サイバーセキュリティの脅威と防御
すべてのタグを見る
2025 年 2 月 21 日、北朝鮮の Lazarus Group は、史上最大の暗号資産窃盗事件を実行しました — Bybit のコールドウォレットから 1 回のトランザクションで 15 億ドル相当のイーサリアムを流出させたのです。1 年後、その数字は深刻な物語を伝えています。ブロックチェーン分析企業は当初、盗まれた資金の 88.87% を追跡していましたが、実際に凍結されたのはわずか 3.54% です。残りの資金は数千のウォレットに眠り、その時を待っています。
これは単なる強奪事件の物語ではありません。国家主導のハッキング工作がいかにして業界全体のセキュリティ・インフラを出し抜いたのか、そして暗号資産の世界がその後の 12 ヶ月間で何を学び、何を学べなかったのかを示すケーススタディです。
1 コントラクトあたり $ 1.22 で、AI エージェントはスマートコントラクトをスキャンして悪用可能な脆弱性を特定できるようになりました。そして、攻撃側のエクスプロイト能力は 1.3 ヶ月ごとに倍増しています。分散型金融(DeFi)における、最も重大な軍拡競争へようこそ。
2026 年 2 月、OpenAI と Paradigm は共同で、AI エージェントがスマートコントラクトの脆弱性をいかに効果的に検出し、修正し、悪用するかを評価するオープンソースのベンチマーク EVMbench をリリースしました。その結果は驚くべきものでした。GPT-5.3-Codex は、既知の脆弱なコントラクトの 72.2 % の悪用に成功しました。これは、わずか 6 ヶ月前の 31.9 % から急上昇しています。一方、特化型の AI セキュリティエージェントは、9,680 万ドル相当の被害を出した 90 の DeFi 攻撃事例のうち 92 % で脆弱性を検出しました。これは、ベースラインとなる GPT-5.1 コーディングエージェントの検出率 34 % の約 3 倍に相当します。
この意味するところは明白です。DeFi セキュリティの戦いは AI 対 AI の戦いとなっており、経済的には圧倒的に攻撃側に有利な状況となっています。少なくとも現時点では。
Polygon の共同創設者は、Zoom 通話に映っているのが本当に本人なのかと見知らぬ人々から問い詰められている自分に気づく。BTC Prague の主催者は、画面上に有名な暗号資産企業の CEO にそっくりな AI 生成のレプリカが現れるのを目の当たりにするが、直後に「オーディオのクイック修正」を実行するよう求められる。AI スタートアップの創設者は、Google Meet を使うよう主張することで感染を回避し、攻撃者は姿を消した。これらはサイバーパンクスリラーのワンシーンではない。これらは 2026 年初頭に実際に起こったことであり、共通の糸でつながっている。それは、急速に進化する北朝鮮のディープフェイク型ソーシャルエンジニアリングマシンだ。
約 626 万ビットコイン( 6,500 億ドルから 7,500 億ドル相当)が、量子攻撃に対して脆弱なアドレスに存在しています。ほとんどの専門家は、暗号解読が可能な量子コンピュータの実現にはまだ数年かかると考えていますが、それらの資産を保護するために必要なインフラを一夜にして構築することは不可能です。あるプロトコルはすでにその答えを持っていると主張しており、SEC もそれに同意しています。
Naoris Protocol は、SEC の量子耐性金融インフラフレームワーク( PQFIF )において、量子耐性を持つブロックチェーンインフラの参照モデルとして指定され、米国の規制文書に引用された最初の分散型セキュリティプロトコルとなりました。 2026 年第 1 四半期末までにメインネットのローンチを予定しており、テストネットではすでに 1 億 400 万件の量子耐性トランザクションが処理され、NATO 加盟国関連機関との提携も進んでいます。 Naoris は、「 DePIN の次のフロンティアは計算やストレージではなく、サイバーセキュリティそのものである」という大胆な賭けに出ています。
あなたのコールドウォレットは、あなたが思っているほど安全ではありません。 2025 年、プライベートキー、ウォレットシステム、そしてそれらを管理する人間を標的としたインフラストラクチャ攻撃は、盗まれた全暗号資産の 76 % を占め、わずか 45 件の事件で合計 22 億ドルに達しました。北朝鮮の国家主導のハッキング部隊であるラザルス・グループ(Lazarus Group)は、従来のコールドストレージのセキュリティをほぼ無意味にするプレイブックを完成させました。それは、コードではなく人間を標的とした、数ヶ月に及ぶ潜入キャンペーンです。
2025年 2月 4日、Safe{Wallet} の開発者「Developer1」が日常的と思われるリクエストを受け取ったとき、自身の Apple MacBook が史上最大の暗号資産強奪事件の侵入口になるとは夢にも思っていませんでした。それから 17日以内に、北朝鮮の Lazarus Group はその侵害された 1台のラップトップを悪用して Bybit から 15億ドルを盗み出しました。これは一部の国家の GDP 全体をも上回る額です。
これは単なる異常事態ではありませんでした。国家に支援されたハッカー集団が、世界で最も洗練された暗号資産窃盗犯へと 10年かけて進化した結果であり、累計で少なくとも 67.5億ドルの窃盗に関与しています。
数字は驚異的です:2025 年に暗号資産プラットフォームから 34 億ドルが盗まれ、その 3 分の 2 近くを一国家が占めています。北朝鮮のラザルス・グループ(Lazarus Group)は、単に記録を塗り替えただけではありません。攻撃回数を減らしながら指数関数的に多くの価値を搾取するという、国家主導のサイバー犯罪のルールを書き換えました。2026 年を迎えるにあたり、暗号資産業界は不都合な事実に直面しています。それは、過去 5 年間のセキュリティ・パラダイムが根本的に崩壊しているということです。
ブロックチェーン分析企業チェイナリシス(Chainalysis)は 2025 年 12 月に年次レポートを発表し、業界関係者が恐れていた事態を裏付けました。暗号資産の盗難総額は 34 億ドルに達し、そのうち北朝鮮のハッカーが 20 億 2,000 万ドルを占めました。これは、すでに過去最高だった 2024 年の 13 億 4,000 万ドルから 51% の増加です。これにより、北朝鮮��による暗号資産盗難の累計額は約 67 億 5,000 万ドルに達しました。
2025 年の盗難が前例のないものである理由は、金額だけではありません。その効率性です。北朝鮮のハッカーは、例年よりも既知の攻撃回数を 74% 減少させながら、この記録的な略奪額を達成しました。ラザルス・グループは、分散型の脅威アクターから、金融戦争の精密機械へと進化を遂げたのです。
TRM Labs とチェイナリシスは独立してこれらの数字を検証しており、TRM は暗号資産犯罪がかつてないほど「組織化され、プロフェッショナル化」していると指摘しています。攻撃は以前のサイクルよりも高速で、より巧みに調整され、はるかに大規模化しやすくなっています。
2025 年 2 月 21 日、暗号資産界は史上最大の単一盗難事件を目撃しました。ハッカーは、世界最大級の暗号資産取引所の一つである Bybit から、当時 15 億ドル相当にのぼる約 401,000 ETH を流出させました。
この攻撃は、力ずくの侵入やスマートコントラクトの脆弱性を突いたものではありませんでした。それは見事なサプライチェーン攻撃でした。ラザルス・グループは「TraderTraitor」(Jade Sleet や Slow Pisces としても知られる)という別名で活動し、人気のマルチシグ・ウォレット・プロバイダーである Safe{Wallet} の開発者を標的にしました。ウォレットのユーザーインターフェースに悪意のあるコードを注入することで、従来のセキュリティ層を完全にバイパスしたのです。
11 日以内に、ハッカーは盗まれた資金の 100% を洗浄しました。Bybit の CEO である Ben Zhou 氏は 3 月初旬、約 3 億ドルの足取りを見失ったことを明らかにしました。FBI は 2025 年 2 月 26 日にこの攻撃を公式に北朝鮮によるものと断定しましたが、その時にはすでに資金はミキシング・プロトコルやブリッジ・サービスへと消えていました。
Bybit のハッキングだけで北朝鮮の 2025 年の暗号資産盗難額の 74% を占め、戦術の恐るべき進化を示しました。セキュリティ企業 Hacken が指摘したように、ラザルス・グループは「中国語のマネーロンダリング・サービス、ブリッジ・サービス、ミキシング・プロトコルを明確に好み、大規模な窃盗後に 45 日間の洗浄サイクルを行う」という傾向を示しました。
北朝鮮のサイバー作戦は根本的な変貌を遂げました。単純なフィッシング攻撃やホットウォレットの侵害の時代は終わりました。ラザルス・グループは、検知をほぼ不可能にする多面的な戦略を開発しました。
おそらく最も陰湿な戦術は、研究者が「Wagemole」と呼ぶものです。これは、世界中の暗号資産関連企業に潜伏 IT 労働者を送り込む手法です。偽の身分やフロント企業を通じて、これらの工作員は暗号資産企業、カストディアン、Web3 プラットフォームを含む企業システムへの正当なアクセス権を取得します。
このアプローチにより、ハッカーは境界防御を完全に回避できます。彼らは外部から侵入しているのではなく、すでに内部に存在しているのです。
2025 年、国家主導のグループは人工知能(AI)を使用して、あらゆる段階の作戦を強化し始めました。AI は現在、数千のスマートコントラクトを数分でスキャンし、悪用可能なコードを特定し、マルチチェーン攻撃を自動化します。かつて数週間の手動分析が必要だった作業が、今では数時間で完了します。
Coinpedia の分析によると、北朝鮮のハッカーは AI の統合を通じて暗号資産犯罪を再定義し、その作戦をこれまで以上にスケーラブルで検知困難なものにしています。
純粋な技術的脆弱性の悪用から人間的要因への攻撃へのシフトは、2025 年の決定的なトレンドでした。セキュリティ企業は、「異常な損失は圧倒的にアクセス制御の失敗によるものであり、斬新なオンチェーンの数学的欠陥によるものではなかった」と指摘しています。ハッカーは、汚染されたフロントエンドやマルチシグ UI のトリックから、エグゼクティブへのなりすましや秘密鍵の窃盗へと移行しました。
Bybit がヘッドラインを独占する一方で、北朝鮮の作戦は単一のターゲットをはるかに超えて広がっていました:
これらは孤立した事件ではありません。複数の管轄区域にわたる中央集権型取引所、分散型金融(DeFi)プラットフォーム、および個別のウォレット・プロバイダーを標的とした、調整��されたキャンペーンを象徴しています。
独立した集計では、年間を通じて 300 件を超える主要なセキュリティ・インシデントが特定されており、暗号資産エコシステム全体にわたるシステム上の脆弱性が浮き彫りになりました。
マネーロンダリングの側面において、米財務省の金融犯罪取締ネットワーク(FinCEN)は、北朝鮮の活動における重要なノードとして、カンボジアを拠点とする Huione Group を特定しました。
FinCEN の調査によると、Huione Group は 2021 年 8 月から 2025 年 1 月の間に少なくとも 40 億ドルの不正収益を洗浄しました。ブロックチェーン企業 Elliptic は、実際の数字は 110 億ドルに近い可能性があると推定しています。
財務省の調査では、Huione Group が Lazarus Group に直接関連する 3,700 万ドルを処理しており、その中には DMM Bitcoin のハッキングによる 3,500 万ドルが含まれていたことが明らかになりました。同社は、平壌の主要な対外情報機関である北朝鮮の偵察総局(RGB)と直接協力していました。
Huione が特に危険であったのは、コンプライアンス管理が完全に欠如していた点です。Huione Pay(銀行)、Huione Guarantee(エスクロー)、Huione Crypto(取引所)の 3 つの事業部門のいずれも、AML / KYC ポリシーを公開していませんでした。
カンボジアの与党フン一族との繋がり(フン・マネット首相の従兄弟が主要株主であることなど)により、2025 年 5 月に米国がアメリカの金融システムへのアクセスを遮断するまで、国際的な法執行の取り組みは困難を極めました。
2025 年の窃盗被害の規模は、世界中で規制の動きを加速させました。
欧州連合(EU)は暗号資産市場規制(MiCA)の「ステージ 2」を前倒しで実施し、現在、ユーロ圏で活動するすべての取引所に対し、サードパーティのソフトウェアベンダーの四半期ごとの監査を義務付けています。Bybit のハッキングで見られたサプライチェーン攻撃のベクトルが、この具体的な要件を推進しました。
米国では、義務化されたリアルタイムのプルーフ・オブ・リザーブ(PoR)要件に焦点が移っています。その理論は、取引所が資産をオンチェーンでリアルタイムに証明しなければならない場合、不審な流出が即座に可視化されるというものです。
Upbit のハッキングを受けて、韓国の金融サービス委員会は 2025 年 12 月に「デジタル金融セキュリティ法」を提案しました。この法律は、すべての暗号資産取引所に対して、義務付けられたコールドストレージ比率、定期的な侵入テスト、および不審な活動に対する監視の強化を強制するものです。
Bybit の侵害により、中央集権型取引所がセキュリティを管理する方法の根本的な転換が余儀なくされました。業界のリーダーたちは、2026 年に向けたいくつかの重要なアップグレードを特定していま��す:
ほとんどのトップティアのプラットフォームは、従来のスマートコントラクト・マルチシグからマルチパーティ計算(MPC)技術へと移行しました。2025 年に悪用された Safe{Wallet} の設定とは異なり、MPC はプライベートキーをシャード(断片)に分割し、それらが単一の場所に同時に存在することはないため、UI スプーフィングや「アイスフィッシング」の手法を実行することはほぼ不可能です。
信頼できるカストディアル取引所は現在、90 ~ 95% のコールドストレージ比率を導入しており、ユーザー資金の大部分をハードウェアセキュリティモジュール(HSM)でオフライン管理しています。マルチシグネチャ・ウォレットでは、大規模なトランザクションを承認するために複数の権限者が必要です。
2025 年の最大の教訓は、セキュリティがブロックチェーンを超えてソフトウェアスタック全体に及ぶということです。取引所は、自社のコードに適用するのと同様の厳格さでベンダーとの関係を監査しなければなりません。Bybit のハッキングは、取引所の脆弱性ではなく、侵害されたサードパーティのインフラストラクチャが原因で成功しました。
フィッシング攻撃や安全なパスワード管理に関する継続的なトレーニングが義務化されました。ヒューマンエラーは依然として侵害の主な原因であるためです。セキュリティの専門家は、セキュリティプロセス管理の弱点を特定するために、定期的なレッドチームおよびブルーチーム演習を推奨しています。
さらに先を見据えると、耐量子計算機暗号(PQC)や量子セキュア・ハードウェアが重要な将来の防御策として浮上しています。コールドウォレット市場の 2026 年から 2033 年にかけての予測 CAGR 15.2% は、セキュリティの進化に対する機関投資家の信頼を反映しています。
Chainalysis が 2025 年のレポートで述べた締めくくりの警告は、業界全体に響くはずです。「既知の攻撃が 74% 減少したにもかかわらず達成された 2025 年の記録的なパフォーマンスは、私たちが目にしているのは彼らの活動の最も目に見える部分に過ぎない可能性を示唆しています。2026 年の課題は、北朝鮮関連のアクターが Bybit 規模の事件を再び引き起こす前に、これらの影響力の大きい活動を検出し、防止することです。」
北朝鮮は、制裁回避と兵器資金の調達を目的とした国家支援のハッカーが、業界の防御を上回る可能性があることを証明しました。累計 67 億 5,000 万ドルという金額は、単に盗まれた暗号資産を意味するのではなく、ミサイル、核プログラム、そして体制の存続を象徴しています。
暗号資産に関わる業界にとって、2026 年はセキュリティ変革の年でなければなりません。漸進的な改善ではなく、資産の保管、アクセス、転送方法の根本的な再構築が必要です。Lazarus Group は、昨日のベストプラクティスが今日の脆弱性であることを示しました。
かつてないほど重大な局面を迎えています。
ブロックチェーンインフラの保護には、絶え間ない警戒と業界をリードするセキュリティ対策が必要です。BlockEden.xyz は、多層防御セキュリティアーキテクチャを備えたエンタープライズグレードのノードインフラ�を提供し、開発者や企業が進化する脅威に耐えうる基盤の上に構築できるよう支援します。
暗号資産のマネーロンダリングは 2025 年に 820 億ドルにまで爆発的に増加しました。これはわずか 5 年前の 100 億ドルから 8 倍の増加です。しかし、真のストーリーはその驚異的な金額ではありません。それは金融犯罪自体の「産業化」です。プロの洗浄ネットワークは現在、洗練された Telegram ベースのマーケットプレイスを通じて毎日 4,400 万ドルを処理しており、北朝鮮は核計画の資金調達のために暗号資産の窃盗を武器化しました。さらに、世界的な詐欺を可能にするインフラは、合法的な暗号資産の普及よりも 7,325 倍も速いスピードで成長しています。アマチュアの暗号資産犯罪者の時代は終わりました。私たちは今、組織化され、プロフェッショナル化されたブロックチェーン犯罪の時代に入っています。
2025 年のクリスマスイブ、仮想通貨界の多くの人々が休暇を過ごしている中、攻撃者は Trust Wallet の Chrome 拡張機能に悪意のあるアップデートをプッシュしました。48 時間以内に、2,520 個のウォレットから 850 万ドルが消失しました。数千人のユーザーのシードフレーズが、日常的なテレメトリデータを装って密かに収集されていました。しかし、これは孤立した事件ではありませんでした。それは、数週間にわたって仮想通貨開発エコシステム全体に広がっていたサプライチェーン攻撃の集大成だったのです。
『デューン 砂の惑星』のサンドワームにちなんで名付けられた Shai-Hulud キャンペーンは、2025 年で最も攻撃的な npm サプライチェーン攻撃を象徴しています。この攻撃は 700 以上の npm パッケージを侵害し、27,000 以上の GitHub リポジトリを感染させ、487 の組織にわたる約 14,000 の開発者シークレットを露出させました。被害総額は 5,800 万ドルを超える仮想通貨に上り、仮想通貨史上、開発者を標的とした最もコストのかかる攻撃の一つとなりました。
ユーザーに悪意のあるソフトウェアをダウンロードさせる一般的なマルウェアとは異なり、サプライチェーン攻撃は開発者がすでに信頼しているツールを汚染します。Shai-Hulud キャンペーンは、ほぼすべての仮想通貨ウォレット、DeFi フロントエンド、Web3 アプリケーションを含む、ほとんどの JavaScript 開発を支えるパッケージマネージャーである npm を武器化しました。
攻撃は 2025 年 9 月の第 1 波から始まり、約 5,000 万ドルの仮想通貨盗難をもたらしました。しかし、オペレーションの真の巧妙さを示したのは、11 月の「The Second Coming(再来)」でした。11 月 21 日から 23 日にかけて、攻撃者は Zapier、ENS Domains、AsyncAPI、PostHog、Browserbase、Postman を含む主要プロジェクトの開発インフラを侵害しました。
伝播メカニズムは優雅でありながら恐ろしいものでした。Shai-Hulud が正当な npm パッケージに感染すると、プリインストールスクリプトによってトリガーされる 2 つの悪意のあるファイル(setup_bun.js と bun_environment.js)を注入します。インストール後にアクティブ化される従来のマルウェアとは異なり、このペイロードはインストールが完了する前、さらにはインストールが失敗した場合でも実行されます。開発者が何かがおかしいと気づく頃には、彼らの認証情報はすでに盗まれています。
このワームは、侵害された開発者によって維持されている他のパッケージを特定し、悪意のあるコードを自動的に注入して、新しい侵害されたバージョンを npm レジストリに公開します。この自動化された伝播により、攻撃者の直接的な介入なしにマルウェアが指数関数的に広がることが可能になりました。
侵害された npm パッケージと Trust Wallet ハックの関連性は、サプライチェーン攻撃がいかにして開発者からエンドユーザーへと連鎖するかを明らかにしています。
Trust Wallet の調査により、11 月の Shai-Hulud 発生時に開発者の GitHub シークレットが露出していたことが判明しました。この露出により、攻撃者はブラウザ拡張機能のソースコード、そして極めて重要なことに、Chrome ウェブストアの API キーへのアクセス権を手に入れました。これらの認証情報を武器に、攻撃者は Trust Wallet の内部リリースプロセスを完全にバイパスしました。
2025 年 12 月 24 日、Trust Wallet の開発者ではなく、攻撃者によって公開された Trust Wallet Chrome 拡張機能のバージョン 2.68 が Chrome ウェブストアに登場しました。悪意のあるコードは、拡張機能に保存されているすべてのウォレットを反復処理し、各ウォレットに対してニーモニックフレーズの要求をトリガーするように設計さ��れていました。ユーザーがパスワードまたは生体認証で認証したかどうかにかかわらず、シードフレーズは正当な分析データを装って、攻撃者が制御するサーバーに密かに持ち出されました。
盗まれた資金の内訳は以下の通りです:ビットコインで約 300 万ドル、イーサリアムで 300 万ドル以上、その他ソラナや各種トークンが少額でした。数日以内に、攻撃者は中央集権型取引所を通じて資金の洗浄を開始しました。ChangeNOW へ 330 万ドル、FixedFloat へ 34 万ドル、KuCoin へ 44 万 7,000 ドルが送金されました。
おそらく最も不気味なのは、Shai-Hulud マルウェアの「デッドマンズスイッチ」メカニズムです。ワームが GitHub や npm で認証できない場合、つまり伝播と持ち出しのチャネルが切断された場合、ユーザーのホームディレクトリにあるすべてのファイルを消去します。
この破壊的な機能には複数の目的があります。検出の試みを罰し、攻撃者の足跡を隠す混乱を引き起こし、防御側がコマンドアンドコントロール(C2)インフラを遮断しようとした場合の交渉材料となります。適切なバックアップを維持していない開発者にとって、クリーンアップの失敗は、認証情報の盗難に加えて壊滅的なデータ損失を招く可能性があります。
攻撃者は心理的な巧妙さも示しました。Trust Wallet が侵害を発表した際、同じ攻撃者がその後のパニックを利用したフィッ��シングキャンペーンを開始し、「ウォレットの確認」のためにリカバリーシードフレーズの入力を求める偽の Trust Wallet ブランドのウェブサイトを作成しました。一部の被害者は 2 度被害に遭いました。
Binance の共同創設者である Changpeng Zhao (CZ) は、Trust Wallet の不正利用は「十中八九」内部関係者、またはデプロイ権限に事前にアクセスできた人物によって実行されたと示唆しました。Trust Wallet 自身の分析では、攻撃者が 2025 年 12 月 8 日以前に開発者のデバイスを制御したか、デプロイ権限を取得した可能性があることが示唆されています。
セキュリティ研究者は、国家が関与している可能性を示唆するパターンを指摘しています。クリスマスイブというタイミングは、セキュリティチームの手が薄くなる連休中に攻撃するという、一般的な高度標的型攻撃(APT)の手口に従っています。Shai-Hulud キャンペーンの技術的な巧妙さと規模、そして迅速な資金洗浄は、典型的な犯罪組織を超えたリソースがあることを示唆しています。
Trust Wallet の事件は、クリプトセキュリティモデルにおける根本的な脆弱性を浮き彫りにしました。ブラウザ拡張機能は、ウェブページの読み取りや変更、ローカルストレージへのアクセス、そして暗号資産ウォレットの場合は数百万ドルに相当する鍵の保持といった、非常に強力な権限を持って動作します。
攻撃対象領域(アタックサーフェス)は広大です:
クリプトユーザーに対するブラウザ拡張機能への攻撃は、これが初めてではありません。過去の事例には、VS Code 拡張機能を標的にした GlassWorm キャンペーンや、FoxyWallet Firefox 拡張機能の詐欺などがあります。しかし、Trust Wallet の侵害は金額ベースで最大規模であり、サプライチェーンの侵害がいかに拡張機能攻撃の影響を増幅させるかを証明しました。
Binance は、影響を受けた Trust Wallet ユーザーに対し、「ユーザーのための安全資産基金(SAFU)」を通じて全額を補償することを認めました。この基金は、2018 年の取引所ハッキングの後に設立されたもので、セキュリティインシデントによるユーザーの損失をカバーするために、取引手数料の一部を予備として保持しています。
補償を決定したことは重要な前例となりますが、同時に責任の所在に関する興味深い問いを投げかけています。Trust Wallet は、影響を受けた期間中に単にウォレットを開いただけで、ユーザーに直接的な落ち度がないにもかかわらず侵害されました。しかし、根本的な原因は開発者のインフラを侵害したサプライチェーン攻撃であり、それはさらに npm における広範なエコシステムの脆弱性によって可能になったものでした。
Trust Wallet の即時対応には、新しいバージョンのリリースを 2 週間ブロックするためのすべてのリリース API の期限切れ処理、悪意のあるデータ流出ドメインのレジストラへの報告(その結果、迅速な停止措置が取られました)、およびクリーンなバージョン 2.69 のプッシュが含まれていました。12 月 24 日から 26 日の間に拡張機能のロックを解除したユーザーには、直ちに新しいウォレットに資金を移動するようアドバイスされました。
Shai-Hulud キャンペーンは、Trust Wallet をはるかに超えるシステム的な脆弱性を露呈させました:
依存関係を明示的に固定する。 preinstall スクリプトの悪用が成立するのは、npm install が任意のコードを実行できるためです。既知のクリーンなバージョンに固定することで、自動アップデートによって侵害されたパッケージが導入されるのを防ぐことができます。
シークレットは侵害されたものとして扱う。 2024 年 11 月 21 日から 2025 年 12 月の間に npm パッケージをプルしたプロジェクトは、認証情報が漏洩したと想定すべきです。これは、npm トークン、GitHub PAT、SSH キー、およびクラウドプロバイダーの認証情報の無効化と再生成を意味します。
適切なシークレット管理を実装する。 アプリストアの公開のような重要なインフラのための API キーは、プライベートリポジトリであっても、バージョン管理システムに保存すべきではありません。ハードウェアセキュリティモジュール(HSM)や専用のシークレット管理サービスを使用してください。
フィッシング耐性のある MFA を強制する。 標準的な二要素認証は、巧妙な攻撃者によってバイパスされる可能性があります。YubiKey のようなハードウェアキーは、開発者や CI/CD アカウントに対してより強力な保護を提供します。
ウォレットインフラを分散させる。 すべての資金をブラウザ拡張機能に入れたままにしないでください。ハードウェアウォレットはソフトウェアの脆弱性から隔離されており、シードフレーズを侵害された可能性のあるブラウザに一切さらすことなくトランザクションに署名できます。
アップデートが悪意のあるものである可能性を想定する。 ソフトウェアを便利にする自動更新モデルは、同時に脆弱性も生みます。セキュリティ上重要な拡張機能については自動更新を無効にし、新しいバージョンを手動で確認することを検討してください。
ウォレットのアクティビティを監視する。 異常なトランザクションを通知するサービスを利用することで、侵害を早期に察知し、攻撃者がウォレット全体を空にする前に損失を抑えられる可能性があります。
npm エコシステムを強化する。 npm レジストリは Web3 開発にとって重要なインフラですが、ワームのような拡散を防ぐための多くのセキュリティ機能が欠けています。コード署名の義務化、再現可能なビルド、パッケージ更新の異常検知などは、攻撃者の障壁を大幅に高めることができます。
ブラウザ拡張機能のセキュリティを再�考する。 拡張機能が自動更新され、広範な権限を持つ現在のモデルは、多額の資産を保持するためのセキュリティ要件と根本的に相容れません。サンドボックス化された実行環境、ユーザーによる確認を伴うアップデートの遅延、権限の削減などが役立つ可能性があります。
インシデント対応を調整する。 Shai-Hulud キャンペーンは、クリプトエコシステム全体の数百のプロジェクトに影響を与えました。より良い情報共有と連携した対応があれば、侵害されたパッケージが特定されるにつれて被害を限定できたはずです。
暗号資産業界は歴史的に、スマートコントラクトの監査、取引所のコールドストレージ、ユーザー向けのフィッシング対策にセキュリティの努力を集中させてきました。Shai-Hulud キャンペーンは、最も危険な攻撃が、クリプトユーザーが直接やり取りすることのない、しかし使用するすべてのアプリケーションの基盤となる侵害された開発ツール(インフラ)から来る可能性があることを示しています。
Web3 アプリケーションが複雑になるにつれて、その依存関係グラフは拡大します。各 npm パッケージ、各 GitHub アクション、各 CI/CD 統合は、潜在的��な攻撃ベクトルとなります。Shai-Hulud への業界の対応が、これが一度限りの警鐘となるか、あるいはクリプトインフラへのサプライチェーン攻撃の時代の始まりとなるかを決定するでしょう。
現時点では、攻撃者は特定されていません。盗まれた Trust Wallet の資金のうち約 280 万ドルが依然として攻撃者のウォレットに残っており、残りは中央集権型取引所やクロスチェーンブリッジを通じて洗浄されています。広範な Shai-Hulud キャンペーンによる以前の 5,000 万ドル以上の盗難被害の大部分は、ブロックチェーンの仮名性の深淵へと消えていきました。
サンドワームはクリプトの基盤深くに潜り込んでいます。それを根絶するには、業界が初期から当たり前だと思ってきたセキュリティの前提を再考する必要があるでしょう。
安全な Web3 アプリケーションを構築するには、堅牢なインフラが必要です。BlockEden.xyz は、監視機能と異常検知機能が組み込まれたエンタープライズグレードの RPC ノードと API を提供し、開発者がユーザーに影響が出る前に異常なアクティビティを特定できるよう支援します。API マーケットプレイスを探索して、セキュリティ重視の基盤の上に構築を始めましょう。