暗号資産はデジタル資産という特性上、ハッキングのリスクが伴います。ウォレットや取引所がハッキングされると、大切な資産を失う可能性が高まるでしょう。
この記事では、「暗号資産取引所やブロックチェーンのハッキングの種う」「おもなハッキングの手口」「有効なハッキング対策方法」などについて詳しく解説します。
目次
ハッキングとは
ハッキングとは、悪意を持って他者のコンピューターシステムやネットワークに不正侵入し、情報を盗み出したり、システムを攻撃したりする行為全般のことです。
暗号資産関連でのハッキングのおもな目的は、金銭的な利益を得ることです。ハッキングをおこなう人物であるハッカーは、ユーザーの秘密鍵やパスワードなどを不正に入手し、金銭を盗みます。
暗号資産はデジタルデータで管理されているため、ハッキングの標的になりやすく、資産が流出してしまうリスクがあります。
暗号資産がハッキングされたらどうなる?
暗号資産のハッキングを種類別に解説します。
アカウントのハッキング
暗号資産取引所のアカウントは、サイバー攻撃者によるハッキングの標的となりやすく、ログインIDやパスワードが不正に入手されるリスクが存在します。一度アカウントが不正アクセスされると、資産が知らない送金先へ移動される可能性があり、重大な金銭的被害につながる危険性があります。
最も一般的な手法の一つが「フィッシング」です。攻撃者は暗号資産取引所からの正規の連絡を装ったメールを送信し、受信者を巧妙に作られた偽のウェブサイトへ誘導します。これらのサイトは本物の取引所のデザインを模倣しており、気付かないうちにログイン情報を入力してしまう被害者が後を絶ちません。
ウォレットのハッキング
暗号資産を個人で管理するにあたって、ウォレットのセキュリティは極めて重要です。
暗号資産ウォレットの操作には秘密鍵が必要ですが、この秘密鍵が第三者に漏洩すると資産を不正に流出されるリスクがあります。
特に注意が必要なのが、インターネットに常時接続されているホットウォレットです。ホットウォレットは利便性が高く、日常的な取引に適していますが、オンライン状態を維持しているため、サイバー攻撃の標的となりやすいという特徴があります。
DeFiなど分散型金融サービスのハッキング
DeFiとは、既存の金融サービスとは異なる分散型(非中央集権型)金融サービスのことです。銀行や企業などの管理者が存在しないため、ユーザー同士が直接取引をおこなえます。
DeFiにはフィッシングを目的とした悪質なプラットフォームも存在し、ハッキングのリスクがあります。とくに高利回りを謳うプラットフォームには注意が必要です。
DeFiは中央管理者が存在しないため、トラブルが発生した際の保証が十分ではない傾向があります。また、法規制が未整備なことから、ハッキング被害に遭った場合でも法律による保護を受けられない可能性があります。
ブロックチェーン自体のハッキング
PoWというコンセンサスアルゴリズムのブロックチェーンをハッキングするには、計算にあたっているコンピューターの計算能力であるハッシュパワーの51%以上を占めることで、不正な取引を承認する51%攻撃という方法があります。これは圧倒的な計算能力が必要になるため、ビットコインなどの大規模なブロックチェーン自体のハッキングは現実的に考えて不可能といえるでしょう。
ただし、イーサリアムクラシックでは、51%攻撃が成功した事例があります。
ブロックチェーンに一度含まれたトランザクション(データを処理する一連の動作)は、変更できません。データを追加する際には新たにトランザクションを作る必要があります。データを追加するとチェーンの末尾には新しい情報が加わるため、ユーザーは変更の確認が可能です。51%攻撃では、これをハッシュパワーを用いて無理矢理変更することで、不正な取引を承認します。
取引所へのハッキング
暗号資産取引所は、ユーザーの暗号資産の売買や取引を可能にするプラットフォームです。多数のユーザーの資産を一括管理しているため、サイバー攻撃者にとって格好の標的となっています。
攻撃者は標的型攻撃やマルウェアなど、様々な手法を用いて取引所の秘密鍵を不正に入手しようと試みます。ハッキングが成功すると、保管されている暗号資産が一度に大量流出し、ユーザーの資産が失われるだけでなく、暗号資産市場全体への信頼も大きく損なわれることになります。
暗号資産のハッキング手口
暗号資産のハッキング手口について詳しく解説します。
フィッシング
フィッシングは、ハッカーが正規のサービスを装いユーザーの個人情報を盗むハッキング手口です。とくに暗号資産分野では、フィッシングによる攻撃が多い傾向があります。
ハッカーは偽のWebサイトリンクを記載したメールなどをユーザー宛てに送信し、オンラインウォレットのログイン情報を入手、暗号資産を奪います。この手口は、暗号資産のハッキングにおいてよく使われる方法です。
ソーシャルエンジニアリング
ソーシャルエンジニアリングとは、人の心理的な隙を狙って情報を不正に入手する方法です。ハッカーが企業や個人の信用を使い、パスワードやアカウントなどの重要な情報を、情報通信を介さずに取得するハッキング方法を指します。
おもな手法は、会社の従業員や取引先になりすまして直接情報を聞き出すことや、肩越しにパスワードを盗み見るショルダーハッキング、「アカウントがハッキングされたからすぐに対応が必要」などと事実を偽り情報を入力させることなどがあります。
キーロガー
キーロガーは、ユーザーのキーボード入力を記録し、パスワードや秘密鍵などの重要情報を窃取するハッキングツールです。主な機能として、キーボード入力の監視と画面キャプチャがあり、これらによって収集された情報は攻撃者へと送信されます。感染経路は多岐にわたり、信頼できないソフトウェアのダウンロードやフィッシングメールなどを通じて、気付かないうちに端末にインストールされる危険性があります。
不正ソフトウェア
不正ソフトウェアは、攻撃者が個人情報を窃取するために使用する悪意のあるプログラムです。代表的なものとして、情報窃取を目的とするマルウェア、データを人質に取って身代金を要求するランサムウェア、端末の処理能力を不正利用するクリプトジャッキングなどがあります。これらは正規のソフトウェアを装って配布されることが多く、パソコンやモバイル端末など、あらゆるデバイスが感染の危険にさらされています。
被害を防ぐためには、ソフトウェアの定期的なアップデート、信頼できる提供元からのみのダウンロード、不審なメールやリンクの警戒が重要です。
暗号資産取引所で発生したハッキング事件
過去に発生した暗号資産取引所のハッキング事件について解説します。
Mt.GOX
2014年2月、当時世界最大のビットコイン取引所だったMt.GOXがハッキング被害を受けた事件です。約4億3,700万ドル(約490億円)の資産が盗まれました。暗号資産業界に大きな影響を与えた事件です。
Mt.GOXは、2011年からハッキングの被害を受けていました。最初の大きなハッキングは2011年6月。その後も資金の払い込みのために利用していた口座が凍結するなどのセキュリティの問題を抱え続けていました。
この事件によって取引所のセキュリティの重要性が浮き彫りになりました。多くの取引所がこの事件を機にセキュリティ対策を強化し、ユーザーの資産を守るための規制を導入します。
各国で法が整備され、日本では2017年4月に改正資金決済法が施行されました。これにより、暗号資産とは何かが定義されました。その後も、暗号資産交換業は国の登録が必須になるなど、さまざまな対応がおこなわれました。
ユーザーの暗号資産が不正に引き出され、最終的にMt.GOXは破産申請。破産から10年が経った2024年、ようやく弁済が始まりました。
Coincheck
2018年1月、取引所Coincheckで管理されていたネム(NEM)という暗号資産がハッキングによって大量に盗まれました。ハッカーによって社員用パソコンにウイルスが侵入、秘密鍵が奪われ約5億3,400万ドル(約580億円)が外部へ不正送金されたのです。
事件のおもな原因として挙げられるのは、暗号資産がホットウォレットで管理されていたこと、そして送金時の認証方法が不十分であったことです。
盗まれた暗号資産は、Coincheckが自己資金を投じて2018年3月までにユーザーに返金されました。
FTX
グローバル最大手の取引所であったFTXは、2022年11月にハッキングによって約4億ドル(約560億円)相当の暗号資産が盗まれました。破産申請をした数時間後のことです。
FTXの創業者であるサム・バンクマン・フリードは、投資家やユーザーから集めたお金を自分の経営している投資会社に流用していたことが明らかになり、2022年2月に逮捕されました。
FTXは、一時は世界2位の規模を誇っていた取引所ということもあり、一連の事件は業界に大きな衝撃を与えました。
Binance
2022年10月にBinanceがハッキングによって約5億7,000万ドル(約830億円)相当を盗まれた事件です。ハッカーはトークンを移送するためのツールである同社のBSC Token Hubクロスチェーンブリッジを使い、暗号資産を奪いました。
クロスチェーンブリッジとは、異なるブロックチェーン同士を跨いで取引を行う技術です。単一のブロックチェーンではないため、単一のブロックチェーン比較すると脆弱性が高いといえます。
BSC Token Hubクロスチェーンブリッジへの攻撃はDeFi業界に衝撃を与えたものの、クロスチェーンブリッジはDeFiに欠かせない技術でもあり、ブロックチェーンのスケーラリビティ問題を解決する重要な技術でもあります。
DMM Bitcoin
2024年5月、DMM.comグループの取引所DMM Bitcoinが約3億2,000万ドル(約482億円)のハッキング被害を受け、資産が不正に流出した事件です。DMM Bitcoinはグループ会社から資金調達を実施、6月には流出相当分の暗号資産の調達が完了しています。
警察庁による調査報告・進展状況は、公式サイト等よりご覧ください。
なお、DMM Bitcoinは2024年12月に廃業することを発表しました。ユーザーの資産や口座は大手証券SBIホールディングスの傘下であるSBIVCトレードへ、2025年3月ごろまでに譲渡されることが決定しています。
暗号資産のハッキング対策
暗号資産のハッキング対策には、以下の方法が有効です。
フィッシング対策
フィッシングを防ぐには、なりすましのメールに注意し、正しいURLにのみアクセスすることが重要です。とくに個人情報の入力を求めるメールには注意が必要です。受信したメールのアドレスや、本文中のURLが正しいものかどうか必ず確認しましょう。
また、複数のサービスで同じIDやパスワードを使い回していると、フィッシング被害をうけるリスクが高まります。IDやパスワードはサービスごとに別のものを利用し、しっかりと把握する必要があります。定期的なパスワード変更も、フィッシング対策に有効です。
そのほかには、アカウントのログイン履歴や取引履歴を定期的に確認することも重要です。もしも不審な動作を発見した場合は、ハッカーが不正ログインしている可能性があります。すぐにメールアドレスとパスワードの変更をおこないましょう。
二段階認証
アカウントを二段階認証に切り替えることも大切です。二段階認証とは、IDやパスワードのほかにメールやコードなどの認証を追加し、不正なアクセスを防ぐことを指します。
二段階認証は認証手段を増やすことでセキュリティを強化できるため、ウォレットへの不正アクセスのリスクを大幅に軽減できます。万が一パスワードが漏れた場合でも、ハッカーが追加の認証を通過できないため、資産を奪う難易度があがります。
近年では二段階認証の方法も増えており、メールやSMS、認証アプリなど複数の方法から選べます。資産を保護するために、二段階認証は必ず設定しましょう。
高いセキュリティの取引所を使う
大切な資産を守るためにも、暗号資産交換業ライセンスを取得している国内取引所を選びましょう。
また、サポート体制が整っている取引所を選ぶことも大切です。公式サイトなどで運営状況やセキュリティ対策について定期的に報告している取引所は信頼性が増します。万が一問題が発生した場合、どのようなサポートが受けられるのかが明確な取引所を利用しましょう。
知識をつける
信頼できる情報源を通して、利用するサービスの運営者の情報やレビューなどを細かく調べましょう。
暗号資産に関する情報収集も大切です。とくに初心者の場合は、まずは書籍を読んで基本的な知識や専門用語を身につけましょう。また、最新の情報を把握することで、実践的な知識が身につきます。
ハッキング対策のために、セキュリティに関する知識をつけることが重要です。フィッシングの手口や対策方法、ウォレットの管理方法などについて学んで、大切な資産を守りましょう。
ブロックチェーンのセキュリティを向上させるツール一覧
N Suite
N Suiteは、企業向けにウォレットサービスを提供しています。東京都新宿区に本社を置くdouble jump.tokyo株式会社が運営しています。N Suiteはスタートアップから大手上場企業まで、60社以上の導入実績があり、様々な企業のウォレットのセキュリティをになっています。
主に、企業がWeb3領域で事業で秘密鍵を保有する場合に、セキュリティや内部での使用方法を考慮したウォレットの管理を行うことができます。
Bunzz Audit
Bunzz Auditは、スマートコントラクトの監査をAIで行うことができる監査ファームです。人力での監査に比べてコストの削減に成功しており、包括的なサービスを受けることができます。
某大手国内メーカーのNFTプロジェクトでも提供実績があり、無料相談も随時受付ています。
KEKKAI Secutiry SDK/API
KEKKAI Secutiry SDK/APIはウォレットセキュリティを構築することができるサービスです。
ウォレットセキュリティに関する開発をKEKKAI Secutiry SDK/APIで行うことができるため、開発リソースをセキュリティ以外に回すことができるメリットがあります。
レピュテーションリスクや開発工数の削減に、セキュリティ対策の工数を80%以上カット可能できるとのことです。
KEKKAI Secutiry SDK/APIの詳細はこちら
まとめ
暗号資産がハッキングされたらどうなるのか、過去に起きた事件とともに対策方法を解説しました。
暗号資産のハッキング予防には、さまざまな方法があります。まずは、なりすましのメールに注意し、URLが正しいものかどうかを確認しましょう。IDやパスワード以外の方法での二段階認証を使用することも重要です。
そして、会社の資産とユーザーの資産を分けて管理している取引所を利用しましょう。万が一取引所が倒産しても、ユーザーの資産が守られます。コールドウォレットで資産を管理している取引所も有効です。コールドウォレットはオフラインで資産を管理するので、ハッキングのリスクを大幅に減らせます。
また、資産を取引所に預けず自分で管理する方法もあります。この方法は取引所へのハッキングのリスクを回避できる一方、秘密鍵を自分で管理する必要があるため専門的な知識が必要です。
このように、暗号資産は信頼できる情報源から取引所の資料や口コミを調べ、十分に理解したうえで利用することが大切です。今回紹介したハッキング対策を参考にしながら、安全に取引をおこないましょう。
MCB Web3カタログについて
MCB Web3カタログは、Web3領域におけるBtoBサービスを網羅的に検索・比較することができるカタログサイトです。MCB Web3カタログの会員(無料)になると、事業者向けのWeb3ソリューションに関する資料を個別もしくはカテゴリー別に請求できます。
- 「ブロックチェーンのセキュリティを専門家に相談したい」
- 「ウォレットのセキュリティに使えるサービスを探したい」
など、導入を検討中の事業者様にぴったりのサービスやソリューションが見つかるMCB Web3カタログを、ぜひご活用ください。
MCB Web3カタログへ掲載してみませんか?掲載社数は約50社、国内随一のWeb3 × BtoBサービスの検索・比較サイトです。
web3ニュースレター
