「セキュリティの主張」を拒否し、ウォレットのセキュリティは検証可能性の時代に入りつつあります。

2025年には、Web3は「大規模かつ高頻度な利用」という新たな段階に入り、ウォレットは「暗号資産保管ツール」からオンチェーンのエントリーポイントや取引オペレーティングシステムへと急速に進化するでしょう。市場調査会社フォーチュン・ビジネス・インサイツは、暗号資産ウォレット市場は2025年に約122億ドルに達し、2034年までに985.7億ドルに成長する可能性があると予測しています。

ユーザー側の拡大も同様に明らかです。a16z cryptoは「State of Crypto 2025」の中で、アクティブな仮想通貨ユーザーが約4,000万～7,000万人いると推定しています。一方で、「コインは保有しているが、必ずしもチェーン上でアクティブではない」仮想通貨資産保有者の数は約7億1,600万人です。Crypto.com Researchのレポートでも、2025年上半期には世界の仮想通貨保有者数が6億8,100万人から7億800万人に増加するという数字が示されています。

規模と普及率の上昇は、セキュリティリスクも増大させます。もはや「契約に脆弱性があるかどうか」という問題ではなく、リンクのクリック、ウォレットの接続、承認への署名、資金の送金といったユーザーにとって重要なポイントで、リスクを事前に防ぐことができるかどうかが重要になります。

オンチェーンの世界における攻撃対象領域は、契約上の脆弱性だけにとどまらず、参入障壁の低いフィッシング攻撃、偽ドメイン、カスタマーサービスのなりすまし、認証詐欺など、多岐にわたります。これらはすべて「取引前リスク」と見なされます。例えば、Chainalysisによる「クリプト・ドレイナー」（ウォレットドレイナー／フィッシング認証ツール）の定義では、これらのツールはアカウントのパスワードを盗むのではなく、ユーザーを騙してウォレットに接続させ、悪意のある取引を承認させることで、資産を直接送金することを指摘しています。公開データによると、「ウォレットドレイナー」に関連する損失は2024年に5億ドル近くに上ります。

したがって、Web3ウォレットのセキュリティを向上させるには、契約に脆弱性があるかどうかだけに焦点を当てるのではなく、ユーザー行動の重要なポイントでリスクを積極的に阻止する方法、つまり「取引前のセキュリティ」にさらに注意を払う必要があります。

このような業界背景から、「セキュリティ」は単なるスローガンで語ることがますます困難になっています。むしろ、セキュリティとは、継続的に実証されるべきガバナンス能力の集合体のようなもので、検証、追跡、そしてタイムリーな情報開示が可能かどうかが、ユーザーがウォレットを選択する上で重要な基準になりつつあります。

「セキュリティに関する主張」から「わかりやすいセキュリティ機能のリスト」へ

長らく、ウォレットプロジェクトは「監査済み」「ホワイトペーパーあり」「リスク管理を非常に重視しています」といったフレーズでセキュリティを謳ってきました。しかし、詐欺やフィッシングの蔓延により、こうした「セキュリティに関する主張」は説得力を失っています。ユーザーが実際に被害に遭うのは、リンクのクリック、ウォレットへの接続、そして承認への署名といった、極めて短いインタラクションである場合が多いのです。Chainalysisは「crypto drainers（暗号資産を搾取する人）」を典型的な手口として挙げています。攻撃者は正規のページを偽装し、ユーザーを誘導して承認を完了させ、その後資産を送金します。同社の調査では、Magic Edenページを偽造してOrdinalsユーザーを標的とした悪意ある取引を実行する事例さえも報告されています。

公開データもまた、業界の議論を「分かりやすさ」へと導いています。Security Week誌はScam Snifferの統計を引用し、2024年にはウォレットエンプティによって約5億ドルの損失が発生し、33万2000人以上の被害者が出たと報告しています。こうしたインシデントは、攻撃者が複雑なシステムに侵入する必要はなく、ユーザーがやり取り中にリスクを理解していないことに依存しています。一方、Chainalysisは2025年の開示情報の中で、2024年のオンチェーン詐欺による収益は少なくとも99億ドルになると推定しており、より多くのアドレスが特定されるにつれて、この数字は上方修正される可能性があります。リスクが主に「ユーザー側の読みやすさのギャップ」に起因する場合、ウォレットベンダーはセキュリティをバックエンドエンジニアリングから通信のフロントエンドに移行する必要があります。

その結果、業界のウォレットはますますセキュリティ機能を「製品化」し始めています。単に「当社は安全です」と伝えるのではなく、保護措置をユーザーが理解できるリストに分解して提示します。具体的には、どのトークンが高リスクとマークされるか、どのトランザクションがアラートをトリガーするか、どのアドレスまたはDAppがブロックされるか、そしてその理由などです。この変化の本質は、セキュリティを「資格要件の説明」から「インタラクティブな説明」へと書き換えることです。つまり、ユーザーは署名前に実用的な情報を入手でき、後から監査PDFを確認する必要がなくなります。

このトレンドを受けて、OKX Walletが新たに立ち上げ、アップグレードしたセキュリティセンターページは、「チェックリストベースの表現」の典型的な例を示しています。このページでは、ユーザー向けのセキュリティ機能を3つの「防衛の最前線」として明確に概説しています。トークンリスク検出、トランザクション監視、アドレススクリーニングです。それぞれが「ハニーポットや悪意のある第三者への露出を減らすために高リスクトークンをマークする」、「チェーン上の疑わしいアクティビティを特定するためのリアルタイムクロスチェーン監視」、「悪意のあるDAppやアドレスとのやり取りをブロックする」と、一文で説明されています。このアプローチの利点は、セキュリティ用語に馴染みのないユーザーでも、クリック、署名、送金といった現在の行動と情報を素早く結び付けることができることです。

アクセスするにはここをクリックしてください: OKX ウォレット セキュリティ ランディング ページ監査レポート: https://web3.okx.com/zh-hans/security

さらに重要なのは、「理解できる」ということは「独り言」と同じではないということです。OKX Walletは同じページで「監査レポートを表示」というエントリポイントも提供しており、「機能リスト」と「第三者による検証」をリンクさせています。さらに、ヘルプセンターの監査レポート収集ページでは、監査範囲、発見された問題の数、修正状況がさらに明確に示されており、ユーザーは必要に応じて「機能の理解」から「証拠の検証」へと進むことができます。

「セキュリティに関する主張からわかりやすいチェックリストへ」というこの変化の核となる価値は、セキュリティをより大げさに見せることではなく、より実践可能なものにすることにあります。詐欺が誘導や偽装にますます依存するようになるにつれ、ウォレットがインタラクション ポイントでリスク警告を提供し、「どこが危険なのか、なぜ危険なのか、そして何をすべきか」をユーザーが理解できる言葉で説明する機能は、セキュリティ機能の一部になりつつあり、重要なステップでユーザーが罠に陥るかどうかをますます決定づけるものになっています。

監査情報は「公開」されており、第三者による承認が「リンク」されたものから「検証可能な証拠の連鎖」へと変化します。

ウォレット業界では、監査は長年深刻な問題に直面してきました。多くのプロジェクトが確かに「監査を受けた」ものの、その情報は告知、PDF、ソーシャルメディアへのリポストなどに散在しており、一般ユーザーが「誰が監査したのか、何を監査したのか、修正されたのか、いつ更新されたのか」をすぐに把握することは困難でした。OKX Walletが今回、より顕著な動きを見せたのは、公開されているサードパーティの監査レポートを統一されたエントリポイントに集約し、ページ上に「2022年11月11日公開、2025年11月17日更新」と直接ラベル付けしたことです。これにより、ユーザーはこれが単発の表示ではなく、継続的に維持されている情報開示の窓口であることをすぐに判断できます。

このコレクションページで公開されているエントリから判断すると、その開示範囲は従来の監査対象である「スマートコントラクト」に留まりません。CertiKの2024年5月23日のエントリを例にとると、監査内容はモバイルとフロントエンドの主要なコードパスを明確に網羅しており、iOS/Androidコンポーネント、フロントエンドのReactJS UIコンポーネント、キーリングとやり取りするJSコントローラー、そして複数のウォレットSDKモジュールも網羅しています。また、監査方法と結論も示されています。

同じページでは、SlowMist のエントリは、過去 2 年間のウォレットの進化の「新しいパラダイム」に近いものになっています。AA スマート コントラクト アカウント、MPC キーレス ウォレット、Ordinals トランザクション モジュールはすべて、公開監査可能なオブジェクトとしてリストされています。さらに、「秘密鍵セキュリティ モジュール」の監査情報が別途リストされており、「秘密鍵またはニーモニック フレーズはユーザーのデバイスにのみ保存され、外部サーバーには送信されません」と明確に述べられており、境界の説明がより明確になっているため、鍵のセキュリティに関するユーザーの根本的な懸念に応えています。

この「集中表示」の価値は、より完全な情報だけでなく、「新しい機能」と「検証可能性」を同じエントリ ポイントに結び付けることにあります。ウォレット業界が AA や MPC などの複雑なアーキテクチャへと移行するにつれて、ユーザーが最も必要としているのは、「私たちは安全です」といった声明ではなく、監査範囲が主要なモジュールをカバーしているかどうか、方法が何であるか、リスクがクローズド ループで修復されているかどうか、情報が継続的に更新されているかどうかなど、すぐに検証できる証拠です。

一方、OKX Walletによると、今回のアップグレード後、新たに追加された監査レポートや関連情報は、新規リリースを必要とせず、設定を通じて直接更新できるようになるとのことです。この仕組みが長期的に安定的に運用できれば、研究開発費やリリースコストの削減だけでなく、「外部検証可能性」への道筋も短縮されることになります。

ユーザーにとって、これは監査が追加されたり修正が完了したりした際に、公開エントリポイントで「最新の状態」がより迅速に反映されることを意味します。これにより、重大なリスクウィンドウにおいて「転送されたスクリーンショットや古いリンクに基づいてしか判断できない」という不確実性が軽減されます。第三者のオブザーバーや研究者にとっては、どのモジュールがいつ監査されたか、どのようなレベルの問題が見つかったか、いつ修正が確認され公開更新されたかといった追跡可能なタイムラインを容易に作成できるため、「第三者による承認」は単なる一回限りのPDFではなく、継続的に検証可能な証拠の連鎖へと真に変化します。