2025年第3四半期、暗号資産セキュリティの状況は重大な転換点を迎えました。プロトコルの脆弱性は監査の強化により減少している一方で、ソーシャルエンジニアリングが主要な脅威として急増し、 フィッシング攻撃による資産盗難額は2億ドル以上 今年だけでも、機関投資家による「クジラ」攻撃が45%増加していることが明らかになっています。これは、最も洗練された保有者でさえもリスクにさらされていることを示しています。
これらは抽象的な脅威ではなく、現実世界に壊滅的な影響を及ぼします。2025年に発生したCoinbaseの内部情報漏洩事件を例に挙げましょう。この事件では、サイバー犯罪者は複雑なコードを解読する必要はありませんでした。彼らはソーシャルエンジニアリングを用いて海外のサポートスタッフに賄賂を渡し、機密性の高い顧客データを漏洩させました。
この侵害により、攻撃者はプラットフォームのユーザーを標的とした高度な攻撃を仕掛けるために必要な個人情報を入手しました。Coinbaseは20万ドルの身代金要求を拒否しましたが、数億ドルに上る可能性のある賠償費用に直面しました。この事件は、人間的要素が最も脆弱な要素であることが多いことを痛感させ、すべての資産保有者にとって警戒が最優先事項であることを改めて示しています。
詐欺インフラがより専門化されるにつれて、攻撃者は暗号セキュリティを回避して 一つの脆弱性を悪用する スマート契約 パッチを当てることはできません: 人間の信頼。 たった 1 つの悪意あるシグネチャで、一瞬にして財源をすべて使い果たしてしまう可能性があるため、こうした高度な戦術を識別する方法を学ぶことが、デジタルの未来を守る唯一の方法です。
信頼の産業化:監査だけでは不十分な理由
長年、業界は「コードが監査されていれば資産は安全だ」という安易な思い込みで事業を展開してきました。しかし、確かなデータによってこの思い込みは覆されました。2025年だけでも、 17億ドルが盗まれました 暗号詐欺や不正行為によるもの。これは、スマートコントラクトのセキュリティ向上によって、攻撃者がより攻撃しやすいターゲットに移行せざるを得なくなっただけであることを示す驚異的な数字です。 承認層。
2026年の世界では、フィッシングが蔓延しています。なぜなら、暗号セキュリティを完全に回避できるからです。正当な鍵所有者が騙されて悪意のある関数に署名してしまうと、プロトコルのコードがどれほど堅牢であっても意味がありません。こうした戦術の有効性は否定できません。 なりすまし詐欺は前年比1,400%増加したAI を活用したディープフェイクや洗練された「クローン」 UI を活用して、ユーザーの信頼を武器にします。
さらに、これらの攻撃の「爆発半径」は機関投資家の領域にまで拡大しており、詐欺アドレスへの平均支払額は 253%、ほぼ 2,800件あたりXNUMXドルもはや、小規模な小売店での窃盗だけではありません。組織のワークフローを組織的に標的とした攻撃が横行しており、たった一度の承認漏れで資金が瞬時に枯渇する可能性があります。
最終的には、 暗号セキュリティ コードで止まると失敗します。真の脅威は壊れたスマートコントラクトではなく、業界に数十億ドルの損害を与えている不正な承認経路です。 フィッシングが根強く残っているのは、認識不足によるものではなく、Web3 スタック内の構造的なインセンティブとシステム的な脆弱性によるものです。
暗号フィッシングを理解することが重要な理由
暗号フィッシングは信頼を盗むことを産業化したもので、攻撃者は正当なブランド、ワークフロー、インフラストラクチャを偽装して、資格情報、承認、または資産の移転を許可するシードフレーズを抽出します。
この定義は、フィッシングを単に「偽メール」や「疑わしいリンク」と捉える時代遅れの考え方を覆すものです。今日では、フィッシングには以下のものが含まれます。
- インフラストラクチャの偽装: 偽の RPC エンドポイントとクローン化された dApp。
- サプライチェーンの侵害: 信頼できるライブラリに悪意のあるコードが挿入されました。
- 承認操作: 通常のログインのように見える不正なトランザクション要求。
これは、標準的な操作手順とまったく同じように見えるように設計されたワークフロー レベルの詐欺です。
現実世界の暗号フィッシング事件の兆候
最近の四半期のデータは、攻撃の実行方法における具体的な行動の変化を浮き彫りにしています。
- 損失集中: たとえば、2025年第3四半期のデータでは、ETHの上昇と直接相関するフィッシングによる損失の顕著な急増が示されており、市場の速度と詐欺の成功との関連が確認されています。
- クロスチェーン 排水: インシデントはもはや 1 つのチェーンに限定されておらず、攻撃者はクロスチェーン ドレイン ツールを使用して、複数のネットワークにわたって同時に資産を剥奪しています。
- ディープフェイクのなりすまし: ディープフェイクの音声や動画を使用して経営幹部を装い、緊急の業務操作を装って送金を承認する詐欺が目立って増加しています(高額詐欺では約 40%)。
- 失効までの時間差: 承認の取り消しが遅れるという重大な欠陥が依然として存在します。データによると、dAppが侵害されたことが判明した後でも、多くのウォレットは無制限の承認を数日間有効のままにしています。
ビジネスにとっての教訓は明らかです。完璧な予防よりも検出速度が重要です。
暗号通貨とWeb3でフィッシングが蔓延する理由
フィッシングが根強く残っているのは、認識不足によるものではなく、Web3 スタック内の構造的なインセンティブとシステム的な脆弱性によるものです。
人間参加型システム
暗号資産スタックは、どれほど自動化されていても、最終的には人間の判断に依存します。実際、2025年は暗号資産ハッキングの記録上最悪の年となりましたが、これはスマートコントラクトの欠陥ではなく、単純な人為的ミスが原因でした。セキュリティ専門家は、パスワードの漏洩、鍵の盗難、従業員の不正操作といった運用上の欠陥が、最大の侵害の主因であったことを確認しています。
オンチェーンコードのセキュリティは向上していますが、攻撃者はより予測可能な脆弱性、つまり「人」へと焦点を移しています。鍵管理やマルチシグ署名、ベンダーとのコミュニケーションに至るまで、こうした人間との接点は今や最も重要な攻撃対象となっています。人間がトランザクションを承認できる場合、人間は騙されて誤ったトランザクションを承認してしまう可能性があります。この現実は、セキュリティにおける最大の課題がもはやコードだけにとどまらず、画面の向こう側にいる人間を標的とする高度なソーシャルエンジニアリングから身を守ることにあることを示しています。
市場循環リスク
詐欺は注目度の低さに伴って発生します。市場が急騰すると、取引活動が増加し、緊急性が高まり、デューデリジェンスが低下します。攻撃者は、取引速度の速い市場では、取引業者が検証手順を省略して取引を実行したり、エアドロップを請求したりする可能性が高くなることを知っています。
セキュリティ移行
攻撃者は、最も抵抗が少なく、最もROIの高い経路を辿ります。DeFiプロトコルが再入攻撃やフラッシュローン攻撃に対するコードを強化するにつれて、コードのハッキングはコストがかかり困難になりました。一方、人間のハッキングは依然として安価でスケーラブルなままです。
企業のなりすまし
ビジネスメール詐欺(BEC)は暗号通貨にも適応しています。攻撃者はコンプライアンスデスク、偽のベンダー、サポートエスカレーションチームを装い、「KYC更新」や「ウォレット再検証」といった官僚的な言葉遣いを駆使して、運用担当者の警戒を緩めようとします。
最も一般的な暗号通貨フィッシング攻撃パターン
攻撃のメカニズムを理解することは、強力な防御を構築するための第一歩です。オンチェーンのセキュリティは向上していますが、攻撃者は人的要素に焦点を移し、洗練されたフィッシング手法を用いて、最も堅牢なプロトコルさえも回避しています。業界が進化するにつれて、脅威も進化しています。これらは現在、エコシステム全体のウォレットから資金を流出させている攻撃パターンです。
1. 特徴的なフィッシングと金策
これは今日の暗号資産窃盗の中で最も直接的かつ壊滅的な形態です。攻撃者は 悪意のある分散型アプリケーション(dApps) or 正当なものを複製する, 標準の接続またはログイン要求のように見えるものに署名するようユーザーに求めます。 実際には、ユーザーは「許可」署名や「許可額の増額」機能など、悪質なトランザクションを承認しています。
署名が完了すると、攻撃者はユーザーのウォレットにアクセスし、資産を送金する権限を付与されます。被害者とのやり取りを一切必要とせず、密かに資金を流出させることができます。この戦術は、攻撃者が富裕層を狙って最大の効果を発揮する「ホエールハンティング」の常套手段となっています。
ケーススタディ:2025年の「捕鯨」の台頭
2025年を通して、セキュリティアナリストはフィッシング戦略に大きな変化があったことを指摘しました。被害者総数は減少したものの、個々のインシデントによる金銭的損失は急増しました。攻撃者は、大規模で低価値のスパムキャンペーンから離れ、大口資産保有者を狙った高度な標的型攻撃に注力し始めました。2025年11月には、フィッシング被害者数は40%以上減少した一方で、これらの攻撃による金銭的損失総額は137%急増しました。この変化は明確な傾向を示しています。犯罪者は、1回の攻撃が成功すれば数百万ドルもの利益が得られる、高価値の標的を特定し、侵害するために、より多くのリソースを投入しているのです。
ケーススタディ:イーサリアムの「Pectra」アップグレードの悪用
攻撃者は新しい技術を武器化することにも積極的です。アカウントの抽象化を通じてユーザーエクスペリエンスを向上させる機能を導入したイーサリアムの「Pectra」アップグレード後、犯罪者は新たなエクスプロイトを発見しました。彼らは特定のイーサリアム改善提案(EIP)を悪用し、複数の悪意のある操作を単一の署名リクエストにまとめました。何も知らないユーザーは、通常の操作を実行していると思い込み、ウォレットの残高を枯渇させる一連のトランザクションを誤って承認してしまいました。この手法だけで、1ヶ月で250万ドル以上の損失が発生しました。これは、ユーザーが注意を払わなければ、プロトコルの改善でさえも新たな攻撃ベクトルを生み出す可能性があることを実証しています。
2. 偽のサポートと2FAワークフロー
この方法は、確立されたセキュリティ手順に対するユーザーの信頼を悪用します。攻撃者は 洗練されたプロフェッショナルな「セキュリティチェック」ウェブサイト or 正規のプラットフォームを完全に模倣したポップアップ MetaMask、Ledger、Trezorなど。これらの偽のインターフェースは、セキュリティ侵害や不正ログインの試みを示唆する警告を表示し、ユーザーに緊急感を与えることがよくあります。
その後、ワークフローはユーザーを一連の「検証」手順へと導きます。これらの手順は、ほとんどの場合、12語または24語のシードフレーズの入力を求めることで終了します。ユーザーは日常的なユーザー体験によって2要素認証のプロンプトやセキュリティチェックを期待するように馴染んでいるため、疑念が薄れ、詐欺に引っかかりやすくなっています。
ケーススタディ:Coinbaseのなりすまし詐欺
2025年12月、ブルックリン在住の男が、約1,600万ドルを詐取した詐欺を企てたとして起訴されました。犯人はCoinbaseのカスタマーサービス担当者になりすまし、ユーザーに連絡を取り、アカウントの不正利用に関する(虚偽の)警告を発しました。彼らは巧みに被害者を誘導し、詐欺師が管理するウォレットに資金を移すことで「安全」を確保しました。この詐欺が信憑性を高めたのは、攻撃者が以前の内部情報漏洩で漏洩した顧客データを使用し、被害者の名前を挙げてアカウントの詳細を参照できたためです。
3. メール詐欺とベンダーのなりすまし
この攻撃ベクトルは、古典的なソーシャルエンジニアリングと暗号ネイティブのコンテキストを組み合わせたもので、多くの場合、次のようなものから始まります。 攻撃者がベンダー、パートナー、または従業員の電子メール アカウントなどの信頼できる第三者を侵害します。 そこから、非常に説得力のある詐欺を実行できるのです。
よくあるシナリオは、攻撃者が請求書メールのスレッドを傍受することです。攻撃者は侵害したアカウントを使用してスレッドに返信し、財務部門に支払い情報が変更されたと伝え、新しい暗号アドレス(攻撃者が管理するアドレス)を提供します。このリクエストは正当なメールアドレスから送信され、実際のビジネス会話の中で行われるため、手遅れになるまで精査をすり抜けてしまうことがよくあります。
ケーススタディ:偽の請求書に騙されたVCファンド
著名な暗号資産ベンチャーキャピタルファンドが、ポートフォリオ企業のメールアカウントを攻撃者に侵害された際に、この戦術の犠牲となりました。攻撃者は数週間にわたってメールのトラフィックを監視し、絶好のタイミングを伺っていました。ファンドが追加投資を行う予定だった時、攻撃者はタイミングを見計らって「修正版」の請求書を添付したメールを送信し、数百万ドル相当のUSDCをファンドのアドレスに送金させました。この詐欺行為は数日間気づかれず、資金は回収されませんでした。
4. アドレス中毒
アドレスポイズニングは、ユーザーの不注意を悪用する巧妙で陰険な攻撃です。暗号アドレスは長く複雑なので、 ユーザーは、定期的な支払いのためにアドレスをコピーして貼り付ける際に、取引履歴に頼ることがよくあります。 攻撃者はこの動作を悪用します。
まず、被害者自身のアドレス、または頻繁に使用するアドレスと最初の数文字と最後の数文字が一致する「バニティ」アドレスを作成します。次に、このバニティアドレスから、ごく少量の価値のない暗号資産(「ダスト」と呼ばれる)を被害者のウォレットに送信します。この取引は被害者のウォレット履歴に記録されます。攻撃者は、ユーザーが次回資金を送金する際に、正しいアドレスではなく、履歴から攻撃者のアドレスを不用意にコピーすることを期待しています。
ケーススタディ:アドレスポイズニングによる500,000万ドルの損失
2026年1月、ある暗号資産ユーザーがアドレスポイズニング詐欺により50万ドル以上のUSDTを失いました。ユーザーは使い慣れたアドレスに送金しようとしましたが、攻撃者によって「ポイズニング」された、見た目が似ているアドレスを取引履歴から誤ってコピーしてしまいました。この取引は取り消し不能であり、巧妙な攻撃者による単純なコピー&ペーストのミスが、いかに壊滅的な損失につながるかを浮き彫りにしました。
5. サプライチェーンとインフラストラクチャのフィッシング
エンドユーザーの意識が高まるにつれ、洗練された攻撃者は上流へと移動し、Web3エコシステムのインフラそのものを標的にしています。個々のユーザーを狙うのではなく、開発者や運用者が頼りにしているツールやプラットフォームを侵害しています。
これには、一般的なソフトウェア開発キット(SDK)を複製して無防備な開発者に宣伝したり、偽のプロジェクトステータスページを作成して悪意のあるアップデートを配布したり、公式のコミュニケーションチャネルを侵害して汚染されたバージョンのソフトウェアを配布したりする行為が含まれます。侵害されたライブラリや開発ツールが1つだけでも、数百ものdAppsに感染し、広範囲かつ壊滅的な影響を及ぼす可能性があります。
ケーススタディ: 悪意のある NPM パッケージ
攻撃者グループが、JavaScript開発者に人気のリソースであるNPM(Node Package Manager)レジストリに悪意のあるパッケージを公開しました。このパッケージは有名なWeb3ライブラリを模倣していましたが、このパッケージを使用して構築されたdAppとやり取りしたウォレットから資金を吸い上げるための隠しコードが含まれていました。複数の新規プロジェクトがこの悪意のあるパッケージを知らずに組み込み、脅威が特定・削除されるまでの間に、複数のウォレットドレインインシデントが発生しました。
フィッシング詐欺を阻止する方法
「URLを確認してください」や「南京錠アイコンを探してください」といった一般的なアドバイスは、今日の機関投資家の運用には危険なほど不十分です。ピクセルパーフェクトなdAppクローンや、信頼できる連絡先を模倣したバニティアドレスが蔓延する時代において、人間の警戒心だけに頼るのは、失敗する戦略です。
レジリエンスには構造的な制御が必要です。人為的ミスが発生した場合でも資産を安全に保つ防御システムを構築する必要があります。ここでは、受動的な警戒から、エンタープライズグレードの能動的な保護へと移行する方法をご紹介します。
1. ブラインドサインをやめる: トランザクションシミュレーションを使う
止める最も効果的な方法は 署名フィッシングとは、読めないものには署名を拒否することです。 財布を空にする詐欺のほとんどは、生の 16 進文字列またはわかりにくい「許可」メッセージに署名することに依存しています。
ワークフローにはトランザクションシミュレーションツールを実装する必要があります。これらのツールはサンドボックスとして機能し、トランザクションがブロックチェーンに送信される前に安全な環境で実行します。複雑なコードを人間が読める言語に変換し、何が起こるかを正確に伝えます。 「この署名により、0x123…はあなたのUSDCをすべて使用できるようになります。」
現在のウォレットインターフェースが、資産の動きを人間が判読できる明確なプレビューを提供していない場合、それは盲目的な行動です。クリックを実行する前に、クリックによる結果が表示されるようなインフラに切り替えましょう。
2. マルチシグネチャで単一障害点を排除する
たった一人の人間が不正なリンクをクリックするだけで資金が枯渇する可能性があるなら、運用上のセキュリティはすでに破綻しています。壊滅的な損失を防ぐには、 すべての重要な資産保有に対してマルチ署名(マルチシグ)ウォレットを実装します。
マルチシグ設定 (たとえば、トランザクションを承認するために 5 つのキーのうち 3 つが必要) では、次の 2 つのことが行われます。
- プロセスが遅くなります: これにより一時停止が強制され、他のチーム メンバーがトランザクションの詳細を確認できるようになります。
- それはコンセンサスを生み出します: 攻撃者は同時に複数人をフィッシング攻撃する必要があり、これは疲れた従業員 1 人を騙すよりもはるかに困難です。
3. 署名環境を分離する
リスクを軽減する最も簡単な方法の 1 つは、「高リスク」の活動を「高価値」の資産から分離することです。
メールの確認、Discord の閲覧、X (旧 Twitter) のスクロールに使用するデバイスで、大規模なトランザクションに署名しないでください。 これらのプラットフォームは、マルウェアやソーシャル エンジニアリング リンクの主な伝播元となります。
代わりに、「クリーンルーム」プロトコルを確立します。
- トランザクションの署名専用のラップトップまたはハードウェア デバイスを使用します。
- このデバイスにソーシャル アプリ、電子メール クライアント、または不要なソフトウェアがインストールされていないことを確認します。
- この物理的な分離はファイアウォールとして機能します。日常的に使用するノートパソコンが悪意のあるリンクを介して感染した場合でも、署名鍵は隔離され、安全に保たれます。
4. コピー&ペーストをなくす:厳格な許可リストを適用する
アドレス ポイズニング攻撃が機能するのは、人間が筋肉の記憶とクリップボードに依存しているためです。 取引履歴からアドレスをコピーして貼り付ける行為を禁止することで、この脅威を排除できます。
代わりに、スマートコントラクトまたはウォレットレベルで厳格な「ホワイトリスト」(または許可リスト)ポリシーを実装してください。これにより、資産は事前に審査され、システムにハードコードされたアドレスにのみ送金できるようになります。従業員が誤って「ポイズニング」されたバニティアドレスに資金を送金しようとした場合、そのアドレスは承認リストに含まれていないため、トランザクションは失敗します。
5. 帯域外検証を確立する
最後に、人間同士のコミュニケーションチャネルを強化する必要があります。 ベンダーのなりすましは、電子メールの請求書が正当であるという思い込みで蔓延します。
「帯域外」認証ポリシーを採用してください。支払いアドレスの変更や新しい種類の取引への署名のリクエストを受け取った場合は、そのメッセージに返信しないでください。代わりに、全く異なるチャネルでリクエストを検証してください。リクエストがメールで届いた場合は、連絡先の電話番号に電話をかけてください。Telegramで届いた場合は、安全なビデオ通話で確認してください。
リクエストと検証を切り離すことで、ソーシャル エンジニアが頼りにする信頼の連鎖を断ち切ることができます。
結論:フィッシングを主要なセキュリティリスクとして扱う
フィッシング攻撃の手口が一夜にして進化する時代において、事後対応型のセキュリティ対策はもはや選択肢ではなく、むしろ脅威となります。真の運用レジリエンスは、単一のファイアウォールではなく、エコシステム全体のインテリジェンスにこそ宿るのです。
ChainUp の KYT (Know Your Transaction) テクノロジーが、その優位性をもたらします。リアルタイム監視と強力な暗号フォレンジックにより、リスクの高い活動をプロアクティブにブロックし、万が一問題が発生した場合は迅速に資産を追跡できます。予防と復旧、これらすべてを1つのプラットフォームで実現します。
KYTを組織のワークフロー全体に統合することで、あらゆるレベルで運用セキュリティを強化し、チームが脅威を早期に特定し、ポリシーに基づく承認を自動化し、急速に変化する脅威環境におけるコンプライアンスを確保するのに役立ちます。 チェーンアップ運用の回復力は暗号戦略の一部になります。
侵入が起こるまで防御力をテストするのを待たないでください。 カスタマイズされたリスク評価を取得する ChainUp の KYT フォレンジックが今日の機関ワークフローをどのように強化できるかをご覧ください。
