2025年 仮想通貨関連犯罪が過去最多を記録—CERTIK最新報告が警鐘

セキュリティ監査企業CERTIKの最新年次報告書が衝撃的な事実を明らかにした。2025年、仮想通貨業界における不正アクセス、詐欺、ハッキング事件の総数が史上最高水準に達したという。

攻撃手法の進化

プライベートキーの漏洩やスマートコントラクトの脆弱性を突いた従来型の攻撃に加え、ソーシャルエンジニアリングと高度なフィッシング作戦が急増。詐欺師たちは「最新のDeFiプロトコル」や「限定オファー」を装い、経験豊富な投資家ですら罠にかかるケースが相次いだ。

業界の対応と課題

主要取引所とプロトコル開発チームはマルチシグ認証の強化やリアルタイム異常検知システムの導入で対応を加速。しかし、規制のパッチワーク状態とクロスチェーン技術の複雑化が、犯罪者の足取りを追う当局の努力を常に後手に回らせている。

数字が語る現実

報告書は具体的な数値を示さないものの、前年比で「大幅な増加」を強調。特に分散型金融（DeFi）分野と新興レイヤー1ブロックチェーンが標的の中心となった。損失総額は数十億ドル規模に達したとみられる。

皮肉なことに、伝統金融機関が「暗号の危険性」を説くレポートを出費する費用は、実際に発生した損失額のほんの一部でしかない。業界は技術的イノベーションとセキュリティ投資の両輪で、この信頼の危機に立ち向かう必要がある。

仮想通貨の人間的脆弱性　物理的脅迫が浮き彫りに

レンチアタックとは、攻撃者が身体的な力や脅迫を用いて、仮想通貨の秘密鍵やパスワードの引き渡しを強制する窃盗手法。あらゆる技術的セキュリティを迂回し、技術ではなく個人そのものを標的にする犯罪。

CertiKは指摘している。これらの攻撃はかつて「想定外のリスク」と考えられていたが、現在は「デジタル資産所有への構造的な脅威」に変わった。

「2025年は仮想通貨史上、最も暴力的な年となった」と同社は記した。

CertiKのSkynet Wrench Attacks Reportでは、2025年に物理的強要による事件が急増したとされる。認定されたケース数は2024年の41件から、2025年は世界全体で72件に増加した。前年比75％の上昇。

この傾向は年初から加速した。2025年第1四半期だけで21件が発生。第2四半期は16件とやや減少したが、後半に再び増加した。

第3四半期は17件、第4四半期は18件だった。2025年5月が最も暴力的な月であり、10件の攻撃が報告された。続く2025年1月は9件。

誘拐が最も多い手口であり、2025年は25件と最大を占めた。2024年の15件と比べて66％増加している。身体的暴行も急増し、2024年は4件であったが2025年は14件と250％増だった。

こうした攻撃に伴う損失も頻度とともに拡大した。2024年、物理的強要事件による損失は推定2830万ドル。2025年には被害金額が4090万ドルを突破し、価値の損失は44％増加した。

「この数値は、過少報告、非公開の合意、不明な身代金の存在などから、実際の被害を大きく下回る」と同社は記す。「データは、攻撃者がもはやクジラだけでなく、仮想通貨所有が知られているだけの一般ユーザーも標的にしていることを示す」。

欧州が攻撃の震源地に　フランスが最多発生

報告書はさらに、2025年のレンチアタックのうち欧州が世界の40％超を占め、仮想通貨保有者にとって「最も危険な地域」になったと強調した。中でもフランスが最多で19件、他国を大きく上回った。

一方、北米のレンチアタックの占有率は相対的に減少した。2025年は世界全体の12.5％で、2024年の36.6％から大きく低下。報告件数は15件から9件へ減少。

「この数字は必ずしも米国が安全であることを示すのではなく、むしろ世界の他地域で全体の件数が増加したことを反映している」と報告書は記す。

アジアも「高リスク」地域であり続けた。世界全体に占める割合は2024年の31.7％から2025年は33.3％へ微増した。

CertiKによれば、アジアでは主にタイや香港といった拠点地域で、仮想通貨を持つ観光客や在留外国人への脅威が集中しているという。

「心理的な影響が最も深刻な長期的被害だろう。過激な暴力の増加により、富裕層は身を隠すようになった。創業者やアーリーアダプターはデジタル上の足跡を消し、公的イベントを避け、犯罪率が低い法域へ移住する動きも起きている」とCertiKは言及する。

2025年にはいくつかの著名事件が、レンチアタックの苛烈化を象徴した。フランスでは国際的な組織犯罪グループが、Ledger共同創業者のダビッド・バラン氏と妻を1月に誘拐し、1000万ユーロ相当の仮想通貨身代金を要求した。2日間の捜査の末、両者は生還し、複数の容疑者が逮捕された。

12月にはウクライナの政治家の息子、ダニーロ・クズミン氏（21歳）がウィーンで罠にかけられ、仮想通貨ウォレットのアクセス目的で拷問され殺害された。犯人は20万ドル分を奪った後、同氏を殺害。後に容疑者は当局に拘束された。

UAEでは、仮想通貨起業家ロマン・ノバク氏と妻が、偽装された商談の場で待ち伏せされ殺害された。攻撃者らは数億ドル規模とされる仮想通貨へのアクセスを狙ったが、ウォレットが期待通りの資産を持たなかったため夫婦を殺害した。

これらは2025年に実際に発生した多くの事件の一部に過ぎない。今や仮想通貨犯罪はオンライン窃盗の域をはるかに超えている。拷問、待ち伏せ、殺害といった暴力行為が、デジタル資産保有者を狙う新たな手口となった。

仮想通貨保有者がレンチ攻撃増加下で現実のリスクを減らす方法

サーティックは、レンチ攻撃がより巧妙化し、純粋な物理的脅迫から心理的な誘導を伴う高度に拡張可能な脅威へとシフトすると警告した。

同社は、攻撃者がディープフェイクによる恐喝や生成AIを活用したソーシャルエンジニアリングをますます利用すると予測する。これには偽のビデオ通話や、大量生産されたハニーポット型の手口で被害者に圧力をかける手法が含まれる。

リスクを減らすために、サーティックは個人に対し、自身の可視性と露出を最小限に抑えることを推奨している。具体的には、ウォレットアドレスやポートフォリオのスクリーンショット、旅行計画、仮想通貨関連の行動パターンなどを共有しないことを挙げている。また、ユーザーは安全な主要ボールトとともに、ダミーのウォレットを用意することも有効とした。

「シード情報と署名デバイスを同じ場所に保管しない。復元情報は自宅に置かない。アカウントを最小限に抑えた旅行用携帯電話を使い、ロック画面のプレビューを無効化し、高額ウォレットは日常端末から隔離すること」とサーティックは述べた。

組織向けには、サーティックは構造的な保護策の重要性を強調した。これは、引き出し限度と遅延設定を備えたマルチシグネチャやMPCシステムの採用、大口取引への制約追加、役員のセキュリティや出張の手順を正式に定めることなどが含まれる。

同社はまた、企業に対し、経営層だけでなく家族や親しい関係者、従業員にもセキュリティ教育を拡大するよう呼びかける。これらの人物も代理的な標的となるケースが増加している。