2025年の安全保障：5億ドルと7,000万件の傍受 | OKX年鑑

かつては、「ハッカーが大規模プロジェクトに侵入し、何日もニュースの見出しを飾る」といった一点集中の崩壊は珍しくありませんでした。しかし今年は、一見普通のオンチェーンオペレーションにも徐々にリスクが浸透しつつあります。例えば、オンチェーンプロトコルのアップグレードによってもたらされる利便性は、フィッシングの新たな侵入口となっています。偽ウェブサイトはピクセルレベルまで偽装され、モバイル端末の悪意あるアプリはバックグラウンドでクリップボードをこっそり盗聴し、ソーシャルメディアが乗っ取られた後に表示されるフィッシングリンクは、公式のものよりも「公式」なものになっています。かつて承認された古い契約が、ある夜ハッカーによって暴かれる可能性もあります。

Chainalysisのレポートによると、2025年半ばまでに、取引所、ウォレット、カストディサービスを含む暗号資産プラットフォームサービスから盗まれた金額は21億7000万ドルを超えており、公表された傾向が続く場合、この数字は年間を通じて増加し続ける可能性が高い。2025年の核心的な問題はもはや「リスクがあるかどうか」ではなく、リスクの高い環境において、一般ユーザーがどのようにして真のセキュリティ保護を得ることができるかということとなるだろう。

増加するデータと事例は、リスクを未然に防ぎ、すぐに利用可能で使いやすいセルフサービスツール（一括認証取り消しやデバイススキャンなど）を組み合わせることでのみ、個人の損失を真に削減し、ユーザーが「セキュリティは自分の手の中にある」と真に実感できることを繰り返し証明しています。これこそ、OKXが2025年にユーザーに安心感をもたらす瞬間です。過去1年間（2025年1月～11月）で、OKX Walletは、ブラックアドレス追跡の平均応答時間がわずか3秒という驚異的な速さで、ユーザーが5億ドル以上の損失を回復するのを支援し、累計7,000万件以上のさまざまなリスク情報をマークおよびブロックしました。

画像: OKX Wallet はエンドツーエンドのセキュリティ保護を提供します。

I. 「変革」の安全リスク

CertiKのレポートによると、ウォレット盗難、フィッシング、詐欺、サーバー攻撃などを含む2025年上半期の暗号資産の損失総額は約24億7000万～25億ドルに上ります。

2024年から2025年にかけて、業界のセキュリティ状況は二つの傾向を併発しました。一つは、いくつかの大規模取引所やサーバーが侵害を受け、巨額の損失が発生したことです。同時に、個人もフィッシング、マルウェア、ソーシャルエンジニアリング詐欺に継続的に遭遇し、少額の損失が頻発しました。プラットフォームにおける大規模かつ集中的な損失と、ユーザーにおける高頻度かつ少額の損失が共存し、業界全体のセキュリティは二重のプレッシャーにさらされました。

フィッシング攻撃とソーシャルエンジニアリング攻撃は、2025年上半期も依然として蔓延しています。APWGのデータによると、第1四半期から第2四半期にかけて213万件以上の攻撃が発生し、第1四半期から13%増加しています。これらのセキュリティインシデントの蔓延は、ユーザーの無能さによるものではなく、むしろリスクが一般の人々が認識しにくい形に歪められていることが原因です。

• 一見普通のアドレスでも、非常によく似た偽のアドレスである可能性があり、それをコピーすると誤って資金を送金してしまう可能性があります。
• よく見かける公式ウェブサイトのリンクが、乗っ取られたり偽装されたフィッシングミラーである可能性があり、見分けるのが困難です。
• 一見安全そうなオンチェーン操作でも、悪意のあるアップグレード要求が隠蔽され、マルチ署名や承認操作が誘発され、資金の盗難につながる可能性があります。
• 一見無害なプラグインが、バックグラウンドでニーモニックフレーズや署名操作を記録している可能性があります。
• 一般的に使用されるウォレットやコントラクトも、認証時やアップグレード時に悪用される可能性があり、脆弱性を誘発することなくユーザーが資産を失う可能性がある隠れたリスクがあります。

2025年のセキュリティインシデントは、ハッカー攻撃がコードの脆弱性を直接悪用する攻撃から、ユーザーの心理や操作習慣を悪用する攻撃へと移行していることを示しています。CertiK、Chainalysis、Ledger、Krollなど、複数のセキュリティ組織の年次レポートによると、このような攻撃が総損失の70%以上を占めています。個々の損失は少額かもしれませんが、ユーザーは「何も悪いことをしていない」ことが多く、既に被害に遭っているため、防ぐことはほぼ不可能です。過去の大規模プロジェクトの崩壊のように、容易に明らかになったものとは異なり、これらの「改変された」リスクは陰湿で広範囲に及び、発動条件も低いものです。脆弱性に依存するものではなく、単一の承認、署名、またはクリックによって損失が発生する可能性があります。経験豊富なユーザーでさえも被害に遭う可能性があります。したがって、コントラクト監査やオンチェーン監視だけに頼るだけでは不十分です。保護には、ローカルウォレットセキュリティ、コントラクトホワイトリスト、レピュテーションシステム、視覚的なフィッシング対策メカニズムを組み合わせる必要があります。

II. OKXがもたらす「安全」な瞬間

瞬間01: 電話の「スパイ」が捕まった。

2025年、あるNFTコレクターがAndroidスマートフォンに「Snatch-Up Assistant」アプリをダウンロードし、人気NFTアイテムのスナッチに参加しました。ダウンロード後、ウォレットの動作に異常があることに気付きましたが、初期チェックでは不正な取引は確認されませんでした。一見すると、このアプリはごく普通の補助ツールのように見えますが、実際にはクリップボードの内容の盗難、キーボード入力の監視、アクセシビリティ権限の悪用といった高リスクな動作をしていました。アプリが起動すると、ニーモニックフレーズや秘密鍵の盗難につながり、ユーザーの資産セキュリティを危険にさらす可能性があります。

ユーザーがOKX Walletの「デバイスセキュリティスキャン」機能を有効にすると、システムはAndroidデバイスに対してリアルタイムのプロアクティブスキャンを実行し、プラグインがクリップボードとキーボード入力を監視しようとしていることを正確に特定しました。OKXのデバイスレベルの保護は、Windowsシステム、ブラウザプラグイン、モバイルデバイスをカバーし、潜在的なローカルマルウェアを検出し、ニーモニックフレーズ、秘密鍵、トランザクションセキュリティに対する脅威レベルを評価します。スキャンレポートでは、プラグインが高リスクの動作を示していることが示され、システムはユーザーにそのリスクを明確に警告しました。ユーザーは警告を受け取った後、直ちにプラグインをアンインストールし、潜在的な脅威を排除しました。

瞬間 02: 偽の Web サイトをクリックしていますか? すでにブロックされています。

2025年、あるプロジェクトの新規株式公開（IPO）への参加準備を進めていたユーザーが、ソーシャルメディアプラットフォームを通じてプロジェクトのページにアクセスしました。ところが、ユーザーは気づいていませんでした。プロジェクトの公式アカウントが乗っ取られ、偽のステーキングプラットフォームへのフィッシングリンクが投稿されていたのです。リンクをクリックすると、ページが完全に読み込まれる前に、OKX Walletは赤い警告ボックスを表示し、URLが高リスクのフィッシングサイトとしてマークされていることをユーザーに示し、ウォレットの接続や署名操作を行わないよう警告しました。

この傍受は、OKXの悪質DAppおよびURL検出システムに基づいています。ユーザーがサイトにアクセスする前に、システムはリンクとDAppページに対して静的および動的セキュリティスキャンを実行し、ページのなりすまし機能、悪質なリダイレクト、高リスクのコントラクト呼び出し、異常なスクリプトアクティビティを特定します。また、リアルタイムで更新されるURLリスクデータベースを用いて、段階的な評価を行います。フィッシングサイトや不正コンテンツが検出された場合、システムはユーザーがページを操作する前に即座にアクセスをブロックし、不正な認証による資産の盗難を防ぎます。

瞬間03：リスク承認のワンクリック取り消し

2025年、長年にわたり様々なオンチェーンプロジェクトに参加してきたあるユーザーが、過去の記録を確認していた際に、初期に利用していたプロジェクトのコントラクトが認証盗難の危機に瀕していることを発見しました。長年にわたりエアドロップ、DeFi、NFTプロジェクトに頻繁に参加していたこのユーザーは、大量の未使用の認証を蓄積しており、資産の不正利用を防ぐため、これらを一刻も早く解消する必要がありました。例えば、自分が認証したプロトコルがいつ停止して認証資金を持ち逃げしたり、ハッキングされて資金が流出したりする恐れがあります。そのため、未使用の認証をキャンセルすることは不可欠です。しかし、認証を一つ一つキャンセルするのは時間がかかり、ガスコストも高額になるため、非常に非効率です。

OKX Walletの承認管理ツールを使用すると、システムはユーザーの承認履歴リストを自動的にスキャンし、一括失効機能を提供します。ユーザーは複数のリスクのある承認を選択し、単一のオンチェーン操作ですべての失効を完了できます。EIP-7702委任契約をサポートするようにアップグレードしたユーザーは、この機能により、個別の処理を必要とせずにすべての承認を無料でキャンセルできます。従来の単一失効方法と比較して、一括失効は処理効率を大幅に向上させるだけでなく、ガスコストを平均30%以上削減します。

瞬間 04: ガス料金を支払う前に、ウォレットが「ストップ」と言います。

EIP-7702フィッシング攻撃傍受事件。2025年、EIP-7702のリリース時、あるユーザーがソーシャルメディアプラットフォーム上で誰かが「気前よく」ニーモニックフレーズを共有しているのを目撃しました。好奇心から、ユーザーはそれを自分のEVMウォレットにインポートし、少額のガス料金を送金してUSDT資産を出金しようとしました。表面上は、アドレスは通常のEVMウォレットのように見え、ユーザーは安全だと思っていました。しかし、実際には、アドレスはEIP-7702規格を用いて通常の受信アドレスを偽装していました。委任契約の開発者は高度な権限を有しており、ユーザーがガス料金を送金すると、資金は即座に送金される可能性がありました。

ユーザーが資金を送金しようとすると、OKX Walletのリアルタイムリスク管理システムは即座に取引を高リスクと判定し、インターセプトを開始しました。オンチェーン行動分析、取引履歴、スマートコントラクトロジック検出により、システムは潜在的なリスクを正確に特定しました。これには、コントラクトを利用して一般アドレスを偽装し、ユーザーに承認やガス料金の支払いを誘導するEIP-7702フィッシング攻撃や、ユーザーの操作習慣に合致しない異常なコントラクトインタラクション動作などが含まれます。同時に、AptosなどのMove関連パブリックチェーンの台頭に伴い、OKX WalletはMoveVMのインタラクション動作をリアルタイムで分析し、重要な改ざんリスクを検知すると取引をプロアクティブに中断し、資産の盗難を防止します。取引は確認フェーズでブロックされ、インターフェースには「この受取アドレスは高リスクアドレスです。送金された資金は他のアドレスに送金される可能性があります」という明確なメッセージがユーザーに表示され、金銭的損失を効果的に防止しました。事件後、ユーザーは金銭的損失を回避しただけでなく、プロンプトを通じて攻撃の原則とリスクパターンを学び、最先端のオンチェーン脅威に対する認識を高めました。

時間05: アドレスが改ざんされ、出金が突然停止されました！

この「安心感」は、OKXウォレットだけでなく、OKX取引所にも反映されています。

2025年、あるユーザーはソーシャルメディアアプリで友人からオンチェーン決済アドレスを受け取りましたが、スマートフォンに潜む悪意のあるソフトウェアによってメッセージの中身が微妙に改ざんされていることに気づいていませんでした。友人が送信するはずのアドレスはABC123**456DEFでしたが、ユーザーはABC234**567DEFと認識していました。ユーザーがこの誤ったアドレスに送金しようとしたところ、OKXシステムはすぐに異常を検知しました。OKXの継続的なリマインダーにより、ユーザーはアドレスの誤りに気付くよう誘導され、損失を防ぎ、オンチェーン詐欺への意識を高めることができました。

この高度に洗練された改ざん攻撃に対抗するため、OKXプラットフォームは専用のアドレス改ざん防止戦略を導入しています。ユーザーが出金を開始する前に、システムはオンチェーン行動分析とリスクモデルを用いて受取アドレスをリアルタイムで監視し、アドレス改ざんのリスクを正確に特定します。異常が検出されると、プラットフォームは一時的に出金を制限し、リスクガイダンスプロセスを提供してユーザーにリスクの原因と調査方法を通知します。これにより、ユーザーはアドレスの検証と修正を行うことができ、資産がハッカーのアカウントに誤って渡ってしまうのを防ぎます。

時間 06: アカウントが破産管財人によって管理されていますか? 送金を制限し、セキュリティ チェックを実施します。

2025年、異常な取引が発生する前に、あるユーザーのアカウントがシステムによって「詐欺行為への関与の疑い」があると特定されました。当該アカウントの資金の流れ、行動特性、デバイス接続は、越境EC詐欺の被害者に典型的なパターンを示していました。OKXは直ちに保護凍結を実施し、カスタマーサービスがユーザーに連絡してリスクを確認しました。

近年、こうしたタイプの詐欺がますます蔓延しています。詐欺師は「越境EC起業」を謳い文句にユーザーを誘い込み、広告でユーザーを惹きつけ、OKXへの登録へと誘導します。そして、「店舗運営には海外ウォレットが必要」と主張し、アカウント管理を装って認証コードなどの重要なセキュリティ情報を要求します。ユーザーが入金を完了すると、詐欺師は即座にアカウントを乗っ取り、資金を全額送金します。こうした詐欺に対処するため、OKXはリスク識別モデルを確立し、自動処理戦略を導入しています。ユーザーが外部から操作されている可能性があると検知すると、主要なアカウント機能を直ちに制限し、送金をブロックすると同時に、ユーザーにリスク確認とセキュリティチェックを完了するよう通知します。今回のケースでは、ユーザーは本人確認当日に保護プロセスに組み入れられました。カスタマーサービスは、ユーザーが詐欺師にアカウントを預けるよう誘導されたことを確認し、システムによる傍受によって資金が送金される前に損失を防ぐことができました。

III. セキュリティ サービスは、「インシデント後の修復」から「インシデント前の予防」へと進化しています。

ブロックチェーンの世界は、資産、権限、契約、DApps、そしてアドレスが絶えず流動する、活気に満ちた都市のようなものです。リスクは、クリック一つ、確認一つ、そして一瞬の躊躇の中に潜み、より巧妙かつ巧妙になっていきます。セキュリティは、テクノロジーや機能のオーラの中にあるのではなく、指先で感じられる具体的な瞬間の中にあります。ミスがないという確信、潜在的な脅威が静かに回避されるという安心感、そして複雑なシステムによって静かに守られているという静けさ。

OKX Walletは過去1年間、セキュリティ保護とプロアクティブ防御を継続的に強化し、高リスクドメインやスパムメールのエアドロップからフィッシングアドレス、ブラックリスト登録アドレスに至るまで、監視チェーン全体を網羅してきました。リアルタイムのリスク監視・識別のための大規模な機能を開発するだけでなく、多次元・多戦略の保護メカニズムを通じて、潜在的な損失や詐欺リスクがユーザー資産に影響を与える前にプロアクティブに阻止し、「異常発生前に保護する」というセキュリティコンセプトを実現しています。

最近、OKX Wallet は新しいセキュリティ ランディング ページ監査レポートもリリースし、セキュリティ保護システムを公開しました: https://web3.okx.com/zh-hans/security 。ユーザーはいつでもどこでもこれを閲覧できます。

この世界では、保護はもはや時折の警告ではなく、当たり前の能力となっています。リアルタイムのリスク特定、レイヤーごとの脅威ブロック、潜在的な損失の早期阻止など、セキュリティは目に見える形で、信頼できる存在となります。2026年には、おそらくより多くのユーザーが、この魅力的でありながら複雑な都市に足を踏み入れるでしょう。恐怖からではなく、目に見える保護の存在こそが、ブロックチェーン世界の無限の可能性を探求するきっかけとなるでしょう。