はじめての仮想通貨
TOP
新着一覧
チャート
取引所
WebX
セキュリティを入れても、なぜ流出は起きるのか。「担当者の注意力」では防げない時代に、日本の組織・個人が備えるべきデジタル資産管理体制とは何か。
ある企業の担当者が、いつもどおりの送金手続きを進め、確認画面を見て承認ボタンを押しました。しかし、その資産はあろうことか攻撃者の口座に届いていたのです。
デジタル資産が「経営インフラ」になりつつある今、多くの企業でこのような問題が見落とされています。セキュリティは一部門の問題として経営課題から切り離したまま、現場の判断と注意力に委ねているケースが少なくありません。
デジタル資産には、通常のシステム障害や情報漏えいとは根本的に異なる性質があります。ブロックチェーン上で送金が確定した瞬間、それはもう取り戻せません。担当者が騙された、設定に見落としがあった、1人で操作を完結できてしまった。こうした「どんな組織にも普通にある状況」が、億単位もの損失に直結することがあります。
本記事では、なぜセキュリティ被害が技術ではなく組織設計の問題なのかを、国内で実際に起きたデジタル資産のインシデントとあわせて紹介します。
自社のデジタル資産運用が「1点突破を許さない」構造になっているか。資料から現状の課題を具体的に把握することができます。
あなたが使っている取引所は、この基準を満たしていますか?
2,400社以上が採用する機関向けデジタル資産セキュリティ基盤
「うちには関係ない」が通用しない3つの理由
以下の3件の事例には共通点があります。「最先端技術を持つ国家機関が特殊な方法で侵入した」のではありません。「担当者が騙された」「犯罪者がサービスとして窃盗ツールを提供した」「人を装った詐欺で認証情報を奪われた」。どれも、デジタル資産を扱う組織であればどこでも起こりうる状況です。
Fireblocksの調査では、著名なハッキンググループは大規模プラットフォームよりも、セキュリティ体制が十分に整っていない中小規模の組織を積極的に狙っていることが確認されています。「大手だから狙われやすい」ではなく「隙があるから狙われる」というのが実態です。2020年以降の累計被害額は実に170億ドルを超え、今現在も増え続けています。
デジタル資産の被害が通常のサイバーセキュリティ被害と根本的に異なるのは、「不可逆性」にあります。システムのダウンタイムや個人情報の漏えいであれば、発見・封じ込め・修復というプロセスが機能します。しかしブロックチェーン上で不正送金が確定した瞬間、資産を取り戻す手段はほぼ存在しません。これは深刻なITインシデントではなく、組織の存続に直結する財務上のリスクです。
システムが止まった、情報が漏れた。これらは発見・修復・補償のプロセスが取れます。しかし不正送金が確定した瞬間、資産は消えます。覆す手段がほぼありません。これが「担当者任せ」にしてはいけない根本的な理由であり、経営レベルで設計すべき課題です。
2024-2025年、現場で何が起きたか
以下は、2024年から2025年にかけて実際に起きた3つの事例です。
LinkedInのメッセージから、482億円の流出まで
2024年3月下旬、1通のダイレクトメッセージがLinkedInに届きました。受信者は、国内大手暗号資産取引所がウォレット管理を委託していた企業の技術者。送信主は実在する大手企業の採用担当者を名乗っていました。「あなたのスキルに感銘を受けました。採用プロセスの一環として、このプログラムを見ていただけませんか」。親しみやすく、また具体的な依頼でした。
メッセージとともに送られてきたのは、Pythonスクリプトが置かれたリポジトリのURL。技術者は指示に従い、そのコードを自分のGitHubページにコピーしました。その瞬間、彼のPCはマルウェアに感染します。しかし、面接プロセスの一部としての自然なやりとりにしか見えないため、その時点では事の重大さに気づきませんでした。
それから約2か月間、攻撃者は静かに彼を観察し、泳がせ続けました。業務、権限、アクセスするシステム、日常的なワークフロー。そして、満を持して攻撃者は動きます。技術者のセッションクッキーを悪用して本人になりすまし、委託先企業の通信システムに不正アクセス。取引所の従業員が送信してくる正規の取引リクエストを改ざんし、送金先を自分たちが管理するウォレットへ書き換えました。
5月31日、約482億円相当(4,502.9 BTC)が流出し、大事件となりました。震源地となった暗号資産(仮想通貨)取引所は顧客資産を全額補償したものの、事業継続困難となり、同年12月に廃業および事業撤退を決定。顧客口座は2025年3月、別の国内取引所への移管を完了しています。警察庁とFBIは北朝鮮のハッカー集団「TraderTraitor」の犯行と特定し、日本政府は3度目のパブリック・アトリビューション(国家名指し非難)を実施しました。
この事件が示しているのは、攻撃の起点が取引所でもなく、委託先企業のシステムでもなかったという事実です。攻撃の起点は、1人の技術者が受け取った、たった1通のメッセージでした。
署名ボタンを押した瞬間、15億ドルが消えた
2025年2月21日、海外大手暗号資産取引所の署名担当者は、とある画面を見ていました。コールドウォレットからホットウォレットへの定期的な資金移動、日常的なオペレーションの一つです。マルチシグ(複数署名)で保護されたコールドウォレット、業界標準のマルチシグウォレットサービスのインターフェース、過去に何度も繰り返してきた手順。画面に表示された送金先も、金額も、普段どおりに見えました。
しかし彼が署名ボタンを押した瞬間、実際に実行されたのは「送金」ではありませんでした。それはコールドウォレットのスマートコントラクトのロジックそのものを書き換える悪意のある命令だったのです。直後、ウォレット内の約40万ETH・15億ドル相当(約2,260億円)が攻撃者の管理下に移りました。暗号資産史上最大のハッキング事件です。FBIは北朝鮮のTraderTraitorを実行犯と認定しました。
衝撃的だったのは、この取引所が業界で「完璧なセキュリティ」とされてきた構成を採用していた点にあります。マルチシグ、コールドウォレット、業界で信頼されたウォレットサービス。これらすべてを備えていました。ではなぜ侵害されたのか。
攻撃者が狙ったのは、それらの「技術」ではありませんでした。攻撃者はこの取引所が利用していたマルチシグウォレットサービスのフロントエンドを侵害し、署名担当者のブラウザに表示されるUIを改ざんしました。そして「通常の送金に見える画面」を表示させます。署名担当者は画面に表示された取引内容をそのまま信頼し、ハードウェアウォレットでトランザクションデータの中身を検証することなく署名してしまった。いわゆる「ブラインド署名」でした。
この事件が業界に与えた衝撃は、被害額の大きさだけではありません。「マルチシグにしていれば安全」「コールドウォレットなら大丈夫」という、多くの組織が拠り所にしてきた前提そのものを覆したことにあります。担当者が正しい手順を踏んでいても、画面に表示されている内容と実際に署名している内容が異なれば、どんな強固かつ堅牢な仕組みも機能しない。これが現在の攻撃の本質です。
被害の裾野は「組織」から「個人」へ広がる
Chainalysisによれば、2025年の暗号資産盗難総額は34億ドル超に達し、前年比で約1.5倍となりました。そのうち北朝鮮関連だけで20.2億ドルで、単年として過去最悪の水準です。特筆すべきは、攻撃件数は前年より減っているのに、1件あたりの被害額が極端に大きくなっている点にあります。この時期に起きた「集中砲火型」の大型流出が2025年の特徴を作り出しました。
被害の裾野も変わりつつあります。盗難資金全体の23.3%が個人ウォレットからの流出で、この比率は年々上昇しています。かつては暗号資産取引所という「巨大な財布」が主戦場でしたが、攻撃者は今や個人の財布までも狙うようになりました。
さらに深刻化しているのが、物理的な暴力や脅迫で秘密鍵を奪う「レンチ攻撃」です。ビットコイン価格と相関関係があり、価格が高騰する時期に狙われる傾向が確認されています。これまで技術的な対策で完結していた領域が、人身安全の問題にまで拡張しています。
法人側では、DaaS(Drainer-as-a-Service)の進化が続いています。代表的な「Inferno Drainer」は、16,000以上のドメインを通じて2億5,000万ドル超を奪いました。技術力を持たない犯罪者でも即座に大規模なフィッシング運用を立ち上げられる環境が、2025年にはすでに整っています。
DMM Bitcoinは1通のメッセージとPythonスクリプト一つ、Bybitは画面表示の書き換え。攻撃者が突いたのは、組織の運用フローや承認プロセスの中に空いた小さな隙です。
攻撃者はどこを狙うのか
次の4つのパターンを読みながら、「自社の運用フローに当てはまる部分がないか」を考えてほしいと思います。デジタル資産の盗難事件の多くは、高度な技術攻撃ではなく「どんな組織にも普通に存在する運用の隙間」から始まっています。攻撃者が探しているのも、まさにその隙間です。
攻撃者が最初に狙うのはシステムではなく、担当者の判断です。本物そっくりの求人メール、信頼できるパートナーを装ったメッセージ、正規サービスと見分けのつかない偽サイト。こうした方法で担当者を騙し、「自ら承認ボタンを押させる」のが最も効率のよい攻撃手口です。
2025年に起きた暗号資産史上最大の15億ドル被害も、起点はこの手口でした。担当者のPCにマルウェアを送り込み、送金確認画面の表示だけを書き換えたのです。正しい手続きをしたつもりの担当者が、攻撃者の口座への送金を承認してしまいました。どれほど高度なシステムがあっても、人が騙された段階で突破される可能性があります。
送金ルールの設定漏れ、誰も確認していなかったシステムへのアクセスキー、更新し忘れた承認フロー。攻撃者は大掛かりな手口を使わなくても、こうした「当たり前にある隙間」を見つけて入り込みます。
Fireblocksの調査では、ほぼすべての盗難インシデントにセキュリティ設定のミスが関与していたことが判明しています。こうした問題は「気づいた時にはもう遅い」ことが多く、被害が出て初めて発覚するケースがほとんどです。組織が成長して業務が複雑化するほど、見えない隙間は静かに蓄積していきます。
正当な権限を持つ担当者が、その権限を使って不正送金を試みるケース。外部からの攻撃と違って「侵入」の痕跡がなく、通常の業務フローの中で実行されるため発見が遅れやすくなります。
「信頼できる人間だから大丈夫」という前提で設計された運用フローは、この種のリスクに対して無防備です。1人の担当者が送金の指示から承認まで完結できる環境があれば、その構造自体がリスクになります。技術的な攻撃は一切不要で、「仕組みの隙間」だけで成立します。
PCに侵入したマルウェアが、送金先アドレスの画面表示だけをひそかに書き換えます。担当者は正しいアドレスが表示されていると信じて承認しますが、実際には攻撃者の口座に資産が届いています。操作ログには「正しい手順を踏んだ」記録しか残りません。
また、本物のアドレスと先頭・末尾だけが一致する「そっくりなアドレス」を使い、過去の取引履歴からコピーした際に誤送金させる手口もあります。長い英数字の文字列を人間の目で完全に確認するのは現実的ではなく、個人の注意力に頼っている環境では防ぎきれません。
これら4つのパターンに共通するのは「1点が崩れれば終わり」という構造的な弱さです。担当者1人の判断、1台のPCの表示、1か所に集中した鍵管理。どれか1点が崩れた時に資産が失われる設計になっていないかどうか、それが問われています。
こうしたリスクの構造的な問題を解決するために設計されたのが、Fireblocksのデジタル資産セキュリティインフラです。2018年、北朝鮮系ハッカーによる韓国取引所攻撃の調査に携わっていたサイバーセキュリティのベテラン3人が、「機関がデジタル資産を安全に扱う実用的な手段がほぼ存在しない」という業界の根本課題を解決するため設立しました。以降、MPC(マルチパーティ計算)暗号技術とハードウェア分離技術を組み合わせた独自のセキュリティ基盤を構築しています。
日本市場でも大手金融機関・暗号資産取引所・暗号資産トレジャリー企業・Web3企業での導入が進んでいます。ステーブルコインやRWA(現実資産のトークン化)、デジタル証券の整備が加速する2026年、金融機関レベルのセキュリティインフラへの需要は制度転換と並行して高まっています。
自社のデジタル資産運用が「1点突破を許さない」構造になっているか。資料から現状の課題を具体的に把握することができます。
あなたが使っている取引所は、この基準を満たしていますか?
2,400社以上が採用する機関向けデジタル資産セキュリティ基盤
2026年、日本の暗号資産制度が変わる
2025年12月10日、金融庁は暗号資産規制を資金決済法から金融商品取引法へ移行する報告書を公表しました。2026年2月3日には金融審議会が正式に承認し、4月10日には政府が改正案を閣議決定。今国会で成立した場合、2027年度中の施行が見込まれています。暗号資産を「決済手段」から「金融商品」へと位置づけ直す、2017年の資金決済法改正以来の大きな制度転換です。
この転換を後押ししたのは、DMM Bitcoin事件をはじめとするセキュリティ・インシデントでした。現行制度下で十分に整備できなかった内部統制や補償体制の穴が、実際の流出事件で露呈した形です。2026年以降、デジタル資産を扱う組織は「どう守るか」を制度として問われる段階に入ります。
暗号資産の金融商品取引法への移行
2026年4月10日、政府は金融商品取引法の改正案を閣議決定しました。今国会で成立した場合、2027年度中の施行が見込まれます。暗号資産交換業者には第一種金融商品取引業に相当する業規制が適用され、インサイダー取引規制が新設。発行者には年1回の情報開示が義務付けられ、証券取引等監視委員会に犯則調査権限が付与されて課徴金制度の対象にもなります。無登録業者への罰則も強化され、拘禁刑は3年以下から10年以下、罰金は300万円以下から1,000万円以下へ引き上げられます。事実上の「証券会社型」ガバナンスへの移行です。
弁済原資の確保義務と保険要件の強化
これまでコールドウォレット管理による免除規定が事実上の基準でしたが、DMM Bitcoin事件を受けて見直しが進んでいます。改正案では取引規模や過去の事故歴に応じた弁済原資の確保が義務化され、十分な資金または保険による補償体制の整備が求められます。「コールドだから安全」という前提自体が制度上も崩れ、技術・運用・財務体制の三位一体での整備が要求されることになります。
ステーブルコイン規制とメガバンク実装の本格化
改正資金決済法によりステーブルコインは「電子決済手段」として位置づけられ、発行者は銀行・資金移動業者・信託会社に限定されました。MUFG・SMBC・みずほが企業間決済や銀行間送金を目的とした円建てステーブルコインの実証を進めており、金融機関レベルのセキュリティ基盤が制度と実装の両面で求められる段階に入りました。
2026年以降、日本でデジタル資産を扱う組織は「金融機関としての内部統制」を制度として要求されます。不正送金が発生すれば補償原資が問われ、インサイダー取引があれば監視委員会が犯則調査に動きます。職務分離、承認フロー、監査証跡、リアルタイム監視。これらは「あったほうが良いもの」から「制度として求められるもの」へ変わります。
「担当者を信頼する」設計から「仕組みが止める」設計へ
多くの組織が直面するのは、「なぜセキュリティツールを入れているのに被害が出るのか」という問いです。答えはシンプルです。従来のセキュリティ対策の多くは、「担当者が正しく行動する」ことを前提にしています。しかしデジタル資産の世界では、担当者が騙された瞬間、その前提が崩れます。
Fireblocksのアプローチは「人を信頼する」ではなく「1人では完結させない仕組み」を設計することです。承認者が騙されても、設定にミスがあっても、内部の担当者が不正を試みても、それだけでは資産が動かない構造をどう実現するか。この問いへの答えを、4つのステップで解説します。
秘密鍵が一か所に集中して保管されるウォレットは、攻撃者にとって「そこを突破すれば終わり」という構造的弱点を持ちます。Bybit攻撃を含む大型ハッキング事件の多くは、この単一障害点が根本原因です。規模の大小にかかわらず、完全な秘密鍵が存在する場所は必ず攻撃の最終目標になります。
Fireblocksが採用する分散鍵管理の仕組みでは、秘密鍵を複数の断片に分割し、それぞれを独立した場所で管理します。送金に署名する際も完全な鍵が一か所に集まることはなく、各デバイスが分担して処理を完了します。その結果、攻撃者がどの環境を侵害しても「完全な鍵」は存在しません。鍵の作成・保管・使用・バックアップのいずれの段階でも、1か所への集中を防ぐ設計です。
Fireblocksの承認ルール管理機能は、企業独自の送金ルールをシステムが自動で強制する仕組みです。「登録先以外への送金は自動拒否」「高額送金は複数名の承認を必須」「特定の操作へのアクセスを制限」など、細かいルール設定が可能です。ルール自体も保護されており、変更するには別途複数の管理者の承認が必要になります。管理者が1人でルールを書き換えることはできません。
鍵の分散管理・ハードウェア保護・承認ルールの自動強制・リアルタイム監視・バックアップ体制。この5つの防御が完全に独立して機能します。偽サイトへの誘導攻撃は別デバイスでの承認確認とポリシー制限に阻まれ、鍵を狙った攻撃は分散管理の構造に阻まれます。「1つを突破すれば終わり」ではなく、すべての防御を同時に突破しなければ資産に届かない設計です。
自社のデジタル資産セキュリティを2分で診断する
8つの設問に答えるだけで、Fireblocksのホワイトペーパーが指摘するリスクポイントに対して自社の現状を確認できます。各設問は現在の運用実態に最も近い選択肢を選んでください。選択後は自動で次の設問に進みます。
自社のリスクを確認する3つの問い
Fireblocksのホワイトペーパーには自社の体制を振り返るためのチェック項目が収録されています。以下の3つは、技術的な知識がなくても判断できる、最も基本的な問いです。「当てはまるかもしれない」と感じた箇所こそ、優先的に確認してみてください。
Fireblocksのホワイトペーパーには、各リスクポイントへの対処法と、実際の攻撃シナリオでどのように防御が機能するかの詳細が収録されています。「自社の体制を具体的に確認したい」という方は、ホワイトペーパーのダウンロードから始めてみてください。
2026年は、日本のデジタル資産制度にとって大きな節目となります。金商法改正案の閣議決定、ステーブルコインの社会実装、税制改革、そして継続する脅威環境への対応。これら全てが同時並行で進行する1年です。規制適合とセキュリティの両立は、もはや選択ではなく前提条件となります。
自社のデジタル資産運用が「1点突破を許さない」構造になっているか。資料から現状の課題を具体的に把握することができます。
あなたが使っている取引所は、この基準を満たしていますか?
2,400社以上が採用する機関向けデジタル資産セキュリティ基盤
