2025年、仮想通貨フィッシング被害が83%急減も、クジラ狙いの高度化攻撃が増加

2025年、仮想通貨業界はセキュリティ面で劇的な二極化を経験した。フィッシング詐欺による一般投資家の被害額は前年比83%も減少した一方で、大口保有者（クジラ）を標的とした複雑で執拗な攻撃が急増した。

規制強化と教育の浸透が功を奏す

この急減の背景には、各国規制当局（日本のFSAなど）による取引所への厳格なKYC/AML要件の適用と、プロジェクト側による継続的なセキュリティ啓発キャンペーンが大きく寄与している。二段階認証（2FA）の標準化や、疑わしいリンクをリアルタイムで検知するブラウザ拡張機能の普及が、従来型のフィッシングをほぼ無力化した。

標的は「クジラ」にシフト：新たな戦場

しかし、攻撃者側の戦術は単純に進化した。散弾銃的なフィッシングから、特定の大口保有者やプロジェクト責任者を狙い撃つ「水飲み場攻撃」や高度なソーシャルエンジニアリングへと移行。攻撃者は、偽の投資機会や法的手続きを装い、数百万ドル規模の資産移動を誘導しようと試みている。セキュリティ企業の報告書は、これらの「手作業」的な攻撃が2025年に著しく増加したと指摘する。

業界の成長を示す逆説的な指標

皮肉なことに、この攻撃対象の変化は、仮想通貨市場が成熟し、個人投資家の保護が機能し始めた反面、莫大な富が少数のアドレスに集中しているという、伝統金融ではおなじみの構造的問題を露呈させた。攻撃者たちが、もはや小銭を漁るよりも、確実性の高い巨額の標的にリソースを集中させるほどに、この市場は「儲かる」ものになったのだ。

2026年の展望：個人も油断は禁物

一般ユーザーの被害が減ったことは明るい材料だが、攻撃の高度化は止まらない。スマートコントラクトの脆弱性を突いた新しい手口や、AIを利用した超精密な偽情報の流布が次の脅威として浮上している。セキュリティは常にいたちごっこだ。自己保管（セルフカストディ）の責任が増す中、大口保有者だけでなく、すべての投資家が最新の脅威に対する感度を研ぎ澄ましておく必要がある。結局のところ、自分の資産を守れるのは、規制でも取引所でもなく、自分自身だけなのだから。

フィッシング被害と仮想通貨市場サイクルに相関

年次レポートは、詐欺と市場のボラティリティに強い相関があることを明らかにした。フィッシング被害額は第3四半期にピークとなり、3100万ドルの損失を出した。

この急増は、年内最大のイーサリアム価格上昇と重なった。この期間、ETH価格は約5000ドルにまで上昇し、機関投資家の強い関心を集めた。

この動向は、詐欺被害がユーザーのアクティビティと密接に関係し、個人投資家の参入拡大とともに増加することを示している。

攻撃の総件数は減少したが、1件あたりの被害額は年末にかけて高まった。11月には被害者数が42％減る一方、損失総額は137％急増した。

この異常事態は、巧妙な攻撃者が小口ターゲットを見限り、高額資産保有者に狙いを定めていることを示す。この時期の1人あたりの平均被害額は1225ドルまで急上昇した。

この現象は脅威の分化を示す。犯罪グループは大量送信型スパムから「クジラ狩り」へと軸足を移し、資産家を対象にした高度な標的型攻撃を展開している。

同時に、仮想通貨業界の技術的なアップグレードも新たな脆弱性を生んでいる。

参考までに、攻撃者はイーサリアムの「ペクトラ」アップグレードにいち早く対応し、とくにEIP-7702を悪用した。

この機能はアカウント抽象化を通じユーザー体験を向上する設計だが、複数の悪意ある操作を1つの署名にまとめるために悪用され、8月単月だけで250万ドル超の被害が発生した。

スカム・スニファーは、これら攻撃による総被害額は実際にはさらに大きい可能性があるとも指摘した。

同社によれば、追跡対象はオンチェーン上の署名詐欺のみであり、クリップボードマルウェアやソーシャルエンジニアリング、秘密鍵の直接流出による被害は除外されている。