの攻撃から仮想通貨を守ることができます。
| 層 | 練習する | なぜそれが重要なのか |
|---|---|---|
| ストレージ | 数百ドル以上の金額はハードウェアウォレットで管理し、ホットウォレットは支出専用にしましょう。 | オフラインキーは最も一般的な盗難手段を排除します |
| バックアップ | シードフレーズは紙か金属に書き留めてください。決して写真に撮ったり、スクリーンショットを撮ったり、メールで送信したり、クラウドに保存したりしないでください。 | クラウド上のシードバックアップは、マルウェアによって日常的に収集されている。 |
| 交換 | 規制がしっかりしていて実績のある取引所を優先し、2段階認証が義務付けられている評判の良い取引所を利用する。 | 評判の良い会場は法的責任を負い、内部統制も優れている。 |
| 2段階認証 | SMSではなく、認証アプリまたはハードウェアキーを使用してください。 | SIMスワップ攻撃は電話番号ベースの2要素認証を標的とする |
| 承認 | 各署名プロンプトを確認し、Revoke.cashなどを使用して古いトークン付与を取り消してください。 | ほとんどのウォレット消耗型サービスは、ユーザーが無制限に承認を行うことに依存している。 |
| 取引 | 受取人の住所全体を確認してください。最初と最後の4文字だけではなく。 | アドレスポイズニングトラップを無効化します |
| 衛生 | 高額な暗号通貨取引には専用のブラウザまたはマシンを用意しておきましょう。 | 一般的なブラウジングによるマルウェアへの曝露を軽減します。 |
| 意識 | 暗号通貨に関するダイレクトメッセージは、他に証拠がない限りすべてフィッシング詐欺として扱うべきです。 | ラザロ型詐欺師は特に仮想通貨専門家を標的にしている。 |
ハードウェアウォレットで仮想通貨を保護する方法
ハードウェアウォレットに関する注意点が2つあります。Ledgerは2020年12月にデータ侵害を受け、27万件の顧客宅住所が流出しました。これは、ハードウェアウォレット企業でさえデータ流出の標的になり得る(ただし、資金流出の標的ではない)ことを改めて示す事例です。また、2026年1月には、eコマースパートナーであるGlobal-eを通じて別のデータ侵害が発生し、シードフレーズや資金ではなく、連絡先データが流出しました。鍵を保管する場所としては、やはりデバイスが最も安全ですが、残念ながら、郵送先住所は安全とは言えません。
トレーダーの中には、コールドウォレットがハッキングされる可能性があるのかと尋ねる人がいます。正直なところ、適切に保管され、正しくバックアップされたシードフレーズを備えた、適切に使用されたコールドウォレットは、長期的に仮想通貨を保有したい個人にとって、最も強力な防御策です。失敗の原因は主に人為的なものです。例えば、シードフレーズを写真に撮ったり、ユーザーを騙してシードフレーズを入力させるフィッシングサイトを利用したり、チャットで機密情報を共有したり、誰かがデバイスを初期化済みの中古マーケットプレイスで「ハードウェアウォレット」を購入したりすることなどが挙げられます。必ずメーカーから購入してください。これは、誰もが備えるべき基本的な強力なセキュリティ対策です。
ハッキング被害に遭った場合:盗難、復旧、そしてやってはいけないこと
ウォレットがハッキングされた疑いがありますか?すぐに行動してください。まず第一に、損失を食い止めましょう。クリーンなデバイスで新しいウォレットを作成し、古いウォレットに残っている資金を移し、残りの資金を盗まれた場合に備えて、犯人より先に資金を回収してください。次に、Revoke.cashなどのツールを使用して、これまで承認したすべてのトークンの承認を取り消してください。最後に、記録を残してください。トランザクションハッシュ、タイムスタンプ、不審なチャット、メール、URLのスクリーンショットなど、すべての記録を保管してください。何よりもまず、これらの作業を行うことが重要です。
さて、誰も聞きたくない部分に移りましょう。回収についてです。ごく一般的な個人による窃盗の場合、盗まれた暗号資産の10%未満しか戻ってきません。ブロックチェーンの透明性のおかげで、捜査官はミキサーやブリッジを通して資金の流れを追跡できます。これは素晴らしいことです。しかし、追跡は回収ではありません。皆さんが目にする大きな成功例(Tetherが2023年から2025年の間に32億9000万ドルの不正USDTを凍結、これはCircleが同じ期間に凍結した額の約30倍です。英国は2025年に6万1000BTCを押収しました。Cetusは2億2300万ドルの損失のうち1億6200万ドルを取り戻しました)は、まさに例外だからこそ有名なのです。これらの成功には、ステーブルコインの発行者、政府、あるいはガバナンスのレバーを強く引く意思のあるプロトコルの協力が必要でした。
絶対にやってはいけないこと。突然ダイレクトメッセージを送ってくる「仮想通貨回収」会社や、Instagram広告を出稿している会社、有名人の巧みな推薦文で埋め尽くされたランディングページを持つ会社は絶対に雇わないでください。この業界全体が、後付けの詐欺です。実際の回収は時間がかかり、退屈で、ChainalysisやTRMのような企業の協力を得て法執行機関が行い、結果を保証することはほとんどありません。返金を保証するような会社があれば、すぐに立ち去りましょう。報告書を提出する前に着手金を要求してきたら、逃げてください。
米国にお住まいの方はFBIのIC3(または現地の同等機関)に、資金が取引所に渡った場合は取引所に、ステーブルコインが関係していた場合はステーブルコインの発行者に報告してください。発行者による凍結は、実際に資金回収の手段となっています。Chainalysisによると、ステーブルコインは現在、違法な仮想通貨取引量の84%を占めています。この数字こそが、Tetherの凍結件数が増え続けている理由です。
