メインコンテンツまでスキップ

3 億 600 万ドルのフィッシング税:暗号資産の最大の脆弱性がもはやコードではなくなった理由

· 約 21 分
Dora Noda
Dora Noda
Software Engineer

2026 年 1 月、ある人物が一本の電話に出ました。ルーチンのサポート対応のように聞こえる質問に答えた結果、 2 億 8,200 万ドルのビットコイン(Bitcoin)とライトコイン(Litecoin)が失われました。スマートコントラクトが不正利用されたわけではありません。秘密鍵が解読されたわけでもありません。オラクルが操作されたわけでもありません。攻撃者は単にシードフレーズを尋ね、被害者がそれを入力しただけでした。

その一件は、現在では暗号資産史上最大のソーシャルエンジニアリングによる強奪事件となっており、Web3 セキュリティ企業である Hacken が追跡した 2026 年第 1 四半期の損失総額の半分以上を占めています。Hacken の四半期レポートは、業界で最も注目される損失台帳となっています。Hacken の 2026 年第 1 四半期の数値は衝撃的です。44 件のインシデントで計 4 億 8,260 万ドルが盗まれ、そのうちフィッシングとソーシャルエンジニアリングが 3 億 600 万ドル、つまり被害額の 63% を占めています。2022 年の「DeFi の夏」のハッキングを象徴するカテゴリーであるスマートコントラクトの脆弱性は、わずか 8,620 万ドルにとどまりました。

これらの数字は、業界が受け入れるのに時間を要している構造的な変化を示しています。攻撃者はもはや、Solidity 開発者の技術を上回ろうとはしていません。彼らは人間を出し抜こうとしているのです。そして、最初のタイプの攻撃を防ぐために私たちが構築してきたインフラ(監査、バグバウンティ、形式手法による検証)は、二番目のタイプの攻撃を止める役にはほとんど立ちません。

メガハック時代は断片化している

長年、暗号資産のセキュリティは、壊滅的なコードの失敗の連続のように見えていました。2022 年には Ronin Bridge が 6 億 2,500 万ドル、2021 年には Poly Network が 6 億 1,100 万ドル、Wormhole が 3 億 2,500 万ドルを失いました。その筋書きは単純でした。ブリッジやレンディングプロトコルの欠陥を見つけ、トレジャリーから資金を流出させ、ミキサーを通じて姿を消すというものです。

その世界は明らかに縮小しています。Hacken の主要な競合データセットである Sherlock の 2026 年第 1 四半期 Web3 セキュリティレポートによると、DeFi 特有の脆弱性は 2025 年第 1 四半期と比較して前年比 89% 減少しました。形式手法による検証が普及し、バグバウンティの規模は拡大しています。監査法人はスピードよりも深さで競っています。コードは確実に安全になってきています。

では、なぜ 2026 年第 1 四半期に依然として 5 億ドル近くが失われたのでしょうか?

それは、攻撃対象が移動したからです。Hacken のレポートでは、28 件のスマートコントラクト・インシデントが計 8,620 万ドルを記録していますが、これは 2021 年以来、どの四半期よりも件数が少なく規模も小さいものです。しかし、アクセス制御の失敗(秘密鍵やクラウドインフラの侵害)が 7,190 万ドルを上積みし、フィッシングのカテゴリーだけでその両方を合わせた額を圧倒しました。メガハックの時代が終わったわけではありません。それは、数百件の小規模で人間を標的としたインシデントへと断片化し、それらが合計されることで、かつてのブリッジハックよりも多くの資本を流出させているのです。

1 月のハードウェアウォレット詐欺は最も極端なデータですが、それは例外ではありません。それは予兆(シグナル)なのです。

2 億 8,200 万ドルの電話の解剖学

オンチェーン調査員の ZachXBT とセキュリティ企業 ZeroShadow によって再構成された 1 月 10 日のインシデントは、ソーシャルエンジニアリングがどこまで進化したかを正確に示しているため、詳しく調査する価値があります。

攻撃者は Trezor の「Value Wallet」サポートエージェントを装いました。被害者(約 205 万 Litecoin(1 億 5,300 万ドル相当)と 1,459 Bitcoin(1 億 3,900 万ドル相当)をハードウェアウォレットに保管していた長期保有者)は、正規のサポートコールと思われるやり取りの中で、リカバリー情報を開示するように操作されました。資産は数時間以内に移動されました。これまでのソーシャルエンジニアリングの記録は 2024 年 8 月に樹立された 2 億 4,300 万ドルでしたが、今回の記録は一度の会話でそれを 3,900 万ドル上回りました。

ハードウェアウォレットは、このような攻撃を不可能にするように設計されていました。Trezor や Ledger デバイスがシードフレーズを接続されたコンピュータに公開することはありません。秘密鍵がセキュアエレメントから出ることもありません。脅威モデル全体は、ユーザーがソーシャルエンジニアリングによってフィッシングフォームにリカバリーフレーズを入力することはないという前提に立っています。

その前提が崩れました。そして、それは監査、バグバウンティ、または形式手法による検証では捉えられない形で失敗しました。ハードウェアは完璧に動作しましたが、人間はそうではありませんでした。

これが 2026 年第 1 四半期の不都合な事実です。暗号資産の暗号学的プリミティブが向上すればするほど、その背後にある価値は集中し、ソーシャルエンジニアリング攻撃の収益性は高まります。一度のフィッシング電話の成功は、今やほとんどのプロトコルハックよりも価値があります。ユニットエコノミクスはフィッシャーに味方しているのです。

18 回の監査でも不十分なとき

1 月のインシデントがフィッシングの物語であるならば、「監査疲れ」の物語は、正しいことをすべて行っていたにもかかわらずハッキングされたプロトコルの中にあります。

Hacken によると、2026 年第 1 四半期には 6 つの監査済みプロジェクトが不正利用されました。そのうちの 1 つである Resolv Labs は、攻撃者が AWS Key Management Service(KMS)の弱点を突き、約 8,000 万の裏付けのない USR ステーブルコイントークンをミントし、約 2,500 万ドルを引き出す前に、18 回もの個別の監査を受けていました。この侵害は Resolv の Solidity コードを標的にしたものではありません。Resolv のエンジニアがデプロイに使用したクラウドの資格情報を標的にしたものでした。

別の監査済みプロジェクトである Venus Protocol も、3 月に「寄付攻撃(donation attack)」で 215 万ドルを失いました。この脆弱性クラスは、同プロジェクト独自の Code4rena 監査で明示的に指摘されていたにもかかわらずです。その指摘は却下されていました。5 つの別々の監査法人が長年にわたってコードをレビューしてきましたが、どの法人もその問題の修正を強制することはありませんでした。監査はあくまでアドバイザリー(助言)に過ぎないため、強制することはできなかったのです。寄付攻撃が発生したとき、その結果は予測可能であり、事後分析(ポストモーテム)は苦痛なものとなりました。

パターンは今や、はっきりと述べることができるほど明確です。TVL(預かり資産)の高い監査済みプロトコルは、絶対的な意味で、TVL の低い未監査のプロトコルよりも安全というわけではありません。むしろ、より魅力的な標的なのです。攻撃者は報酬に見合うように努力を調整します。TVL 5 億ドルで 18 回の監査を受けたプロトコルは、TVL 500 万ドルで監査なしのプロトコルよりも攻略が困難ですが、賞金も 100 倍大きく、同じ人間的な弱点(却下された監査結果、設定ミスの AWS、リンクをクリックする従業員)はどちら側にも存在します。監査は「最低限の安全性」を底上げしますが、「安全性の限界」を引き上げるわけではありません。

これが、2026 年第 1 四半期においてビルダーが最も懸念すべき点です。業界のセキュリティ支出は 2022 年以来約 10 倍に増加しましたが、損失曲線は有意に下降していません。資金はコードの監査に費やされました。しかし損失は、人間、クラウド、そして鍵から発生したのです。

インフラ層が新たな最前線となる

Sherlock の 2026 年第 1 四半期レポートは、この変化を的確に指摘しています。「スマートコントラクト層からインフラ層への攻撃の移行」です。

この四半期の 3 つの出来事が、新しい攻撃の構図を物語っています。

  • Resolv Labs(2026 年 3 月): AWS KMS の侵害。攻撃者はスマートコントラクトには一切触れませんでした。彼らはデプロイの署名に使用されるキーを侵害し、何もないところからトークンをミント(鋳造)しました。
  • Drift Protocol(2026 年 4 月 1 日): 北朝鮮(DPRK)に関連したオペレーションにより、Solana 最大の無期限(Perpetual)DEX から 2 億 8,600 万ドルが流出しました。攻撃者は、事前署名されたトランザクションのための便利なプリミティブである Solana の「durable nonces」機能を利用し、Drift のセキュリティ評議会(Security Council)に対してソーシャルエンジニアリングを仕掛け、最終的に管理権限を譲渡するトランザクションに署名させました。ここでも、スマートコントラクトの欠陥はありませんでした。エクスプロイトは、「人間と機能の継ぎ目」に存在していました。
  • 四半期を通じて 4,000 万ドル以上が搾取: 偽のベンチャーキャピタルによる勧誘、ソフトウェアアップデートを装ったマルウェア、侵害された従業員のラップトップ(Hacken による)を通じて行われました。

共通しているのは、これらの攻撃のいずれも、コードを読むだけでは防げなかったということです。攻撃者は、クラウドの認証情報、CI/CD パイプライン、開発者のラップトップ、Slack アカウント、「サポートエージェント」との電話、そして署名時にはルーチンに感じられたが、蓄積されると壊滅的となる事前署名されたトランザクションなど、コードがインフラと接する部分を悪用しました。

クリプトの防御姿勢は、まだこの現実に適応できていません。業界はいまだに、IT セキュリティエンジニアよりも Solidity オーディターを多く雇用しています。ほとんどのプロトコル DAO は、運用セキュリティのトレーニングよりもコードの監査(オーディット)により多くの費用を費やしています。フィッシングを第一に考える脅威モデルは、ほとんどのセキュリティフレームワークにほとんど存在しません。

規制はようやく追いつきつつある — ぎこちなく

2026 年第 1 四半期は、単に損失が拡大しただけの四半期ではありませんでした。規制が大きく動いた四半期でもありました。

EU の MiCA フレームワークは、2026 年 7 月 1 日の期限を前に、段階的な導入から全面的な施行へと移行しています。各国の規制当局と ESMA は、監督レビュー、抜き打ち検査、調査を行っています。DORA(デジタル運用レジリエンス法)は 2025 年 1 月 17 日に金融機関に完全に適用され、その ICT リスク、インシデント、およびサードパーティに関する義務は現在、EU 全域で施行されています。米国初の連邦ステーブルコイン法である GENIUS 法が施行され、決済用ステーブルコインの発行体には銀行秘密法(BSA)の義務と制裁遵守プログラムが課せられています。ドバイは連邦政府のクリプト監視体制を再編しました。シンガポールはバーゼル資本基準の施行を開始しました。韓国では、トップクラスの取引所である Bithumb が AML(アンチマネーロンダリング)と KYC(本人確認)の違反により、この種のものとしては初の主要な法的執行措置となる 6 か月間の事業一部停止の予備通知を受けました。

書面の上では、これらすべてはクリプトをより安全にすることを目的としています。しかし、実際には、そのどれもが 3 億 600 万ドルのフィッシング問題に直接対応していません。MiCA のコンプライアンス要件は、開示、準備金、およびガバナンスに関するものです。DORA は ICT のレジリエンスとサードパーティのリスクに関するものです。GENIUS はステーブルコインの AML に関するものです。第 1 四半期に実際にユーザーのウォレットを枯渇させたもの — ハードウェアウォレットメーカーのサポートチームを装った電話 — は、これらすべてのフレームワークに隣接していますが、どのフレームワークでも規制されていません。

このギャップは奇妙な非対称性を生み出しています。必要な開示をうっかり忘れたステーブルコイン発行体は、今や複数の法域で罰金を科される可能性があります。しかし、適切なフィッシング保護なしに提供されているウォレットアプリは、規制上の制裁をほとんど受けません。コンプライアンスの範囲はかつてないほど広がっていますが、実際に損失が発生している方向にはまだ成長していません。

これはいずれ変わるでしょう。AMLA や FATF のワーキンググループですでに議論されている論理的な次のステップは、「コンプライアンスにはアンチフィッシング UX を含めるべき」という義務付けです。これは、消費者向けのウォレット、取引所、カストディプロバイダーに対し、単なる開示や準備金だけでなく、ソーシャルエンジニアリングに対する能動的な防御を実証することを要求するものです。これが 2027 年に実現したとしても、2026 年第 1 四半期のほとんどの被害者にとっては遅すぎることになるでしょう。

フィッシング第一のセキュリティスタックとはどのようなものか

Hacken の数字が示唆する防御の再編は重要です。プロトコルが監査を増やしたり、取引所がプルーフ・オブ・リザーブ(準備金証明)をさらに公開したり、ウォレットがより強力な暗号プリミティブを提供したりするだけでは不十分です。スタック全体において、ユーザーがいつか説得力のある攻撃者の標的になることを前提とし、防御の第一線はコードではなく設計(デザイン)であると想定する必要があります。

いくつかのビルディングブロックが登場しつつあります。

  • 署名画面でのトランザクションプレビュー:MetaMask の 2026 年の「Transaction Shield」は、署名前にトランザクションをシミュレートし、悪意のあるスマートコントラクトや資産流出スクリプトにフラグを立てます。Ledger Flex の E-ink タッチスクリーンは、オフラインの安全な画面にトランザクションのすべての詳細を表示することで、「ブラインド署名」の問題を解決します。これらの機能は華やかではありませんが、戦場を純粋な暗号技術から、ユーザーが明確に理解できる場へと移します。これこそが、現在の本当の戦場なのです。

  • 高額フローのハードウェア認証:しきい値を超える金額、新しい取引相手、予期しないデータを含むコントラクトコールなど、異常なトランザクションに対して物理的な確認を要求することは、低コストで効果的です。ほとんどのハードウェアウォレットはこの機能をサポートしていますが、ほとんどのユーザーはそれを有効にしていません。

  • プロトコルレベルの支出としての運用セキュリティトレーニング:もし 6 つの監査済みプロジェクトが、コードを何度もレビューされていたにもかかわらず合計 6,000 万ドル以上を失ったのであれば、セキュリティ支出の次の 1 ドルは、19 回目の監査に充てるべきではないでしょう。それは、財務(トレジャリー)を共同で管理するマルチシグ署名者向けのフィッシングトレーニング、キーローテーションの訓練、およびレッドチーム演習に充てられるべきです。

  • 選択的開示アイデンティティ層:AI エージェントが自律的な取引を実行し始めるにつれ(これは別個ではあるが関連する脅威です)、インフラプロバイダーは従来の KYC と並んで、暗号化されたエージェントアイデンティティ(KYA:Know Your Agent)をますます必要とするようになります。「このエージェントはこの人間を代表して行動することを許可されている」ことを検証するのと同じプリミティブは、攻撃者がサポートスタッフ、評議会メンバー、またはプロトコル管理者に成りすますことを困難にします。

  • フィッシング第一のセキュリティ認証:Hacken などによって提案されている論理的な終着点は、新しい種類のセキュリティシール(認証印)です。これは、Solidity のエクスプロイトに対する耐性だけでなく、ソーシャルエンジニアリングに対するウォレットや取引所の耐性を評価するものです。そのような基準が存在するまで、市場はフィッシングに強い製品と、単に安全そうに見えるだけの製品を区別することができません。

これらは監査を代替するものではありません。コードは依然として正確である必要があります。しかし、境界線(フロンティア)は移動しており、セキュリティ業界の関心もそれに合わせて移動する必要があります。

2026 年にビルダーが問い直すべき課題

Hacken の 2026 年第 1 四半期の数字が示唆する不都合な事実は、業界のセキュリティモデルの価格設定が構造的に誤っているということです。損失の 63 % はコードレビューでは防げない人間を標的とした攻撃に起因していますが、業界のセキュリティ予算の圧倒的多数は依然としてコードレビューに費やされています。

2026 年を正しく乗り越えたとして記憶されるビルダーは、最もクリーンな Solidity を提供した人々ではありません。ブラインドサイニング(内容を確認しない署名)を減らし、攻撃者の存在を前提とした UX を設計し、財務監査と同じ真剣さで従業員の運用セキュリティに投資し、十分に価値のあるシステムはいずれ説得力のある偽の電話を引き寄せると想定することで、ユーザーを介した攻撃者の価値窃取を困難にした人々です。

1 月に発生した 2 億 8,200 万ドルの電話(ソーシャルエンジニアリング)は、業界がこれまでに受け取った中で最も高額な概念実証(PoC)となりました。2026 年第 1 四半期は、その教訓がついに無視できないものとなった四半期に過ぎません。

BlockEden.xyz は、27 以上のブロックチェーンにわたってエンタープライズグレードの RPC およびインデックスインフラストラクチャを運営しています。これには、フィッシングが主流となった脅威モデルにおいて、API キー、署名インフラ、および顧客データを安全に保つための運用セキュリティとアクセス制御が含まれます。API マーケットプレイスを探索する して、2026 年に実際に重要となる脅威を想定して設計されたインフラストラクチャ上で構築を開始しましょう。

情報源

Share on Twitter