暗号資産交換業者のサイバー対策強化へ
金融庁が、「暗号資産交換業等におけるサイバーセキュリティ強化に向けた取組方針(案)」を公表し、パブリックコメントの募集を開始したと2月10日に発表した。意見募集の期限は3月11日17:00まで。
今回の方針案は、国内外で暗号資産交換業者を標的としたサイバー攻撃が相次ぎ、多額の暗号資産流出事案が発生している状況を踏まえたものだ。金融庁は、金融審議会「暗号資産制度に関するワーキング・グループ」の報告書でも、暗号資産交換業者がセキュリティ高度化に向けて継続的に取り組む必要性が指摘されていたとしている。
金融庁が特に問題視しているのは、近年の流出事案が、単純な署名鍵の盗難にとどまらず、ソーシャルエンジニアリングや外部委託先を経由した侵入など、間接的かつ巧妙な攻撃手法へと変化している点だ。攻撃者が長期間にわたり侵入準備を行い、その後に不正送金を実行するケースも確認されているという。
金融庁のこうした問題意識の背景には、近年発生した大規模な不正流出事案があると考えられる。 ・海外では、2025年2月に大手暗号資産(仮想通貨)取引所のバイビット(Bybit)がハッキング被害を受け、同社が管理するイーサリアム(Ethereum)のコールドウォレットから、14.6億ドル(約2,241億円)相当の暗号資産が不正なアドレスへ流出したと報じられた。
同社や外部のセキュリティ企業による調査では、バイビットのインフラ自体に侵害の痕跡は確認されていないとされている。一方で、コールドウォレットからの送金が外部ウォレットサービスを通じたマルチシグトランザクションとして実行される過程で、送金承認プロセスが操作された可能性が指摘された。この事案は、暗号資産をコールドウォレットで管理していた場合でも、署名や承認といった運用フロー全体が攻撃対象となり得ることを示した事例と言える。
日本国内では、2024年5月に暗号資産取引所DMMビットコイン(DMM Bitcoin)で、4,502.9 BTC(当時約482億円相当)が同社のウォレットから不正流出する事案が発生した。同社はDMMグループ内から合計550億円の資金調達を実施し、顧客から預かっていたビットコインを全量保証したが、その後、関東財務局から行政処分を受けている。
警察庁などの発表によると、この事案では、北朝鮮を背景とする攻撃グループ「トレイダートレイター(TraderTraitor)」の関与が特定された。攻撃者は、ウォレット管理業務を担う外部委託先の従業員に対し、採用担当者を装って接触し、悪意あるプログラムを実行させることで内部システムへの侵入を果たしたとされている。
このケースでは、取引所本体のウォレット管理だけでなく、委託先を含むサプライチェーン全体のセキュリティ管理が不十分だった点が問題となった。
金融庁は、これまで暗号資産交換業者単体の管理体制を中心に監督を行ってきたが、こうした大規模な不正流出事案が相次ぐ中、委託先や外部サービスを含む周辺環境まで含めた管理の必要性がより明確になってきたことを示している。
なお今回金融庁が公開した方針案では、暗号資産交換業等におけるサイバーセキュリティ対策を、「自助」「共助」「公助」の3つの柱で強化していく考えが示された。
金融庁は、暗号資産交換業者に対し自助の取組として、サイバーセキュリティ対策を最低限のコスト対応ではなく、事業の持続的成長を支える戦略的投資として位置付けるよう求めている。2026事務年度以降は、他の金融業態向けに実施しているサイバーセキュリティセルフアセスメント(CSSA)を、暗号資産交換業者全社に求める方針だ。あわせて、サプライチェーン全体の管理や、人・プロセスを含む総合的な対策の観点から、事務ガイドラインで求めるセキュリティ水準の引き上げも検討するとしている。
共助の取組では、自主規制機関や情報共有機関を通じた業界横断的な連携が重視されており、形式的な体制整備ではなく、実効的に機能する情報共有の仕組みが重要だとの認識が示された。
公助の取組としては、金融業界横断的なサイバーセキュリティ演習への参加拡大や、実運用環境でのテストを通じて、業界全体の課題を可視化し、対応力の底上げにつなげる考えだ。
金融庁は、今回の方針案を通じて、暗号資産交換業者単体の対策強化にとどまらず、委託先を含む業界全体の管理態勢を引き上げることで、暗号資産の流出リスクに構造的に対応していく狙いがあるとしている。
金融庁は、暗号資産交換業者の強固なサイバーセキュリティ態勢構築のため、個別業者の自助の取組み、業界全体の共助の取組みを促し、公助の取組みを通じたサポートを実施すべく、「暗号資産交換業等におけるサイバーセキュリティ強化に向けた取組方針(案)」のパブリック・コメントを開始しました。
— 金融庁 (@fsa_JAPAN) February 10, 2026
参考:金融庁
画像:PIXTA