財務省 OCCIP が仮想通貨を連邦サイバー防衛境界内に組み込む

米国史上初めて、財務省はクリプト企業を銀行と同じように扱おうとしています — 少なくとも、迫り来る脅威を誰が察知できるかという点においては。2026 年 4 月 10 日、サイバーセキュリティおよび重要インフラ保護局（OCCIP）は、適格なデジタル資産企業に対し、連邦政府が歴史的に FDIC 加盟銀行やその他の伝統的な金融機関向けに限定してきた実用的なサイバーセキュリティ・インテリジェンスを無償で提供すると発表しました。

これはプレスリリースのわずか一行に過ぎません。しかし、それは静かではあるものの、重大な転換点でもあります。ワシントンはクリプトを周辺的なテクノロジーセクターとして扱うのをやめ、金融システムの重要インフラの一部として扱い始めたのです。

5 億 7,800 万ドルの痛手の上に築かれた政策

このタイミングは偶然ではありません。2026 年 4 月は、いくつかの基準で見れば、Bybit の事件以来 DeFi セキュリティにとって最悪の月でした。わずか 18 日間に 12 件の個別のエクスプロイトが発生し、約 6 億 600 万ドルが流出しました。その期間中、ラザルス・グループ（Lazarus Group）だけで 5 億 7,800 万ドルを移動させました。

特に 2 つの攻撃が被害の大部分を占めています。

• Drift Protocol — 2 億 8,500 万ドル、2026 年 4 月 1 日。 北朝鮮（DPRK）に関連するグループ UNC4736（AppleJeus、Citrine Sleet、Gleaming Pisces としても追跡されています）によるものとされる攻撃者は、6 か月にわたるソーシャルエンジニアリング作戦を完了させました。彼らはクオンツ・トレーディング・ファームを装って Drift のコントリビューターの信頼を勝ち取り、Solana の「デュラブルノンス（durable nonces）」機能を悪用して、管理者権限を密かに移譲する休止状態のトランザクションにセキュリティ・カウンシル・メンバーが事前署名するよう仕向けました。ラグプルが発生した瞬間から、金庫は約 12 分で空になりました。
• KelpDAO — 2 億 9,200 万ドル、2026 年 4 月 18 日。 偽造された単一の LayerZero メッセージにより、KelpDAO のクロスチェーンブリッジから 116,500 rsETH が流出しました。これは今年最大規模の単一 DeFi エクスプロイトとなりました。

TRM Labs によると、現在、2026 年のクリプト・ハッキングによる損失の約 76% を北朝鮮が占めており、2017 年からの累計窃盗額は 60 億ドルを超えています。これはもはや一セクターの懸念事項ではありません。国家安全保障上の問題です。

OCCIP のプログラムは事実上、デジタル資産プラットフォームを標的とした北朝鮮の手口が、銀行送金、ACH、SWIFT に対する国家主導の攻撃と酷似していること、そしてクリプト・オペレーターが銀行と同じ早期警戒チャネルを利用する権利があることを連邦政府が初めて認めたものです。

クリプト企業が実際に得られるもの

見出しは「無料のサイバーセキュリティ・インテリジェンス」ですが、その中身はさらに興味深いものです。適格な米国のデジタル資産企業は、財務省が銀行セクターを攻撃者の一歩先に行かせるために使用しているものと同じ脅威インテリジェンス・フローへのアクセスをリクエストできるようになりました。実際には、以下のような段階的なフィードが含まれます。

• CISA の既知の悪用された脆弱性（KEV）カタログ。 連邦文民機関は、拘束力のある運用指令 22-01 により、KEV にリストされた CVE を一定の期限内に修正することがすでに義務付けられています。このリストは公開されていますが、連邦チャネル内にいることの価値はそのタイミングにあります。オペレーターは、脆弱性が公開情報になる前に、野放しで何が武器化されているかを知ることができます。
• FBI Flash および民間産業通知（Private Industry Notifications）。 これらは現在進行中のキャンペーンを対象としており、多くの場合、公開のプレスリリースには決して現れない侵害指標（IOC）や攻撃者の手口（TTP）が含まれています。
• 財務省固有の金融セクター IOC。 OCCIP のアナリストが銀行をまたぐレポートから繋ぎ合わせたウォレットクラスター、ブリッジのステージングパターン、ミキサーの挙動、トランザクションのフィンガープリントなどです。これまでは銀行は見ることができましたが、中央集権型取引所や DeFi プロトコルは見ることができませんでした。
• 北朝鮮、イラン関連、およびランサムウェア攻撃者に関するセクター別の勧告。 これは Drift のフォレンジック・タイムラインが最も明確に裏付けている層です。ラザルスのウォレットパターンやブリッジのステージング活動は、事後的には特定可能でした。OCCIP 級の情報共有は、流出が起こる 前 にそれらのパターンを表面化させるように設計されています。

適格な企業は OCCIP-Coord@treasury.gov に連絡して申請します。「適格」の基準は発表では意図的に定義されていません。財務省は参加者プールの形成に裁量権を保持しており、これは特徴であると同時に摩擦点でもあります。

これが単なる新しいメール配信リスト以上の意味を持つ理由

OCCIP の発表を狭く捉えれば、財務省が新しいメーリングリストを追加しただけのように聞こえます。しかし、構造的な解釈はより重要です。

この 10 年間、米国の政策はクリプト企業を、たまたまお金を扱うテクノロジー企業として扱ってきました。デフォルトの情報共有機構である FS-ISAC（金融サービス情報共有分析センター）は、銀行型のチャーターや有料の業界枠の背後にメンバーシップを制限しています。FS-ISAC には 75 か国に 5,000 以上の加盟企業がありますが、そのメンバーシップは歴史的に銀行、保険会社、決済処理業者、証券会社によって支配されてきました。クリプトネイティブな取引所や DeFi プロトコルが第一級の参加者になることは稀でした。

OCCIP の新しいチャネルは FS-ISAC に代わるものではありません。並行して運営されます。そして、並行して運営されることで、事実上こう伝えているのです。たとえ企業が銀行主導の ISAC に加入する余裕がなかったり、加入したくなかったりしても、連邦政府はそれらを米国が防衛すべき重要な金融インフラの一部として扱う、と。

これが政策の枠組みの転換です。同じ週、Coindesk と The Record の両紙は、このイニシアチブによってクリプト企業が伝統的な企業と共有されるハッカー警告の「ループイン（情報共有の輪に入る）」パートナーになると指摘しました。これは 5 年前の米国財務省の声明では考えられなかった言葉です。

オペレーターにとって何が変わるのか

申請を希望する取引所、カストディアン、ブリッジ、および DeFi プロトコルにとって、これまで不可能だった 3 つのことが可能になります。

武器化された CVE に対するパッチサイクルの高速化。 標準的なクラウドおよび DevOps ツールを運用しているプロトコルチームは、エクスプロイトが横行していることを知るために、ベンダーのアドバイザリーや公開された CVE の解説を待つ必要がなくなります。財務省のパイプラインは、公開された NVD エントリよりも早くエクスプロイトの予兆を察知する傾向があります。

DPRK（北朝鮮）のウォレットパターンアラート。 これが唯一の、最も具体的な変化です。Drift のフォレンジック調査では、資金流出の数日前に Lazarus のステージング行動がチェーンデータ上で確認可能であったことが判明しましたが、それに対応するための文脈（コンテキスト）を持ったチームは存在しませんでした。複数の企業からの目撃情報を集約し、それをオペレーションセンターにプッシュする連邦政府のチャネルは、銀行が疑わしい ACH 送金に対して長年持っていた「他行がこのアドレスによるカストディフローへの接触を確認した」というシグナルを DeFi に提供します。

内部リスクと採用パイプラインの指標。 Drift の事例は、DPRK が現在、偽のクオンツ企業、偽の採用、偽の取引相手など、ソーシャルエンジニアリングに数ヶ月を費やしていることを示す教育的な例となりました。財務省には、金融セクターの採用詐欺ケースから集約されたレポートが蓄積されており、仮想通貨オペレーターは今まさに大規模にそれに直面し始めています。

その反面、インテリジェンス共有の関係は双方向です。チャネル内にとどまるためには、企業はインシデントや IOC（侵害指標）を報告することが期待されます。「当社のセキュリティ体制は独自のもの（プロプライエタリ）である」という考えから、「私たちが見ているものは、連邦政府や同業者も見ている」という考えへの文化的なシフトが、より困難な部分となります。

政治的側面：カジノではなく、重要インフラとして

直接言及する価値のある規制上の背景があります。過去 5 年間の大部分において、米国の仮想通貨政策は対立的であり、SEC、CFTC、FinCEN がそれぞれ、仮想通貨とは何か、どのように監督すべきかについて異なる理論を押し出してきました。OCCIP の動きは、連邦政府の別の側面、すなわちサイバーおよび重要インフラの側面から生じており、異なる前提に基づいています。

銀行が OCCIP のサポートを受けるのは、財務省が彼らのバランスシートのすべての行を承認しているからではなく、彼らのサイバー防御が失敗すれば、国の決済システムが失敗するからです。4 月 10 日の発表における暗黙の主張は、仮想通貨についても同様のことが言えるようになったということです。3,000 億ドルのステーブルコインフロー、190 億ドル以上のトークン化された RWA、そして拡大するクロスボーダー決済を担うレールがサイバー攻撃によって破壊されれば、より広範な金融システムが衝撃を受けることになります。

これが、申請を行わない企業にとってもこの発表が重要である理由です。連邦機関がデジタル資産企業を「対象となる」重要インフラとして正式に扱うことは、将来のあらゆる争いにおける政治的なベースラインを変えることになります。DeFi 規制、ステーブルコインのライセンス、AI エージェントによる決済に関する将来の議会討論は、財務省自身のサイバーセキュリティ部門が、仮想通貨を守る価値のあるシステムの一部であるとすでに認めているという背景の中で行われることになります。

残された課題

この取り組みは特効薬ではありません。3 つの大きなギャップが残っています。

適格性が不透明。 財務省は基準を公表していません。参加者リスト、あるいは少なくとも基準が公開されるまで、小規模な DeFi プロトコルやオフショアに拠点を置くプラットフォームには明確な道筋がありません。

米国限定である。 仮想通貨はグローバルです。米国ユーザーにサービスを提供している最大の CEX が必ずしも米国に本社を置いているわけではありません。英国の NCSC、シンガポールの MAS-CSA チャネル、欧州の ENISA との国際的な調整は、発表された範囲には含まれていません。

プロトコルレベルの脆弱性は解決しない。 脅威インテリジェンスは SOC が攻撃者をより早く捕まえるのに役立ちますが、未検証のメッセージ形式を信頼するブリッジを修正するわけではありません。Drift と KelpDAO のインシデントは、どちらもメールフィードでは解決できない弱点（durable-nonce 署名、クロスチェーンメッセージ検証）に起因していました。OCCIP は運用面での防御の底上げをしますが、プロトコル設計の計算式を変えるものではありません。

インフラプロバイダーへの影響

プロトコルとエンドユーザーの間に位置する企業層（RPC プロバイダー、ウォレットプラットフォーム、カストディアン、インデクサー、オラクルネットワーク）にとって、OCCIP のプログラムは購買時の対話を再形成します。機関投資家、特に新世代の規制対象ステーブルコイン発行体やトークン化 RWA マネージャーは、インフラベンダーに対し、OCCIP 級の情報共有に参加しているかどうかを問い始めるでしょう。その質問は、調達のゲートとなります。

より広範なシグナルとして、サイバーセキュリティはプロトコルごとの懸念から、セクター全体のインフラの懸念へと移行しつつあります。2026 年のハッキングの波を生き残るベンダーは、脅威インテリジェンスの取り込み、IOC の共有、および連邦政府と連携したインシデント対応を、オプションのセキュリティシアター（形式的な対策）ではなく、当然提供されるべきサービス（テーブルステークス）として扱うベンダーです。

BlockEden.xyz は、Sui、Aptos、Ethereum、およびその他のチェーンのビルダー向けに、プロダクショングレードの RPC およびインデクサーインフラを運営しています。OCCIP と連携した脅威環境で活動するチームは、機関投資家時代向けに構築されたインフラについて、当社の API マーケットプレイス をご覧ください。

2026 年の考察

Drift と KelpDAO の侵害事件は、一つのきっかけとして記憶されるでしょう。しかし、OCCIP（サイバー・重要インフラ保護局）の対応こそが、次の 10 年を静かに再編するものになるかもしれません。財務省は、連邦政府のサイバー保護の傘をデジタル資産企業にまで広げることで、2 つのことを同時に行いました。一つは、DeFi（分散型金融）に対する北朝鮮（DPRK）のような国家主導の攻撃が国家安全保障上の問題であることを認めたこと。そしてもう一つは、暗号資産企業をもはや金融システムの防御境界の外側として扱うことはできないと認めたことです。

これは、その重要性に比例するほどの大きな見出しにはならない種類の規制の変化です。しかし、あらゆる機関投資家、規制当局、そして取引相手が暗号資産のオペレーショナル・リスクをどう捉えるかを根本から変えることになるでしょう。CLARITY 法、GENIUS 法のステーブルコイン規則策定、そして OCC（通貨監督庁）の銀行による暗号資産カストディ指針が、2027 年に一貫した規制アーキテクチャとして定着する頃には、2026 年 4 月に行われた OCCIP の静かな拡大が、それらすべてを支える基盤であったことが明らかになるはずです。

監視塔の視野は、今まさに広がったのです。

出典

• Treasury Launches Cybersecurity Information Sharing Initiative for the Digital Asset Industry — U.S. Department of the Treasury
• Treasury debuts effort to share cyber threat intel with crypto firms — Nextgov/FCW
• Treasury Department announces crypto industry cyber threat sharing initiative — The Record
• U.S. Treasury to loop in crypto sector on hacker warnings shared with traditional firms — CoinDesk
• Treasury to Give Crypto Firms Same Cybersecurity Intel as Banks — PYMNTS
• North Korea accounts for 76% of 2026 crypto hack losses — The Block
• The long con: How North Korean spies spent months in-person to drain $285 million from Drift — CoinDesk
• $285 Million Drift Hack Traced to Six-Month DPRK Social Engineering Operation — The Hacker News
• Drift Protocol Hack: How Privileged Access Led to a $285M Loss — Chainalysis
• North Korea Stole $292M from KelpDAO — DeFi Mounts Its Biggest Rescue — Spoted Crypto
• Known Exploited Vulnerabilities Catalog — CISA
• FS-ISAC official site