【緊急警告】暗号資産3500億円盗難事件から学ぶ！フィッシング詐欺対策の現実と個人でできる防御策

bgt?aid=250609106691&wid=001&eno=01&mid=s00000005993007035000&mc=1

こんにちは。現役でCSIRTのフォレンジックアナリストをしています。先日、業界に衝撃を与えたニュースが飛び込んできました。なんと2025年上半期だけで、暗号資産の盗難被害額が24億7000万ドル（約3500億円）に達したというのです。

これは昨年の年間被害額をわずか半年で上回る数字。正直、職業柄こうした被害報告には慣れているつもりでしたが、この規模の急激な増加には驚きを隠せません。

バイビットとCetus Protocolの大規模セキュリティ侵害
ウォレット不正アクセスが主要攻撃手段に
フィッシング攻撃の巧妙化と被害拡大
1. 実際のフィッシング手口の例
プラットフォーム別の被害状況
個人でできる効果的な防御策
企業向けの対策も重要
第2四半期の改善傾向
今後の展望と対策
まとめ
一次情報または関連リンク

バイビットとCetus Protocolの大規模セキュリティ侵害

今回の被害額の大部分を占めているのが、バイビットのセキュリティ侵害とCetus Protocolのエクスプロイト（脆弱性を突いた攻撃）です。この2件だけで合計17億8000万ドルもの被害が発生しています。

私が過去に担当した事例でも、大手取引所のセキュリティ侵害は一度発生すると被害が甚大になる傾向があります。これは集中型のサービスに大量の資産が保管されているためです。

ウォレット不正アクセスが主要攻撃手段に

今年上半期の特徴として、ウォレットへの不正アクセスが最も多用された攻撃手段となっており、17億ドル相当の損失をもたらしました。これは全体の約7割を占める数字です。

実際の事例を紹介すると、先月対応した中小企業の案件では、従業員のPCがマルウェアに感染し、ウォレットのシードフレーズ（復元パスワード）が窃取されました。犯人は深夜に不正アクセスを実行し、朝には全ての資産が別のウォレットに移されていました。

bgt?aid=250609106868&wid=001&eno=01&mid=s00000012042012010000&mc=1

bgt?aid=250609106866&wid=001&eno=01&mid=s00000016565003012000&mc=1

フィッシング攻撃の巧妙化と被害拡大

フィッシング攻撃も依然として猛威を振るっており、132件で4億1000万ドルが盗まれています。最近のフィッシング攻撃は非常に巧妙で、正規のサービスと見分けがつかないレベルまで精巧に作られています。

つい先週も、地方の小さな投資家グループから相談を受けました。彼らは「公式」を名乗るメールからのリンクをクリックし、ウォレットの接続を求められました。サイトのデザインは完璧で、URLも一見正規のものに見えましたが、実際には1文字だけ違う偽サイトでした。

実際のフィッシング手口の例

正規URLの文字を微妙に変更（例：binance.com → binance.co）
緊急性を装ったメール（「アカウントが凍結されます」など）
有名人や公式アカウントになりすましたSNS投稿
偽のアップデート通知やセキュリティ警告

プラットフォーム別の被害状況

報告書によると、イーサリアムでの被害が最も多く、164件の事件で15億ドルが盗まれました。次いでビットコインでは10件の事件で3億7300万ドルが盗まれています。

これは各プラットフォームの特性と関係があります。イーサリアムはスマートコントラクト機能が豊富で、DeFi（分散型金融）サービスが多数存在するため、攻撃の対象となりやすいのです。

個人でできる効果的な防御策

CSIRTでの経験から、個人レベルでできる最も効果的な対策をお伝えします。

1. 包括的なセキュリティ環境の構築

まず基本となるのが、信頼できるアンチウイルスソフトの導入です。最新のマルウェアやフィッシングサイトを検知し、リアルタイムで保護してくれます。特に暗号資産を扱う場合は、金融機関レベルのセキュリティが求められます。

2. 通信経路の暗号化

暗号資産の取引を行う際は、必ずVPNを使用することを強く推奨します。特に公共Wi-Fiでの取引は絶対に避けるべきです。VPNは通信を暗号化し、中間者攻撃やパケット盗聴を防いでくれます。

3. 多要素認証の徹底

すべての暗号資産関連サービスで2FA（二要素認証）を有効にしましょう。SMS認証よりも、Google AuthenticatorやAuthyなどのアプリベースの認証を推奨します。

4. ハードウェアウォレットの活用

大きな金額を扱う場合は、ハードウェアウォレットへの保管を検討してください。オンラインから完全に切り離された環境で秘密鍵を管理できます。

企業向けの対策も重要

中小企業の経営者の方からもよく相談を受けますが、従業員教育が最重要です。定期的なセキュリティ研修と、フィッシング攻撃の模擬訓練を実施することで、被害を大幅に減らすことができます。

第2四半期の改善傾向

一方で、第2四半期には8億100万ドルと前四半期比52%減少しており、業界全体のセキュリティ意識向上の効果が見られます。これは各プラットフォームがセキュリティ対策を強化した結果だと考えられます。

今後の展望と対策

CertiKの共同創業者であるロンフイ・グー氏も指摘している通り、業界にはまだ多くの課題が残されています。しかし、個人レベルでの対策を徹底することで、被害に遭うリスクを大幅に減らすことが可能です。

特に重要なのは、「完璧なセキュリティは存在しない」という前提で、多層防御の考え方を取り入れることです。一つの対策が破られても、他の防御層で攻撃を食い止める仕組みを作ることが重要です。

まとめ

今回の3500億円という被害額は確かに衝撃的ですが、適切な対策を講じることで個人は十分に身を守ることができます。セキュリティ投資は決して無駄にはなりません。むしろ、資産を守るための必要経費と考えるべきでしょう。

暗号資産市場の成長と共に、サイバー攻撃も巧妙化していきます。常に最新の脅威情報にアンテナを張り、対策をアップデートしていくことが重要です。