世界第2位の取引量を誇る暗号資産(仮想通貨)取引所Bybitで、史上最大規模となる約2,100億円規模のハッキング被害が発生しました。2025年2月21日未明に発覚したこの事件では、イーサリアム(ETH)を中心に大量の暗号資産が流出。取引所のセキュリティの重要性が改めて浮き彫りとなりました。
本記事では、Bybitのハッキング事件の詳細な経緯と、現在の暗号資産市場への影響、そして投資家が取るべき具体的な対策について解説します。さらに、過去の主要なハッキング事件の教訓を踏まえ、安全な取引所の選び方や資産防衛の方法についても詳しく解説していきます。
特に暗号資産取引を始めたばかりの方や、セキュリティ対策に不安がある方は、本記事で紹介する安全対策のポイントを参考に、自身の資産を守るための具体的な行動を検討してください。
Bybitで発生した史上最大規模のハッキング被害の概要
2025年2月21日未明、世界第2位の取引量を誇る暗号資産(仮想通貨)取引所Bybitで、過去最大規模となる約2,100億円相当のハッキング被害が発生しました。このインシデントでは、同社のマルチシグコールドウォレットが不正アクセスを受け、大量の暗号資産が流出する事態となりました。
流出した暗号資産の内訳は以下の通りです。
| 暗号資産の種類 | 流出量 |
|---|---|
| イーサリアム(ETH) | 約401,346枚 |
| ステークドイーサリアム(stETH) | 約90,000枚 |
| cmETH | 約15,000枚 |
| cETH | 約8,000枚 |
本件について、ブロックチェーン分析企業Ellipticの共同創設者兼チーフサイエンティストのトム・ロビンソン氏は、「これは史上最大の仮想通貨盗難事件であり、2021年のPoly Networkからの6億1,100万ドルの盗難をはるかに上回る規模である」と指摘しています。
調査によると、今回のハッキングでは巧妙な手口が使用されました。ハッカーは「マスク」された(偽装された)UIを使用し、正規のSafeウォレットのURLを装いながら、実際には署名メッセージによってETHコールドウォレットのスマートコントラクトロジックを変更させたとされています。さらにブロックチェーン調査の専門家による分析では、北朝鮮の国家支援ハッカーグループ「ラザルス」の犯行である可能性が高いと指摘されています。
このハッキング事件は、暗号資産取引所のセキュリティリスクの重大さを改めて浮き彫りにしました。特に個人投資家にとっては、取引所選びの際にセキュリティ対策の確認が極めて重要であることを示す事例となっています。資産を安全に保護するためには、取引所のセキュリティ体制やコールドウォレットの保管比率、補償方針などを事前に確認することが推奨されます。
Bybitのハッキング被害による影響と現在の対応状況
Bybitで発生したハッキング被害は、暗号資産(仮想通貨)市場全体に大きな影響を与えています。事件発覚後、ビットコイン(BTC)は1,500万円から1,420万円へと最大5%下落し、イーサリアム(ETH)も42万8,000円から39万2,000円と8%以上の下落を記録しました。特にBybitの独自トークンであるマントル(MNT)は約20%の大幅な下落となりました。
このような市場の混乱に対し、バイナンスの創設者であるチャンペン・ジャオ氏が支援を表明し、ブロックチェーン分析企業のArkham Intelligenceはハッカーの特定に協力する者への懸賞金として5万ARKMの提供を発表するなど、業界全体で対応に乗り出しています。また、Flashbotsのストラテジーリードであるハス氏は、Bybitの年間収益は流出額を上回っており、顧客への補償は十分可能との見解を示しています。
市場への影響を最小限に抑えるため、取引所各社は取引の監視を強化し、セキュリティ体制の再確認を進めています。また、この事件を受けて、多くの投資家が資産の分散管理やコールドウォレットの活用を検討し始めるなど、セキュリティ意識の向上にもつながっています。
被害規模と流出した暗号資産(仮想通貨)の内訳
今回のハッキング被害による損失総額は、約14億6,000万ドル(約2,170億円)に達しています。これは日本国内で過去最大規模だったコインチェック事件(約600億円)の約3.6倍という、極めて深刻な被害規模となっています。
流出した暗号資産の詳細な内訳は以下の通りです。
| 暗号資産の種類 | 流出量 | 推定被害額(円換算) |
|---|---|---|
| イーサリアム(ETH) | 約401,346枚 | 約1,600億円 |
| ステークドイーサリアム(stETH) | 約90,000枚 | – |
| cmETH | 約15,000枚 | – |
| cETH | 約8,000枚 | – |
この被害規模は、2021年のPoly Network事件(約610億円)を大きく上回り、暗号資産業界における単一のハッキング被害としては過去最大となっています。特に流出したイーサリアムの量は、当時の市場価格で約1,600億円相当にのぼり、市場に大きな動揺を与えました。
Bybitの現在の業務状況
Bybitは現在、ハッキング被害を受けた後も業務を継続しています。被害を受けたのはイーサリアムのコールドウォレットのみであり、他の暗号資産(仮想通貨)の管理システムは正常に機能しているとされています。Bybitの共同創設者兼CEOのベン・ゾウ氏は、問題となったETHコールドウォレット以外のすべてのコールドウォレットは安全であることを強調しています。
具体的な業務状況として、以下の機能が通常通り稼働しています。
- 入金・出金機能(ETH関連を除く)
- 取引機能
- 口座開設・管理機能
これらの機能は24時間体制で監視が強化され、セキュリティチームが専門家と協力して追加の対策を実施しています。また、バイナンスとBitgetから50,000以上のETHがコールドウォレットへ送金されるなど、業界各社からの支援も受けながら、業務の正常化に向けた取り組みが進められています。
ユーザー資産の安全性と補償について
Bybitは今回のハッキング被害に関して、すべての顧客資産は1対1でバックアップされており、損失を完全に補填すると発表しています。ベン・ゾウCEOは、今回流出した資金は同社が管理する総資産の約20分の1に相当すると説明し、補償に必要な資金は十分に確保できていることを強調しています。
補償に関する具体的な対応として、以下の方針が示されています。
- 流出したETHと同額の補償を実施
- パートナー企業からのブリッジローン(つなぎ融資)を活用
- 顧客の出金要請には通常通り対応
なお、今後数日以内に完全なインシデントレポートとセキュリティ対策の詳細が発表される予定です。また、同社は今回の事件を踏まえ、セキュリティ体制の強化とリスク管理の見直しを進めており、より安全な取引環境の構築に取り組んでいます。
暗号資産(仮想通貨)取引所のハッキング手法と対策
暗号資産(仮想通貨)取引所へのハッキング被害は年々巧妙化しており、2022年には業界全体で約38億ドルもの被害が報告されています。これは2021年の33億ドルを上回る規模であり、セキュリティ対策の重要性が一層高まっています。取引所を狙ったハッキングは主に3つの手法で行われ、それぞれに対する適切な対策が求められます。
投資家の資産を守るためには、これらのハッキング手法を理解し、適切な対策を講じることが重要です。特に初心者の投資家は、取引所選びの際にセキュリティ対策の実施状況を重視し、自身でも実施できる対策は積極的に取り入れることが推奨されます。
また、取引所側も定期的なセキュリティ監査やシステムの脆弱性診断を実施し、常に最新のセキュリティ技術を導入することで、ハッキングのリスクを最小限に抑える努力を続けています。
ブリッジ攻撃の仕組みと対策
ブリッジ攻撃は、異なるブロックチェーン間で暗号資産(仮想通貨)を転送する際に発生する攻撃手法です。クロスチェーンブリッジと呼ばれる転送プロトコルの脆弱性を突いて行われ、2022年のRonin Network事件では約615億円相当の被害が発生しました。
この攻撃の主な手法として、以下が確認されています。
- ブリッジコードへのバグ挿入による不正操作
- 暗号鍵の不正取得によるアクセス
- スマートコントラクトの脆弱性を利用した攻撃
対策としては、ブリッジ利用時の安全性確認や、大量の資産移動を行う際の複数回に分けた送金、信頼性の高いブリッジサービスの選択などが重要です。また、取引所側でもマルチシグウォレットの導入やコードの定期的な監査を実施することで、被害の防止に努めています。
ウォレットハッキングの手口と予防法
ウォレットハッキングは、主にホットウォレット(インターネットに接続された状態のウォレット)を標的とした攻撃です。フィッシング詐欺やマルウェアの感染を通じて、ウォレットの秘密鍵や認証情報を盗み取る手法が一般的です。
主なハッキング手法と対策は以下の通りです。
- フィッシングメールによる個人情報の詐取 → 不審なメールやリンクを開かない
- マルウェアによるキー情報の窃取 → セキュリティソフトの導入と定期的な更新
- ソーシャルエンジニアリングによる情報搾取 → 二段階認証の設定と定期的なパスワード変更
最も効果的な予防策は、大量の資産をコールドウォレットで保管し、取引に必要な最小限の資産のみをホットウォレットに置くことです。また、ウォレットのバックアップを定期的に行い、リカバリーフレーズを安全な場所に保管することも重要です。
取引所システムへの不正アクセス事例
取引所システムへの不正アクセスは、サイバー攻撃の中でも最も被害額が大きくなる可能性がある手法です。2025年2月のBybit事件では、マルチシグコールドウォレットのスマートコントラクトを改ざんされ、約2,100億円相当の暗号資産が流出しました。
代表的な不正アクセスの手法としては以下が挙げられます。
- APIキーの不正利用による自動取引の悪用
- 管理者権限の奪取によるシステム操作
- DDoS攻撃による取引所機能の妨害
これらの攻撃に対し、取引所各社は24時間体制での監視システムの導入や、定期的なセキュリティ監査の実施などの対策を講じています。また、大手取引所では保険への加入やセキュリティ会社との提携を通じて、被害発生時の補償体制も整備しています。
利用者側でも、取引所が提供するセキュリティ機能を最大限活用することが重要です。具体的には、二段階認証の設定、API利用時の接続元IPアドレスの制限、取引パスワードの定期的な変更などが推奨されます。また、取引所の選択時には、セキュリティ対策の実施状況や過去の事故対応、補償方針などを十分に確認することが大切です。
過去に発生した主要な取引所ハッキング事件5選
暗号資産(仮想通貨)取引所へのハッキング被害は、業界の発展とともに手口が巧妙化し、被害規模も拡大しています。2022年には業界全体で約38億ドルの被害が報告され、個別の事件でも数百億円規模の被害が発生しています。これまでに発生した主要なハッキング事件を振り返ることで、投資家が取るべき対策や注意点が見えてきます。
また、これらの事件の多くは暗号資産(仮想通貨)市場全体に大きな影響を与え、規制強化や取引所のセキュリティ体制の見直しのきっかけとなっています。セキュリティ対策の重要性を改めて認識し、安全な取引環境の構築に向けた取り組みが続けられています。
FTX事件(2022年)
被害総額と流出経路
2022年11月、当時世界最大級の暗号資産取引所であったFTXで、破産申請直後に約6億ドル(約800億円)もの資産が不正に流出する事態が発生しました。この事件では、取引所の破綻という異常事態の中で、内部関係者による不正アクセスの可能性も指摘されています。
流出資産の内訳は以下の通りでした。
| 暗号資産の種類 | 推定流出額 |
|---|---|
| イーサリアム(ETH) | 約2.5億ドル |
| ソラナ(SOL) | 約1.5億ドル |
| その他のトークン | 約2億ドル |
その後の対応と市場への影響
FTX事件は暗号資産市場に甚大な影響を与え、ビットコインは一時2万ドルを割り込むなど、市場全体が大きく下落しました。また、この事件をきっかけに取引所の資産管理体制や監査の重要性が再認識され、各国で規制強化の動きが加速しました。
バイナンス事件(2019年)
ハッキングの手法と被害規模
2019年にバイナンスで発生したハッキング事件では、ハッカーがAPIキーやユーザーの二段階認証情報を不正入手し、約7,000BTCを流出させました。この手法は高度な技術を用いた組織的な攻撃であり、複数のアカウントを同時に狙う手口が特徴でした。
実施された セキュリティ対策
この事件後、バイナンスは即座にセキュリティ対策を強化しました。SASFという追加のセキュリティレイヤーを導入し、APIキーの管理方法も見直しました。また、ユーザー保護基金(SAFU)を設立し、同様の事態に備えた補償体制も整備しています。
コインチェック事件(2018年)
日本最大規模の被害額
2018年1月、日本の取引所コインチェックで約580億円相当のNEM(XEM)が不正に流出する事件が発生しました。この事件は、ホットウォレットでの管理やマルチシグの未導入など、基本的なセキュリティ対策の不備が原因でした。
補償対応と体制強化
コインチェックは事件後、被害に遭ったユーザーに対して日本円で全額補償を実施。その後、マネックスグループの傘下に入り、セキュリティ体制を大幅に強化しました。この事件を機に、日本では暗号資産取引所に対する規制や監督が強化されることになりました。
マウントゴックス事件(2014年)
業界に与えた影響
当時、世界最大の取引所であったマウントゴックスで、約85万BTCが流出するという大規模なハッキング被害が発生しました。この事件は暗号資産取引所の脆弱性を世界に知らしめる契機となりました。
規制強化のきっかけに
マウントゴックス事件は、暗号資産取引所に対する規制の必要性を世界に認識させる重要な転換点となりました。各国で取引所の登録制や監督体制が整備され、現在の暗号資産規制の基礎が作られました。
Poly Network事件(2021年)
DeFiプラットフォームの脆弱性
2021年8月、クロスチェーンDeFiプラットフォームのPoly Networkで、約6億1,100万ドル相当の暗号資産が不正流出する事件が発生しました。この事件では、スマートコントラクトの脆弱性を突いた攻撃が行われました。
資産回収までの経緯
この事件の特筆すべき点は、ハッカーが最終的に全ての資産を返還したことです。ハッカーは「セキュリティ上の欠陥を指摘するため」に攻撃を行ったと主張し、Poly Networkとの交渉の末、資産を返還。この経験から、DeFiプロトコルのセキュリティ監査の重要性が再認識されました。
安全性を重視した国内取引所3選
暗号資産(仮想通貨)取引所選びで最も重要な要素は、セキュリティ対策の充実度です。日本国内の取引所は金融庁による厳格な監督を受けており、世界的に見ても高水準の安全管理体制を確立しています。ここでは、特に顧客資産の安全性を重視している国内の主要取引所を紹介します。
これらの取引所は、コールドウォレットでの資産管理やマルチシグの採用、保険によるリスクヘッジなど、複数の層による安全対策を実施。さらに、定期的な外部監査やセキュリティ診断を行うことで、継続的な安全性の向上に努めています。
bitbank(ビットバンク)
bitbankは、セキュリティの高さで定評のある取引所です。特に第三者機関からの評価が高く、2018年にはセキュリティ性能で日本一の評価を受けています。
業界最高水準のセキュリティ体制
ビットバンクは、顧客資産の保護を最優先事項として、多層的なセキュリティ対策を実施しています。主な特徴として、以下の対策が挙げられます。
- 24時間365日のセキュリティ監視体制
- AIを活用した不正取引の検知システム
- 定期的なペネトレーションテストの実施
特に取引システムのセキュリティでは、金融機関レベルの厳格な基準を採用。不正アクセスの防止から、取引の安全性確保まで、包括的な対策を講じています。
コールドウォレット保管比率99%以上
ビットバンクでは、顧客の暗号資産の99%以上をコールドウォレットで保管することで、ハッキングのリスクを最小限に抑えています。残りの1%未満のホットウォレット保管分についても、厳重な管理体制を敷いています。
GMOコイン
東証プライム上場企業のGMOインターネットグループが運営する取引所で、豊富な取引ツールと充実したサポート体制が特徴です。
セキュリティ監査の定期実施
GMOコインは、金融庁認可の第一種金融商品取引業者として、高度なセキュリティ体制を構築しています。主な対策として以下を実施しています。
- 四半期ごとのセキュリティ監査
- 外部専門機関による脆弱性診断
- 社内のセキュリティ専門チームによる常時監視
マルチシグ採用による安全管理
GMOコインでは、複数の承認者による署名が必要なマルチシグウォレットを採用し、不正送金のリスクを排除。さらに、以下の追加対策も実施しています。
- 取引限度額の設定機能
- IPアドレスによるアクセス制限
- 二段階認証の必須化
SBI VCトレード
SBIグループ運営の取引所で、手数料の安さとセキュリティの高さが特徴です。証券取引で培ったノウハウを活かした取引システムを提供しています。
金融機関レベルの管理体制
SBIグループの暗号資産取引所として、銀行レベルのセキュリティ基準を採用しています。主な特徴は以下の通りです。
- SBIグループのセキュリティ基準に準拠
- 独自の不正検知システムの導入
- 暗号資産の分別管理の徹底
保険でのリスクヘッジ
SBI VC Tradeは、最大10億円の補償付き保険に加入することで、万が一の事態に備えています。保険でカバーされる範囲は以下の通りです。
| 補償対象 | 補償内容 |
|---|---|
| 外部からの不正アクセス | 最大10億円 |
| 内部犯行による被害 | 最大10億円 |
| システム障害による損失 | 個別に対応 |
さらに、顧客資産の分別管理を徹底し、破綻リスクからも顧客の資産を保護しています。日本国内の取引所として初めて、ブロックチェーン分析企業Chainalysisとも提携し、マネーロンダリング対策も強化しています。
暗号資産(仮想通貨)取引所を安全に利用するためのチェックポイント
Bybitのハッキング事件は、暗号資産(仮想通貨)取引所の利用にあたって、セキュリティ対策の重要性を改めて浮き彫りにしました。安全な取引を行うためには、取引所の選び方から日常的な運用まで、複数の観点からの対策が必要です。
取引所選びで確認すべき5つの項目
信頼できる取引所を選ぶことは、資産を守る第一歩です。以下の5つの重要な項目を必ず確認しましょう。
- 法的規制への対応状況:金融庁への登録有無、コンプライアンス体制の整備
- セキュリティ対策:コールドウォレット保管比率、マルチシグの採用状況
- 補償制度:ハッキング被害時の補償方針、保険の加入状況
- 運営実績:過去のインシデント履歴、対応実績、運営年数
- 資本力:親会社の信頼性、財務状況の透明性
特に日本国内の利用者は、金融庁に登録された取引所を選ぶことが、安全な取引の基本となります。海外取引所を利用する場合は、セキュリティ対策や補償制度をより慎重に確認する必要があります。
ウォレット管理のベストプラクティス
資産を安全に管理するためには、適切なウォレット管理が不可欠です。以下のポイントを意識した運用を心がけましょう。
- 取引に使用する額のみをホットウォレットに保管
- 長期保有資産はハードウェアウォレットで管理
- シードフレーズは物理的に安全な場所に保管
特に大きな資産を保有する場合は、複数のウォレットに分散して管理することで、リスクを軽減することができます。また、定期的なバックアップの作成も重要な対策の一つです。
二段階認証の設定と運用
二段階認証は、アカウントを不正アクセスから守る最も基本的な対策です。以下の点に注意して、確実な設定と運用を行いましょう。
- 認証アプリの利用を推奨(SMSよりも安全)
- バックアップコードの安全な保管
- 定期的なパスワード変更との組み合わせ
また、二段階認証の設定時には、リカバリーコードを必ず別の場所に保管しておくことが重要です。スマートフォンの紛失や故障に備えて、複数の認証手段を用意しておくことをお勧めします。
まとめ:Bybitハッキング事件から学ぶ資産防衛の重要性
2025年2月に発生したBybitのハッキング事件は、暗号資産取引における最大規模の被害となり、セキュリティの重要性を改めて認識させる契機となりました。この事件から得られる主な教訓は以下の通りです。
- コールドウォレット保管でも油断は禁物
- 取引所の信頼性とセキュリティ体制の確認が重要
- 個人でも実施できる防衛策の徹底が必要
最後に、「自己責任」という暗号資産取引の基本原則を忘れずに。取引所は便利なサービスですが、最終的な資産管理の責任は自分自身にあります。セキュリティ対策は面倒に感じるかもしれませんが、資産を守るための必要不可欠な投資と考えて、確実に実施していくことが重要です。
また、今回のような大規模なハッキング事件は、暗号資産市場全体に影響を与える可能性があります。分散投資や適切な資産配分を行うことで、リスクの軽減を図ることも検討すべき対策の一つと言えるでしょう。
コメント