暗号資産交換業を狙うサイバー攻撃は、もはや単なる技術論ではない。国家レベルの攻撃、特定の企業や個人を狙った標的型攻撃、人の心理や行動の隙を突くソーシャルエンジニアリング──そして、それに対して有限の経営資源を何に投じるのかという経営判断が問われている。
「FIN/SUM 2026」2日目の3月4日、金融庁の今泉宣親氏(総合政策局 暗号資産・ブロックチェーン・イノベーション参事官)がモデレーターを務めた「暗号資産のサイバーセキュリティ課題と対応」では、交換業者、セキュリティの実務家、研究者が登壇し、暗号資産業界が直面する現実を率直に語った。
登壇したのは、Penguin SecuritiesのChief Security Officer 大久保智史氏、bitFlyer Holdings 代表取締役 CEO 加納裕三氏、Armoris 取締役専務/CTO 鎌田敬介氏、ジョージタウン大学/バージニア工科大学 研究教授 松尾真一郎氏。議論を通じて浮かび上がったのは、「セキュリティは技術部門の仕事ではなく、経営そのもの」という共通認識だった。
攻撃の入口は古典的、セキュリティホールは人と運用にある
冒頭、大久保氏は、近年の大型流出事件を見ても、攻撃の糸口はブロックチェーンに起因する脆弱性などではなく、「従来型のセキュリティの弱点」にあると指摘した。
開発者アカウントの侵害やソーシャルエンジニアリングなど、従来から知られている攻撃手法が依然として有効であり、「旧来の対策をきちんとやっていれば防げたケースも多い」との見方を示した。一方で攻撃主体は変化しており、「一般の犯罪者ではなく、国家レベルの攻撃を前提に考えなければならない」と述べた。
数百億円規模の資産が動く日本の暗号資産業界は、海外の攻撃者から見れば、大きな外貨獲得の対象になり得る。
「ウォレットを守る技術」は市場では買えない
bitFlyer Holdingsの加納氏は「交換業者はほとんどセキュリティ企業だ」と述べた。注文のマッチングや売買のシステムは既存金融にも存在するが、暗号資産交換業の本質は「ウォレットを守ること」にあるという。
さらにセキュリティを2つに分けて整理した。ひとつは、市場で調達できる「コモディティ化されたセキュリティ」。もうひとつは、ウォレットを守るための交換業固有の技術だ。
「前者は買える。しかし後者は売っていない」
暗号資産交換業のセキュリティ対策は、一般的なセキュリティ製品を導入するだけでは足りず、自社で実務を通じて積み上げるしかないと強調した。
加納氏によると、攻撃手口の99%は標的型攻撃であり、最終的なターゲットは社員だ。フィッシングメール、SNS、USB送付といった定番手口に加え、最近では「オンライン面接」も悪用されているという。応募者として現れ、自身が提示するURLなどをクリックさせようとする。英語の発音に特有の不自然さがあり、軍事用語を使うケースもあると明らかにした。
手口共有は「攻撃者のコスパ」を崩す
加納氏はまた、攻撃手口をすぐに共有することの重要性にも触れた。
攻撃者は多額のコストをかけてマルウェアや侵入手法を構築する。それがすぐ共有され、防御側が対策を打つことができれば、攻撃者にとって投資は無駄になるというわけだ。
「手法をすぐ報告すれば、攻撃者のコスパが悪くなる」と加納氏。
防御側の情報共有は単なる知識交換ではなく、攻撃者の経済合理性を崩す行為になるという考え方だ。
インシデントゼロはあり得ない、重要なのはリスクの“予見可能性”
松尾氏は、まず前提として「インシデントゼロはあり得ない」と述べた。
標的型攻撃は構造的に攻撃側が有利であり、完全防御は現実的ではない。だからこそ重要なのは、リスクの「予見可能性」を高めることだという。
さらに松尾氏は、現在広く使われている暗号技術は、NIST(米国立標準技術研究所)による標準化と世界中の研究者による検証によって支えられていることに触れた。また、世界中に共有される脆弱性情報は、米国の非営利組織MITRE(マイター)などが裏方として支えていると指摘した。
だが、MITREはトランプ政権による予算削減の危機にさらされているという。「来年以降、世界中の脆弱性情報の流通が止まる可能性すらある」と警鐘を鳴らした。
セキュリティは経営課題、暗号資産交換業には“定番モデル”がない
松尾氏が2点目として挙げたのは、セキュリティ負担の重さと暗号資産交換業の経営モデルの問題だ。
暗号資産交換業者には、何にどれだけ投資すべきかという「安定した利益構造」がまだ見えていないと指摘。ISPやインフラ企業のように、一定の利益率のもとで継続投資できるモデルがなく、定番のビジネスモデルが確立できていなければ、セキュリティ投資のための健全な議論は難しくなるという。
金商法移行を控え、セキュリティ投資だけでなく、「責任準備金」の議論も見込まれるなか、ビジネスモデルの確立は急務だと述べた。この問題は、日本のみならず、アメリカでも十分整理されていないテーマだとした。
情報共有より、リソース共有
鎌田氏は、暗号資産業界はその特性上、他業界よりも高い脅威にさらされているとしつつ、伝統金融との違いを整理した。
銀行・保険・証券業界にはもともとシステムリスク管理の枠組みがあり、GRC(ガバナンス・リスク・コンプライアンス)が業務に組み込まれている。一方、暗号資産業界は技術への理解は早いものの、組織全体でリスクを管理する体制はまだ発展途上にあるという。
そのうえで「情報共有は重要だが、本質はリソース共有だ」と指摘。攻撃手法や事例を共有するだけではなく、限られた人材や知見、対応能力を業界全体で補完し合う必要があると述べた。
暗号資産業界は、高度な分析ができる人材や実務経験を持つ担当者がまだ限られている。各社が個別に防御力を高めるだけでなく、業界全体で「守るための基盤」をどう作るかが重要になるとの認識を示した。
黒字は2〜3社──セキュリティ投資できないなら交換業はできない
終盤、加納氏は暗号資産交換業の収益構造にも踏み込んだ。
登録29社のうち、黒字なのは2〜3社程度との認識を示した。さらにセキュリティ、コンプライアンス、監査に大半の経営資源が割かれ、新規事業に回せる余力は10〜20%もないと説明した。
そのうえで、セキュリティ投資は必須であり、「そこに投資できないなら交換業をやってはいけない」と断言し、「このままだとハッキングはまた起きる」と危機感を隠さなかった。
最後に今泉氏は、制度見直しにあたり「芯を食ったスマートなレギュレーション」が必要だと述べた。単に規制を増やすのではなく、経営モデルと投資可能性を踏まえた現実的なルール設計が求められているとの認識を示した。
松尾氏も「経営モデルが解決されなければ、ルールは机上の空論になる」と応じた。
暗号資産業界のセキュリティは、もはや個社の努力だけで完結する課題ではない。共助、標準化、経営設計、制度設計をどう組み合わせるかが、次の論点になりつつある。
PR
ボーナスで始めるのにおすすめな国内暗号資産取引所3選
| 取引所名 | 特徴 |
|---|---|
 Coincheck |
【500円の少額投資から試せる!】 ◆国内の暗号資産アプリダウンロード数.No1 ◆銘柄数も最大級 、手数料も安い ▷無料で口座開設する◁ |
 bitbank |
【たくさんの銘柄で取引する人向け】 ◆40種類以上の銘柄を用意 ◆1万円以上の入金で現金1,000円獲得 ▷無料で口座開設する◁ |
 bitFlyer |
【初心者にもおすすめ】 ◆国内最大級の取引量 ◆トップレベルのセキュリティ意識を持つ ▷無料で口座開設する◁ |
