パスワード単独運用のユーザーが標的になり、数百万〜数千万円が瞬時に流出する不正出金事件が多発しています。なぜ暗号資産は狙われ、なぜ2段階認証が必須なのか——Coincheck事件から最新手口まで解説します。
「朝起きたら口座残高がゼロになっていた」——暗号資産取引所の不正出金被害者が語るのは、いつも同じ言葉です。銀行口座と違い、暗号資産は一度送金されたらほぼ取り戻せません。2018年のCoincheck事件では約580億円のNEM(暗号資産)が流出し、そのほとんどが回収不能でした。取引所は24時間365日稼働しており、深夜でも不正出金は発生します。パスワードだけで運用しているユーザーは、リスト型攻撃(クレデンシャルスタッフィング)の格好の標的です。本記事では、なぜ暗号資産取引所が狙われるのか、主な攻撃経路(フィッシング・パスワードリスト攻撃・SIMスワッピング)の仕組み、そして2段階認証の種類による防御力の差を解説します。
34歳
📝 編集部より
一般的な銀行口座と比べて、暗号資産取引所は攻撃者にとって圧倒的に有利な標的です。その理由は4つあります。
| 24時間365日稼働 | 銀行は深夜・休日に送金制限があるが、暗号資産は常に送金可能。発覚前に出金が完了する |
|---|---|
| 送金の不可逆性 | ブロックチェーン上の送金は原則として取り消せない。銀行振込とは根本的に異なる |
| ミキサー等による追跡困難化 | コインミキサー・プライバシーコインへの変換で資金の流れを追跡できなくなる |
| 国際規制の差異 | 海外取引所へ送金されると各国の法域の違いから回収が極めて困難になる |
| 高額資産の集中 | 1つのアカウントに数百万〜数千万円の資産が集中することが多く、1回の攻撃で高額を得られる |
特に問題なのは「発覚までの時間的余裕が攻撃者にある」点です。深夜2時に不正ログインが発生しても、本人が気づくのは翌朝。その数時間で出金→取引所間移動→コインミキサー通過→海外取引所への移転という一連の操作が完了してしまいます。この時間差が、暗号資産不正出金の被害回復を極めて難しくしている根本原因です。
暗号資産取引所各社が公表しているセキュリティデータでは、2段階認証設定者の不正出金被害は非設定者に比べて大幅に少ないことが確認されています。リスト型攻撃(パスワード流用による自動ログイン試行)は2段階認証が設定されていれば、パスワードが一致してもログインを完了できません。ただし後述のSIMスワッピングやフィッシングでは、SMS型の2段階認証は突破される場合があります。「2段階認証の種類」まで意識することが2026年時点での標準的な防御です。
以下はすべて公開情報・報道に基づく事実です。
当時国内最大の暗号資産取引所の一つであったCoincheckから、ビットコインと異なるブロックチェーンで動作するNEM(XEM)が大量に不正出金された事件。攻撃者はCoincheckの社員のパソコンにマルウェアを感染させることで内部システムへのアクセスを得たと報告されています。顧客資産をオフライン(コールドウォレット)で保管していなかったこと、マルチシグ(多重署名)セキュリティを導入していなかったことが被害拡大の要因とされています。Coincheckは自社資金で約460億円の返金対応を行いました。
Tech Bureau社が運営するZaifからビットコイン等が流出した事件。サーバーへの不正アクセスにより、ホットウォレット(オンライン接続されたウォレット)の資産が盗まれました。この事件を受け、金融庁は暗号資産取引所への立ち入り検査を強化し、資産の一定割合以上をコールドウォレットで保管する義務が業法改正により定められました。
取引所自体のハッキングとは別に、個人ユーザーアカウントへの不正アクセスによる出金被害が2023年以降に急増しています。主な手口はフィッシングサイトへの誘導・パスワードリスト攻撃・SIMスワッピングの3種類で、特にSMS認証のみを2段階認証として設定していたユーザーがSIMスワッピングで突破される事例が国内でも報告されています。被害者の多くは「自分の操作ではないのに出金通知メールが届いた」という形で異変に気づきます。
個人ユーザーへの不正出金で使われる主な攻撃経路を3つ解説します。
取引所の公式メールを装って「セキュリティ確認が必要」「ログインして確認を」というメールが届き、偽の取引所サイトに誘導されます。偽サイトでID・パスワードを入力すると、攻撃者がリアルタイムで本物のサイトにログインします。URLが「bitflyer-security.net」「coincheck-japan.com」など本物と似た偽ドメインであることが多いですが、焦っているときには見分けられません。
他のサービスで漏洩したパスワードを使って、自動化されたツールで取引所ログインを試みます。「同じパスワードを複数サービスで使い回している」ユーザーが標的です。成功率は低くても大量のリストで試行するため、どこかのアカウントには必ず刺さります。特に暗号資産のように資産価値が高いサービスは、攻撃者が集中的にリスト攻撃を仕掛けてきます。
携帯キャリアのサポートに「SIMカードを紛失した」と偽って申告し、本人の電話番号を攻撃者のSIMカードに移し替える手法です。成功すると、SMS認証のコードがすべて攻撃者のスマートフォンに届くようになります。これによりSMS型の2段階認証を突破できます。米国ではSIMスワッピングによる暗号資産盗難が多発しており、日本でも同様の手口が確認されています。
不審なアプリのインストール・メール添付ファイルの開封・偽のソフトウェアダウンロードでPCやスマートフォンにマルウェアが侵入。キーロガーがパスワード入力を記録し、インフォスティーラーがブラウザのクッキー・保存パスワードを窃取します。取引所のログイン情報がすべて攻撃者に筒抜けになります。
編集部
「2段階認証を設定している」と言っても、その種類によって防御力に大きな差があります。
6桁のコードがSMSで届く方式。SIMスワッピングで突破可能。フィッシングでリアルタイムに転送されると無力。設定しないよりは大幅に良いが、暗号資産のような高額資産には不十分。
30秒ごとに変わるTOTPコードをアプリで生成する方式。SIMスワッピングでは突破できない。フィッシングで転送される場合はあるが、SMS認証より大幅に安全。暗号資産保有者の最低限のスタンダード。
物理デバイスによる認証。フィッシングに対しても「正規サイトでのみ機能する」FIDO2規格を使用するため、偽サイトでは認証できない設計。暗号資産の大口保有者・法人向けの最高防御策。
取引所のログイン時に使う2段階認証は、最低でも認証アプリを使うことを強く推奨します。主要な認証アプリとして、Google Authenticator(Googleが提供・シンプルで信頼性高い)とAuthy(バックアップ機能あり・スマートフォン紛失時のリカバリーが容易)が代表的です。認証アプリのセットアップ時に表示されるバックアップコード(リカバリーコード)は必ず紙に印刷してオフラインで保管してください。このコードがないと、スマートフォンを紛失した際にアカウントにアクセスできなくなる可能性があります。
暗号資産取引所の不正出金から口座を守るために、編集部が推奨する5つのステップです。
Google AuthenticatorまたはAuthy(推奨:Authy、バックアップ機能があるため)をインストールし、各取引所の2段階認証設定でアプリ認証に変更します。設定時に表示されるバックアップコードは必ず紙に印刷してオフライン保管してください。SMS認証を残したまま追加するのではなく、可能であればSMS認証は無効化することを推奨します。
取引所の登録メールアドレスは、他のサービスで一切使用しない専用アドレスを作成してください。パスワードも取引所専用の、12文字以上の英数字記号混合の強力なものを設定します。パスワードマネージャー(1Password・Bitwarden)を使えば管理が楽になります。「取引所=金庫」という認識で、専用の鍵を作ることが基本中の基本です。
ログイン通知・出金通知・設定変更通知をすべてオンにしてください。不正ログインが発生した場合、即座に通知メールが届きます。メールを受信したらすぐに確認できるよう、取引所のメールアドレスからの通知は別フォルダで管理することを推奨します。「深夜の知らない場所からのログイン通知」が来たら即座にパスワード変更と2段階認証の確認が必要です。
Ledger Nano・Trezorなどのハードウェアウォレット(コールドウォレット)は、秘密鍵をオフラインで管理するため、取引所がハッキングされても影響を受けません。「当面取引しない大口資産はコールドウォレット、取引に使う資産だけ取引所に置く」という分散管理が暗号資産保有のベストプラクティスです。ハードウェアウォレットの設定時のシードフレーズ(24ワード)は紙に書いて耐火金庫で保管してください。
VPNを使いながら取引所にアクセスすることで、通信の傍受リスクを下げられます。特にNordVPNの「Threat Protection Pro」機能は、既知のフィッシングドメインへのアクセスを自動でブロックします。「本物のサイトだと思ってURLをクリックしたら偽サイトだった」というケースを、技術的に防ぐ追加の防御層として機能します。
暗号資産取引所を装ったフィッシングサイトは日々更新されています。NordVPNはそのデータベースを常時更新しており、フィッシングURLへのアクセスを接続前の段階でブロックします。公共Wi-Fiでの取引所アクセスも、VPN経由なら通信が暗号化されて安全です。
NordVPNを公式サイトで見る →
📝 編集部より
「2段階認証を設定しているから安心」と思っているSMS認証ユーザーへ、具体的に何が問題なのかを整理します。
SMS認証の最大の弱点は「SMSが届く電話番号を奪われると突破できる」という点です。SIMスワッピング(携帯キャリアに虚偽申告して自分のSIMに電話番号を移す)が成功すれば、取引所から送られてくる認証コードがすべて攻撃者のスマートフォンに届きます。また、フィッシングサイトでIDとパスワードを入力した場合、攻撃者がリアルタイムで本物の取引所にログインしてSMS認証コードの入力まで求めてきます。「今届いたSMSコードを入力してください」というフィッシングサイトの画面の指示通りに入力すると、2段階認証を自分で突破させることになります。
一方、認証アプリ(TOTP)の場合、コードは30秒ごとに変わり、コードが生成される端末(スマートフォン)が物理的に手元にないと取得できません。SIMスワッピングでは突破できず、フィッシングでリアルタイムに転送しようとしても30秒以内での利用に制限されるため難易度が格段に上がります。暗号資産取引所では、編集部として認証アプリへの切り替えを強く推奨します。
暗号資産取引所の不正出金は、「24時間稼働・不可逆な送金・追跡困難」という特性から、銀行口座よりも大幅にリスクが高い被害類型です。2018年のCoincheck事件(580億円)から現在に至るまで、個人ユーザーへの不正アクセスは止まっていません。
防御の核心は5点:①認証アプリに切り替える(SMS認証では不十分)、②取引所専用のメールアドレス・パスワードを使う、③メール通知を全有効化して異変を即検知、④大口資産はコールドウォレットで保管、⑤NordVPNのThreat Protection Proでフィッシングサイトを自動ブロック。特にSMS認証から認証アプリへの切り替えは今日中に実施してほしい最優先の対策です。
📌 本記事の事件情報は金融庁・各取引所の公式発表・報道に基づきます。2026年6月時点の公開情報に基づいており、最新情報は各公式発表をご確認ください。
暗号資産取引所の不正出金から口座を守るための3つの行動です。
📚 主な情報源:金融庁「暗号資産交換業者に関する行政処分」「資金決済法改正の概要」、Coincheck公式発表(2018年)、Zaif公式発表(2018年)、FBI IC3 Cryptocurrency Fraud Report、各取引所公式セキュリティガイド。2026年6月時点の公開情報に基づきます。
