ウォレット、警告と脆弱なポイント

最も重要なのは基本的なセキュリティ習慣です。

執筆：Prathik Desai

翻訳：Block unicorn

すべては一つのメッセージから始まります。ブランドイメージは非常に信頼できそうで、ロゴも期待通り、LinkedInのプロフィールには共通の知人がいることが表示されています。リクルーターはあなたのGitHubプロジェクトを見つけ、資金力のあるAIとDeFiプロトコルを組み合わせた企業での契約社員の仕事をオファーしたいと言っています。あなたは彼らのウェブサイトをざっと見ます。デザインはシンプルでスムーズ、内容も信頼できそうですが、予想通りの場所には専門用語があふれています。サイトには選考テストがあり、その内容はZIPファイルで送られてきます。

解凍してインストーラーをそのまま実行すると、画面に一瞬だけウォレット認証のプロンプトが表示されます。何も考えずに「確認」をクリックします。しかし何も起こらず、パソコンもフリーズしません。5分後、あなたのSolanaウォレットは空になっていました。

これは想像の話ではありません。これはほぼ2025年にブロックチェーン分析の専門家が記録した、北朝鮮のハッカー組織に関連する多数の攻撃事例の完全な流れです。彼らは偽の求人、トロイの木馬が仕込まれたテストファイル、マルウェアを使ってウォレットに侵入します。

本日の記事では、2025年の暗号資産攻撃手法の進化と、最も一般的なオンチェーン攻撃から自分自身を守る方法についてご紹介します。

それでは本題に入りましょう。

2025年の暗号ハッカー攻撃の最大の変化

2025年1月から9月までに、北朝鮮と関連のあるハッカーが盗んだ暗号資産の金額は20億ドルを超えました。ブロックチェーン分析会社Ellipticによると、2025年は記録上最もデジタル資産犯罪額が多い年となっています。

その中で最大の単一損失は2月のBybit取引所のハッキング事件で、この事件により同取引所は14億ドルを失いました。北朝鮮政権が盗んだ暗号資産の累計価値はすでに60億ドルを超えています。

驚くべき数字以外にも、Ellipticのレポートで最も注目すべきは暗号資産の脆弱性の利用方法の変化です。レポートは「2025年の大半のハッキングはソーシャルエンジニアリング攻撃によるもの」と指摘しており、これは北朝鮮が以前インフラを破壊して巨額の資金を盗んでいた状況とは全く異なります。たとえば、2022年と2024年の悪名高いRonin Networkハッキング事件や、2016年のThe DAOハッキング事件などです。

現在、セキュリティの脆弱性はインフラから人的要因へと移っています。Chainalysisのレポートでも、2024年の暗号資産盗難事件で最も多かったのは秘密鍵の漏洩（43.8%）であると指摘されています。

明らかに、暗号資産が発展し、プロトコルやブロックチェーンレベルでのセキュリティが強化されるにつれ、攻撃者はむしろ秘密鍵を持つ人間をターゲットにしやすくなっています。

この種の攻撃も、もはやランダムな個人攻撃ではなく、ますます組織化されています。最近の米連邦捜査局（FBI）やサイバーセキュリティ・インフラストラクチャーセキュリティ庁（CISA）の発表やニュース報道では、北朝鮮に関連する攻撃活動が、偽の暗号エンジニア求人情報、トロイの木馬が仕込まれたウォレットソフトウェア、悪意あるオープンソースコミュニティの汚染を組み合わせて実行されていると説明されています。ハッカーが使うツールは技術的ですが、攻撃の入口は人間の心理です。

Bybitハッキング事件は、これまでで最大規模の単一暗号資産盗難事件であり、大規模な取引でこの種の問題がどのように発生するかを示しています。約14億ドル相当のEthereumがウォレットクラスターから盗まれた際、初期の技術分析では署名者が認証内容を十分に確認していなかったことが示されました。Ethereumネットワーク自体は有効かつ署名済みの取引を実行しましたが、問題は人為的な操作にありました。

同様に、Atomic Walletハッキング事件では、マルウェアがユーザーのパソコン上の秘密鍵の保存方法を攻撃したため、約3,500万～1億ドル相当の暗号資産が消失しました。

多くの場合、こうしたことが起きています。送金時にウォレットアドレスを完全に確認しなかったり、極めて低いセキュリティレベルで秘密鍵を保管したりすると、プロトコル自体はほとんど何もできません。

セルフカストディは万能ではない

「あなたの秘密鍵でなければ、あなたのコインではない」という原則は今も有効ですが、問題は多くの人がそこで思考を止めてしまうことです。

過去3年間、多くのユーザーが資金を取引所から移しました。これは再びFTXのような破綻が起きることへの懸念や、イデオロギー的なこだわりからです。過去3年で分散型取引所（DEX）の累計取引量は2倍以上に増え、3.2兆ドルから11.4兆ドルになりました。

表面的にはセキュリティ文化が向上したように見えますが、リスクはカストディ型のセキュリティ対策から、ユーザー自身が問題を解決しなければならない混乱した状況へと移っています。パソコンのブラウザ拡張機能、スマホのチャット履歴やメールの下書きに保存されたシードフレーズ、暗号化されていないメモアプリに保存された秘密鍵などは、潜在的な危険から十分に守ることができません。

セルフカストディが解決しようとしているのは依存の問題です。つまり、取引所やカストディアン、出金を凍結したり直接破綻する可能性のある第三者に依存しないことです。しかし、まだ解決されていないのは「認知」の問題です。秘密鍵はあなたにコントロール権を与えますが、同時に全責任も与えます。

では、この問題をどう解決すればよいのでしょうか？

ハードウェアウォレットは摩擦を減らすのに役立つ

コールドストレージは一部の問題を解決できます。資産をオフラインで保管し、金庫のような場所に置くことができます。

問題は解決したのでしょうか？部分的にしか解決していません。

秘密鍵を汎用デバイスから切り離すことで、ハードウェアウォレットはブラウザ拡張機能や「ワンクリックで取引承認」の手間を省くことができます。物理的な確認メカニズムを導入することで、ユーザーを守る役割を果たします。

しかし、ハードウェアウォレットはあくまでツールに過ぎません。

複数のウォレットプロバイダーのセキュリティチームもこれを率直に認めています。Ledgerは、自社ブランドを悪用したフィッシング攻撃が何度も発生していると報告しています。攻撃者は偽のブラウザ拡張機能やLedger Liveのクローンバージョンを使います。これらのインターフェースは見慣れているため警戒心が薄れますが、ある段階でユーザーにシードフレーズの入力を求めます。シードフレーズが漏洩すれば、取り返しのつかない事態になります。

また、偽のファームウェアアップデートページでシードフレーズの入力を促されることもあります。

したがって、ハードウェアウォレットの本当の役割は攻撃対象を移し、摩擦を増やすことで攻撃される可能性を下げることです。しかし、リスクを完全に排除することはできません。

分離こそが鍵

ハードウェアウォレットが最大限の効果を発揮するには、公式または信頼できるチャネルから購入し、シードフレーズを完全にオフラインで安全に保管することが前提です。

この業界に長くいる人々、たとえばインシデント対応担当者、オンチェーン調査員、ウォレットエンジニアなどは、リスクの分離と分散を推奨しています。

一つのウォレットは日常用、もう一つのウォレットはほとんどインターネットに接続しません。少額の資金は実験やDeFiマイニング用、大きな資金は金庫に保管し、アクセスには複数のステップが必要です。

その上で、最も重要なのは基本的なセキュリティ習慣です。

一見退屈に思える習慣が大きな助けになることが多いです。どんなに緊急なポップアップでも、ウェブサイトでシードフレーズを入力しないこと。コピー＆ペーストした後は、必ずハードウェアの画面でアドレス全体を確認すること。自分が自発的に発行していない取引を承認する前には必ず熟考すること。出所不明のリンクや「カスタマーサービス」からのメッセージには、確認が取れるまで疑いの目を持つこと。

これらの対策で絶対的な安全が保証されるわけではなく、リスクは常に存在します。しかし、一つ一つのステップを踏むことでリスクをさらに下げることができます。

現時点で大多数のユーザーにとって最大の脅威はゼロデイ脆弱性ではなく、十分に確認せずに受け入れてしまう情報や、魅力的な仕事のオファーだからといってすぐにダウンロード・実行してしまうインストーラー、そしてスーパーの買い物リストと同じ紙に書かれたシードフレーズです。

数十億ドルを管理する人々がこれらのリスクを「バックグラウンドノイズ」として扱うと、それらは最終的に「脆弱性」とラベル付けされたケーススタディとなります。