仮想通貨ハッカー、技術的な脆弱性から「人間の心理」へ標的変更── ソーシャルエンジニアリング詐欺

仮想通貨業界で長らく課題とされてきたスマートコントラクトの脆弱性を狙った攻撃が、ここにきて新たな局面を迎えています。かつてはコードの不備やシステム設計上の欠陥を突いたハッキングが主流でしたが、現在では 人間の心理的な隙 を突く ソーシャルエンジニアリング型詐欺 へと攻撃の重心が移行しつつあると、Web3分野のサイバーセキュリティ企業 サーティック(CertiK) が報告しています。

サーティックの最新調査によれば、2025年に入ってから現在までに仮想通貨業界で発生したサイバー攻撃による被害総額は 21億ドル(約3,300億円) を超えており、その大部分がウォレット乗っ取りやフィッシング詐欺といった、ユーザー個人を狙った攻撃によるものだということが明らかになっています。

 

 

https://jp.cointelegraph.com/news/2-1b-crypto-stolen-2025-hackers-human-psychology-certik 引用コインテレグラフ

 

■ 人間を狙うフィッシング詐欺の手口

仮想通貨におけるフィッシング詐欺とは、攻撃者がSNSやメッセージアプリ、偽サイトを通じて悪意のあるリンクを共有し、ユーザーに偽のウェブサイトへ誘導します。被害者は、そこにウォレットの秘密鍵やリカバリーフレーズなどの機密情報を入力してしまい、結果的に自分の資産を奪われてしまうのです。

サーティックの共同創業者 ロンフイ・グー氏 は、このようなソーシャルエンジニアリング攻撃が急増している背景には、攻撃者たちが「技術的な突破口」を狙うよりも「人間の心理的な隙」を突くほうが効率的だと判断していることがあると述べています。

6月2日に開催されたXスペースの対談番組「Chain Reaction」で、グー氏は次のように語っています。
「今年発生した21億ドルの被害の大部分は、ウォレットの乗っ取りや鍵の管理ミス、さらには運用上の手続きミスによって引き起こされました。これらは技術的な欠陥ではなく、人間の操作ミスや注意不足によるものなのです。」

■ ソーシャルエンジニアリング攻撃が最大の脅威に

サーティックによると、2024年だけでもフィッシング詐欺による業界全体の被害額は 10億ドル超 に達しており、全296件のインシデントの中でも最大の損害をもたらした攻撃手法となっています。

実際、2025年4月30日には、アメリカ在住の高齢者が保有していた仮想通貨ウォレットから 3億3,000万ドル相当のビットコイン(BTC) が盗まれるという大規模な事件が発生しています。この事件も、技術的なハッキングではなく、詐欺師が巧妙に仕掛けたソーシャルエンジニアリングによって引き起こされたものでした。

さらに、近年注目されている手口のひとつに「アドレスポイズニング」があります。この詐欺手法は、攻撃者がユーザーの送金履歴に似せた偽のウォレットアドレスを表示し、ユーザーが誤って偽アドレスに資産を送信してしまうよう仕向けるものです。技術的な侵入行為は不要で、完全に人間の不注意を突いた攻撃と言えます。

■ ソーシャルエンジニアリング攻撃が増加する背景

グー氏はこうした傾向について、「ハッカーは常に最も脆弱な部分を狙うものだ」と指摘しています。

「かつての仮想通貨業界では、スマートコントラクトのコードやブロックチェーンそのものの設計に未熟さが残っており、そこが攻撃の標的となっていました。しかし、近年はDeFiプロトコルの堅牢性が高まり、コードの脆弱性は減少しています。今、最も弱い部分は『人間』そのものなのです。」

このため、今後仮想通貨業界では、システムのセキュリティ向上だけでなく、

  • より安全なウォレットの開発

  • 厳格なアクセス制御

  • 取引のリアルタイム監視

  • シミュレーションによる詐欺対策訓練

といった、人間側のミスや不注意を防ぐための仕組み作りが求められています。

■ 2025年最大の被害は北朝鮮の国家ハッカー集団「ラザルス」

なお、2025年の仮想通貨業界で発生した最大のサイバー攻撃は、2月21日に発生した 仮想通貨取引所バイビット(Bybit) のハッキング事件です。この事件では、北朝鮮の国家支援型ハッカーグループ「ラザルス(Lazarus Group)」が関与し、 14億ドル相当 の仮想通貨資産が盗まれました。これは仮想通貨業界全体でも過去最大規模の被害額となり、業界関係者に大きな衝撃を与えました。

■ 今後求められるセキュリティ対策

今回明らかになったように、仮想通貨業界ではコードやシステムの堅牢性が高まる一方で、「人間の心理」という新たな脆弱性が狙われています。
今後は、ユーザー教育や運用体制の強化、セキュリティツールの導入など、技術と人間の両面からの対策が不可欠です。

「仮想通貨の安全性」は、もはや開発者やプラットフォームだけに任せる時代ではなく、ユーザー一人ひとりの セキュリティ意識 が問われる時代に突入しています。