メインコンテンツまでスキップ

個人用ウォレットのセキュリティ危機: 2025 年に 158,000 件の個人暗号資産盗難が発生した理由と新しいアプローチの必要性

· 約 19 分
Dora Noda
Dora Noda
Software Engineer

2025 年には、個人ウォレットの侵害が 158,000 件に急増し、80,000 人の被害者に影響を及ぼしました。その結果、個人ウォレットからだけで 7 億 1,300 万ドルが盗まれました。これは取引所のハッキングやプロトコルのエクスプロイトではなく、単純なフィッシングメールを遥かに超える巧妙な攻撃によって、一般の暗号資産ユーザーが貯蓄を失っていることを意味します。個人ウォレットの侵害は現在、盗まれた暗号資産総額の 37% を占めており、2022 年のわずか 7.3% から増加しています。メッセージは明確です。暗号資産を保有しているなら、あなたは標的であり、昨日の保護戦略ではもはや不十分なのです。

2025 年の個人盗難の状況:規模と巧妙化

数字は深刻な実態を物語っています。Chainalysis によると、2025 年の暗号資産の盗難総額は 34 億ドルに達しましたが、攻撃の分布は個人ユーザーへと劇的にシフトしています。ウォレットの侵害は、上半期の損失額の約 69% (34 件のウォレット関連事件で約 17 億 1,000 万ドル)を占めました。ほとんどのケースは、マルウェアやソーシャルエンジニアリングに続く、秘密鍵の盗難、シードフレーズの漏洩、または署名デバイスの侵害を伴います。

ソーシャルエンジニアリングが支配的な攻撃ベクトルとして浮上しており、2025 年に奪われたエクスプロイト関連価値の 55.3% (13 億 9,000 万ドル)を占めています。攻撃者は暗号化を破ったり、ゼロデイ脆弱性を見つけたりしているのではなく、人間の心理を操作しています。抵抗の少ない経路は、暗号を保護する技術ではなく、鍵を保持している人間を通るのです。

攻撃の巧妙化は劇的に進んでいます。2026 年に向けて、脅威主体は AI 生成のディープフェイク、パーソナライズされたフィッシング、偽の開発者採用テストを活用して、ウォレットの鍵、クラウドの認証情報、署名トークンを取得しています。2025 年 3 月には、少なくとも 3 人の暗号資産創設者が、偽の Zoom 会議でディープフェイクを使用した北朝鮮のハッカーと思われる試みを阻止したと報告しました。文章の稚拙な詐欺メールの時代は終わりました。現在、攻撃者は AI を導入し、正当な連絡先とほとんど区別がつかないようなアプローチを行っています。

ウォレットドレイナー(Wallet Drainer)詐欺による損失額が 8,385 万ドルに達しましたが(2024 年の 4 億 9,400 万ドルから 83% 減少)、これで安心すべきではありません。この減少は、ブラウザの保護機能の向上や基本的なフィッシングに対するユーザーの意識向上を反映していますが、攻撃者は単に巧妙さのレベルを上げただけです。2025 年最大のウォレットドレイナー攻撃は 9 月に発生し、ほとんどのユーザーが完全には理解していないトランザクションタイプである「permit 署名」を介して 650 万ドルが盗まれました。

現代のウォレット攻撃の解剖学

攻撃者がどのように活動しているかを理解することは、防御への第一歩です。2025 年の攻撃ベクトルはいくつかのカテゴリーに分類され、それぞれに異なる防御戦略が必要です。

フィッシングとウォレットドレイナーは依然としてほとんどの攻撃の入り口であり、132 件のフィッシング事件で約 4 億 1,070 万ドルが失われました。攻撃者は、正当な取引所、ウォレット、DeFi インターフェースのピクセル単位で正確なレプリカを作成します。被害者がウォレットを接続し、悪意のあるトランザクションを承認したり、トークンの権限を付与したりすると、攻撃者は自動的に資金を移動できます。ユーザーが無害な承認に見えるものに署名する「permit 署名攻撃」は、セットアップにブロックチェーンのトランザクションを必要としないため、特に危険になっています。

ソーシャルエンジニアリングは主要な武器へと進化しました。詐欺師は取引所、カスタマーサポート、インフルエンサーなどの信頼できる存在を装い、不正アクセスを試みます。「豚の屠殺(Pig butchering)」詐欺(攻撃者が数週間または数ヶ月かけて恋愛関係や専門的な関係を築き、その後詐欺的な投資スキームを紹介する手法)は、蔓延しています。FBI の推計によると、米国人は暗号資産投資詐欺で 65 億ドルを失い、世界全体での「豚の屠殺」による損失は 2020 年から 2024 年の間に 750 億ドルに達しました。

サプライチェーンおよびソフトウェア攻撃は、新たな脅威ベクトルです。ソフトウェアライブラリ、プラグイン、開発ツールに挿入された悪意のあるコードは、最終的なアプリケーションの上流にバックドアを設置します。2025 年には、高い権限を持つブラウザ拡張機能が好まれるベクトルとなりました。一度侵害されると、これらのツールはユーザーのコンピュータを、シードや秘密鍵を密かに収集する拠点へと変貌させます。

EIP-7702 エクスプロイトは、イーサリアムの Pectra アップグレード後に登場しました。これにより、攻撃者は 1 回のトランザクション署名で複数の悪意のある操作を実行できるようになりました。この手法を用いた最大の事件は 2025 年 8 月に発生し、わずか 2 件で 254 万ドルの損失をもたらしました。新しいプロトコル機能は、ユーザーが理解していない新しい攻撃対象領域を生み出します。

ハードウェアウォレットによる保護:基盤レイヤー

ハードウェアウォレットは、多額の暗号資産保有にとって依然として最強の保護手段ですが、すべてのハードウェアウォレットが同じように作られているわけではなく、最高のハードウェアであっても特定の攻撃ベクトルに対して脆弱です。

Ledger は、物理的およびデジタル的攻撃の両方から秘密鍵を保護するセキュアエレメントチップ(CC EAL5+ 認定)を使用しています。競合他社とは異なり、Ledger は BOLOS と呼ばれる独自のオペレーティングシステムで動作し、ソフトウェアを完全に制御しています。これは強力なセキュリティを提供しますが、コードを確認することなく Ledger 社内のセキュリティ慣行を信頼する必要があります。

Trezor は、100% オープンソースのソフトウェアと、秘密鍵をオフラインに保つエアギャップ設計により、透明性を優先しています。Trezor Safe 3 と Safe 5 にはセキュアエレメントチップ(EAL6+)が搭載され、以前の物理的な脆弱性に関する懸念に対応しています。Ledger のセキュリティチームは、古い Trezor デバイスがフォールト注入攻撃に対して脆弱であり、デバイスが攻撃者の手に渡った場合にシードフレーズが復元される可能性があることを実証しましたが、新しいモデルでは大幅に改善されています。

2025 年 2 月の 15 億ドル規模の Bybit ハックは、コールドウォレットのアーキテクチャでさえ失敗する可能性があることを示しました。攻撃者は Safe マルチシグコールドウォレットのフロントエンド UI の脆弱性を悪用し、署名者を騙して偽のインターフェースで悪意のあるコンテンツを承認させました。教訓:ハードウェアウォレットは秘密鍵を保護しますが、トランザクションの承認プロセスは依然として潜在的な脆弱性として残ります。

ハードウェアウォレットユーザーのためのベストプラクティス:

  • サプライチェーンの改ざんを避けるため、メーカーから直接購入する
  • 初回使用前に公式ツールを使用してデバイスの真正性を確認する
  • 公式アプリ経由でのみファームウェアを最新の状態に保つ
  • ハードウェアウォレットは、マルウェアのない信頼できるデバイスにのみ接続する
  • ハイブリッド戦略を導入する:取引所には 30 〜 90 日分の取引資金のみを保管し、それ以外はすべてコールドストレージに保管する

シードフレーズのセキュリティ:紙のバックアップを超えて

ウォレットを復元するための 12 単語または 24 単語は、究極の脆弱性を表しています。シードフレーズを入手した人物は、ハッキングを必要とせずにあなたの暗号資産を所有することになります。それにもかかわらず、多くのユーザーはいまだにパスワードマネージャーやクラウドストレージ、あるいはスマートフォンの写真としてシードを保存しています。

スチールおよびチタンプレートは、物理的なシード保管の標準となっています。Cryptosteel Capsule Solo は、ステンレス鋼の文字タイルを使用して 24 単語(最初の 4 文字に短縮)を保存し、最大 1,400°C / 2,500°F の温度に耐え、防水性と耐衝撃性も備えています。Cryptotag Zeus は、数字コードの刻印が施された 6mm 厚の航空宇宙グレードのチタンを使用しており、1,650°C を超える温度に対応しています。これらの製品は、紙を破壊するような火災、洪水、物理的な損傷からバックアップを確実に守ります。

**シャミアの秘密分散(Shamir's Secret Sharing)**は、シードフレーズ保護における次なる進化を象徴しています。一つの 24 単語のフレーズを保存する代わりに、シャミアバックアップはリカバリシードを複数の「シェア」に分割します。例えば、2-of-3(3 分の 2)スキームでは 3 つの固有のシェアが作成され、そのうちの任意の 2 つがあればウォレットを復元できます。一つのシェアが紛失または盗難に遭っても、残りのシェアがあればウォレットは安全で、アクセス可能な状態が維持されます。

CoinDesk によると、2025 年にはハードウェアウォレット所有者の約 12% がシャミアバックアップを使用しており、全損失リスクを 80% 削減しました。Trezor Model T、Safe 3、Safe 5 はシャミアをネイティブでサポートしており、Cypherock X1 は秘密鍵を 4 枚のカードと 1 つの保管デバイスに保存された 5 つのコンポーネントに分割します。

シードフレーズ・セキュリティのベストプラクティス:

  • シードをいかなるデジタル形式でも保存しない — クラウドストレージ、メモアプリ、スクリーンショットは厳禁
  • 耐火・防水素材(スチールプレートを推奨)にフレーズを書き留める
  • 複数のコピーを別々の場所に保管する:自宅の金庫、銀行の貸金庫、信頼できる親族の安全な場所など
  • シャミアバックアップを使用する場合は、シェアを異なるメディアや場所に分散させる
  • 6 か月ごとに、空のウォレットを使用して復元プロセスをテストする

マルチシグと MPC:単一障害点の排除

多額の保有資産において、シングルシグネチャー(単一署名)ウォレットは不必要なリスクを伴います。マルチシグネチャー(マルチシグ)およびマルチパーティ計算(MPC)ウォレットは、紛失や盗難の恐れがある単一の秘密鍵を排除します。

マルチシグネチャー・ウォレットは、取引を承認するために、通常は異なる当事者やデバイスによって保持される複数の独立した秘密鍵を必要とします。各鍵の所有者が個別に署名し、これらの署名はオンチェーンで記録されます。これにより、単一の鍵が侵害されても資金が流出するのを防ぎます。ただし、マルチシグはトランザクションサイズ、手数料、および複雑さを増大させます。

MPC ウォレットは、2025 年におけるウォレットセキュリティの進化を象徴しています。MPC は、複数の完全な秘密鍵を使用する代わりに、権限を複数の暗号化された「キーシェア」に分割します。これらのシェアが連携して取引を承認し、完全な秘密鍵を生成したり公開したりすることはありません。分散型鍵生成プロトコルによって複数の当事者間でシェアが作成され、署名が必要な際、参加者の閾値(しきいち)が部分署名を生成し、それらが数学的に組み合わされて完全な署名となります。

MPC の利点は顕著です。どの当事者も完全な鍵を見ることはなく、署名プロセスは完全にオフチェーンで行われ、最終的な署名は通常のシングルキー署名と区別がつきません。これにより、MPC は従来のマルチシグよりもコスト効率が高く、チェーン間の互換性にも優れています。

主要なプラットフォームは MPC 機能を拡張しています。MetaMask Institutional はカストディアンの統合を拡大しており、Phantom は MPC ベースのリカバリをテストする予定です。Coinbase Wallet は WaaS SDK を通じて MPC バックアップのウォレットの組み込みを続けています。Bitcoin.com Wallet や Binance Web3 Wallet などのモバイルウォレットは、シードレス・リカバリと閾値セキュリティを提供しています。

ソーシャルエンジニアリングに対する防御:ヒューマン・ファイアウォール

いかなる技術的なセキュリティ対策も、自ら進んでアクセス権を譲り渡すユーザーを守ることはできません。2025 年の損失の 55.3% がソーシャルエンジニアリングに起因している事実は、テクノロジーではなく人間の判断の失敗を表しています。

専門家は、常に「徹底的な懐疑心(ラジカル・スケプティシズム)」を持つことを推奨しています。正当な企業、サービス、または機会が、あなたのシードフレーズやログイン資格情報を求めることは決してありません。それを求められた瞬間、あなたは詐欺師と話していることになります。これは明白に思えますが、豚の屠殺詐欺(ロマンス投資詐欺)が成功するのは、懐疑心が薄れるまで被害者が数週間から数か月にわたって慎重に手懐けられるからです。

ソーシャルエンジニアリング防御戦略:

  • 送信元がどこであれ、未承諾のメッセージはすべて攻撃の可能性があると想定する
  • 独立したチャネルを通じて本人確認を行う — メッセージにある番号ではなく、公式の電話番号にかける
  • 緊急性や秘密性を求める「儲け話」には特に注意する
  • ウォレットの操作中に画面を共有しない — 攻撃者がシードフレーズをキャプチャする可能性があります
  • 標的になるのを避けるため、暗号資産の保有状況を秘密にする
  • あらゆる場所で多要素認証を有効にし、SMS よりもハードウェアキーを優先する

2026 年に現れ始めた AI 強化型の攻撃により、検証はさらに重要になっています。ディープフェイクのビデオ通話は、同僚や役員になりすまして説得力を持って欺くことができます。疑わしい場合は、ウォレットへのアクセスを伴う行動をとる前に、複数の独立したチャネルを通じて確認を行ってください。

個人のセキュリティスタックを構築する

効果的な暗号資産のセキュリティには、各レイヤーが他のレイヤーの潜在的な失敗を補完する多層防御が必要です。

レイヤー 1:デバイスのセキュリティ

  • 可能な限り、高額な取引には専用デバイスを使用する
  • OS とブラウザを常に最新の状態に保つ
  • 信頼できるウイルス対策およびマルウェア対策保護を使用する
  • ブラウザ拡張機能の選択には非常に慎重になる
  • 暗号資産の活動用に専用のブラウザプロファイルを作成することを検討する

レイヤー 2:ウォレットアーキテクチャ

  • 長期保有にはハードウェアウォレットを使用する
  • 多額の資産には MPC またはマルチシグを使用する
  • ホットウォレットは、限られた資金でのアクティブな取引のみに使用する
  • ホットストレージからコールドストレージへ定期的に送金する

レイヤー 3:バックアップとリカバリ

  • シードフレーズの保管にはスチール製またはチタン製のものを使用する
  • リスク分散のためにシャミアの秘密分散法(Shamir backup)を利用する
  • 複数の地理的場所にコピーを保管する
  • 定期的な復元テストを実施する

レイヤー 4:トランザクションの衛生管理

  • すべてのアドレスを一文字ずつ確認する
  • 利用可能な場合はアドレスのホワイトリスト機能を使用する
  • まずは少額のテストトランザクションから始める
  • 署名する内容を理解する — 確信が持てない場合は署名しない

レイヤー 5:オペレーショナルセキュリティ

  • 保有資産を公開しない
  • 暗号資産サービスには専用のメールアドレスを使用する
  • すべての場所で最大限の認証を有効にする
  • 接続されているアプリや権限を定期的にセキュリティ監査する

将来展望:2026 年の脅威ランドスケープ

セキュリティの軍拡競争が鈍化する兆しはありません。北朝鮮の Lazarus Group のような国家主導の攻撃者は、2025 年だけで 20.2 億ドルを盗み出しました。これは前年比 51% の増加です。彼らの累計盗難額は現在 67.5 億ドルを超えています。北朝鮮(DPRK)は、暗号資産企業内に IT 労働者を潜り込ませたり、経営幹部を標的とした巧妙ななりすまし戦術を用いたりすることで、より少ない件数でより多額の窃盗を成功させています。

AI は攻撃と防御の両方を増幅させます。攻撃者は、ますます説得力のあるディープフェイクやパーソナライズされたフィッシングを展開するでしょう。防御側は、AI を使用して異常な動作や疑わしい取引を検出します。現在、攻撃者の方が有利な状況にあります。なぜなら、ソーシャルエンジニアリングは人間の心理を巧みに利用するものであり、AI がそれらの攻撃をより説得力のあるものにしているからです。

2025 年に発生した 158,000 件の個人ウォレットの侵害は、厳しい警告を投げかけています。暗号資産のセキュリティはもはや任意ではなく、基本的な予防策だけでは不十分です。個人のウォレットで保護されている価値には、プロフェッショナルグレードのセキュリティ慣行が求められます。ハードウェアウォレット、シャミアバックアップ、MPC 技術、そして勧誘の連絡に対する絶え間ない懐疑心こそが、真剣な暗号資産保有者にとっての最小限の実行可能なセキュリティスタックとなります。

資産を保護するための技術は存在します。問題は、あなたが来年の統計データの一員になる前に、それを導入するかどうかです。

BlockEden.xyz は、次世代の Web3 アプリケーションを構築する開発者に安全なブロックチェーンインフラストラクチャを提供します。脅威ランドスケープが進化する中、安全な API アクセスと信頼性の高いノードサービスは、ユーザー資産を保護するアプリケーションの基盤となります。セキュリティを第一の原則として設計されたインフラストラクチャ上で構築するために、当社の API マーケットプレイスを探索してください

Share on Twitter