2月仮想通貨被害額は8割減、ハッカーの標的は「コード」から「人間」へ

人間の隙を突く攻撃が増加

ブロックチェーンセキュリティ企業Nominisが9日に公開した月次レポートによると、2026年2月に発生した仮想通貨関連のセキュリティ侵害による被害額は前月比で大幅に減少した。その一方で、個人ユーザーが最も頻繁に狙われる標的となっており、攻撃の戦略が大きくシフトしていることが明らかになった。

同レポートによると、2月の被害総額は約4,930万ドル（約78億円）で、1月の約3億8,500万ドル（約609億円）から約87%という劇的な減少を見せた。

月間被害額の60%以上（約3,000万ドル）を単一で占めたのが、ソラナベースのDeFiプラットフォーム「Step Finance」への侵害だった。この事件では経営陣のデバイスが侵害され、プロジェクト管理下にあるウォレットから約261,854SOLが流出。秘密鍵の漏洩および不正トランザクション承認が原因と見られている。

一方、個々の攻撃の大部分は、個人ユーザーを標的としており、フィッシング承認、悪意のあるトランザクション署名、アドレスポイズニング詐欺などの手法を使っていた。

中でも最も多く確認された攻撃手法がフィッシングによる承認の悪用で、ユーザー自身がウォレットのトランザクション承認を行うことで、結果的に攻撃者に資金移動の権限を与えてしまうという手口だった。

アドレスポイズニング詐欺では、ユーザーの送信履歴に、攻撃者が本物と酷似した偽アドレスから少額を送金。ユーザーが履歴からアドレスをコピーする際に間違えて偽アドレスに送金することを狙った手口が使われる。この手口は、多くのウォレットインターフェースがアドレスを切り捨ててしまうため、見た目が酷似したアドレスの区別が困難になるという点を悪用している。

Nominis社は、このようなソーシャルエンジニアリング攻撃は、技術的なスマートコントラクトの脆弱性を悪用する攻撃よりも、金銭的被害の累積規模が拡大していると指摘。攻撃の手法が、技術からユーザーの行動を操作する攻撃パターンへと移行していると分析した。

関連：メタマスクユーザー狙う新型フィッシング詐欺、スローミストのCSOが警告

2月の主要事件

セキュリティ企業SlowMintは、仮想通貨プロジェクトチームを標的としたトークン権利確定フィッシング攻撃を調査し、その詳細を報告した。

この調査によると、攻撃者はプロジェクト管理者が使用する正規のツールを模倣した偽インターフェースを作成。管理者を騙してコントラクトの権限を改ざんし、トークンの配分先を不正に変更した。

この事例は、フィッシング攻撃の標的が一般ユーザーから管理インフラへと移行しつつあることを示しているとNominis社はまとめた。

2月には、韓国国税庁に関わる深刻な運用上のセキュリティミスが発生した。当局は、一般公開された写真にシードフレーズが写り込み、漏洩した経緯を調査している。このセキュリティ上の不注意により、攻撃者はウォレットを復元し、約480万ドル相当の仮想通貨を盗み出すに至った。

関連：韓国政府、差押え仮想通貨の管理状況を全面点検へ　国税庁の『復元フレーズ誤公開』を受け

この事例は、日常的な運用行為（写真、スクリーンショット、文書など）を通じて機密情報が漏洩した場合、どれほど強固に保護されたウォレットであっても侵害される可能性があることを示唆している。

その一方で、米司法省が「豚の屠殺（Pig Butchering）」と呼ばれる国際的な投資詐欺スキームを摘発し、約610万ドル相当の仮想通貨の押収に成功した。捜査官はブロックチェーン上の取引を追跡し、犯罪ネットワークに関連するウォレットを特定。法執行機関による不正資金の追跡・回収能力の高度化を示す事例として注目される。

Nominis社は、これらの事件が仮想通貨を取り巻く脅威の変化を浮き彫りにしたと指摘し、以下のように総括した。

この事実を踏まえ、同社は今後、被害を防ぐためには安全なプロトコルだけではなく、より強固な監視体制、インテリジェンスに基づく調査、そしてトランザクション承認とウォレットセキュリティ周辺の対策強化が求められると強調した。

関連：韓国光州地検、フィッシング被害から回収した320ビットコインを売却