3.28億ドルの損失とロシアのステーブルコイン台頭：CertiKレポートが明らかにするステーブルコインのセキュリティとコンプライアンスの二重の課題

最近、世界最大のWeb3セキュリティ企業であるCertiKが「Skynet 2026 ステーブルコイン脅威レポート」を発表し、現在のステーブルコインエコシステムが直面する2つの主要な課題を体系的に整理しました。一方で、2026年以降、クロスチェーンブリッジ関連のセキュリティインシデントにより3億2800万ドル以上の損失が発生しており、攻撃者はスマートコントラクトの脆弱性からクロスチェーンブリッジ、カストディシステム、決済インフラへと標的を移しています。他方で、ロシアルーブル建てステーブルコイン「A7A5」は、ローンチ以来の累計取引高が1100億ドルを超え、国家レベルの制裁を回避するための主要なツールになりつつあります。

レポートは、これら2つの脅威が相互に絡み合い、ステーブルコインのセキュリティは初期の暗号資産投機リスクの枠を超え、グローバルな決済ネットワークや国際金融システムの安全性に直接関係する体系的な課題にまで発展したと強調しています。

コードの脆弱性からインフラ攻撃へ

過去数年間、ハッカー攻撃はスマートコントラクトの脆弱性に集中していました。しかし、ステーブルコインがクロスチェーンの流動性とグローバルな決済の重要な媒体となるにつれ、攻撃者の標的も、より価値が高く、より重要なインフラ層へと移行し始めています。

レポートによると、2026年に入ってからのみで、クロスチェーンブリッジ関連のセキュリティインシデントにより3億2800万ドル以上の損失が発生しました。その中でも、4月に発生したKelp DAOのウォレット流出事件では、単独で2億9100万ドルの損失が発生し、今年これまでで最大級のクロスチェーンブリッジ関連事件の一つとなりました。

CertiKのレポートは、クロスチェーンブリッジと相互運用性プロトコルが、依然としてステーブルコインエコシステム全体の中で最も脆弱な部分の一つであると指摘しています。ステーブルコインの流動性は異なるブロックチェーンやLayer2ネットワーク間に分散しているため、クロスチェーンブリッジは価値移転の中核的機能を担っており、検証ノード、メッセージ検証メカニズム、マルチシグシステムに問題が発生した場合、リスクは複数のエコシステムに急速に拡散する可能性があります。

注目すべきは、ウォレットの流出が従来のコードの脆弱性に取って代わり、主要な攻撃対象になりつつあることです。

レポートの統計によると、今年発生した複数の重大なDeFiセキュリティインシデントは、すべて秘密鍵管理の失敗、アクセス制御の欠陥、および運用層のセキュリティ問題に関連しています。攻撃者は、複雑なオンチェーンロジックを迂回し、カストディシステム、金庫アーキテクチャ、運用プロセスを直接攻撃する傾向を強めています。

「ステーブルコインのセキュリティ問題は、ますます伝統的な金融のセキュリティ問題に似てきています」とレポートは指摘します。ステーブルコインが決済システムや機関のビジネスシーンに深く浸透するにつれて、KYCサービスプロバイダー、決済API、制裁スクリーニングシステム、本人確認インフラも攻撃対象になり始めています。

A7A5：規模1100億ドル超の「制裁抵抗性」経済圏

技術攻撃と比較して、レポートがより大きな注目を集めているのはA7A5です。

A7A5は、ロシアルーブルに裏付けられたステーブルコインで、2025年初頭にローンチされました。レポートによると、このステーブルコインはロシアの国際決済プラットフォーム「A7ネットワーク」によって推進され、ロシアの国有銀行プロムスヴィアズバンク（PSB）などの機関によってサポートされています。

オンチェーンデータの分析によると、ローンチから1年足らずで、A7A5の累計オンチェーン取引高は1100億ドルを超え、世界の非ドル建てステーブルコイン市場の約43％のシェアを占めています。

レポートは、A7A5の重要性は規模にあるのではなく、ステーブルコイン技術を利用して西側の金融システムの影響を受けない国際決済ネットワークを構築するという、まったく新しいステーブルコインモデルを示したことにあると見ています。

2025年にGarantex取引所が米国法執行機関の取り締まりを受けた後、A7A5は急速にロシアの暗号経済における重要な流動性ツールとなりました。レポートによると、このシステムは設計面でUSDTのモデルを借鉴していますが、発行、準備資産管理、コンプライアンス管理体制のすべてを西側の規制管轄区域外に置いています。

レポートは、これはステーブルコインが単なる決済ツールではなくなり、地政学や国際制裁システムにおける重要な変数にもなり得ることを意味すると指摘しています。

ステーブルコインは「国家間の駆け引き」段階に入っている

A7A5の台頭は、複数国の規制当局による連携行動も引き起こしています。

レポートによると、EUは2025年に初めてA7A5を制裁フレームワークに直接組み込み、取引が明確に禁止された世界初の暗号通貨となりました。その後、米国財務省外国資産管理局（OFAC）と英国金融制裁実施局（OFSI）も関連事業体に対する制裁を相次いで発動しました。

同時に、EUは2026年に規制範囲をさらに拡大し、単一プロジェクトへの対応から、ロシアの暗号サービスエコシステム全体に対する分類禁止措置へと移行しました。

しかし、オンチェーンデータは、これらの措置がA7A5の成長を根本的に阻止できていないことを示しています。2025年2月から2026年5月までの間に、A7A5の保有アドレス数は約1万3000から約2万9000に増加しました。複数の制裁発動の前後においても、オンチェーンデータに顕著な低下は見られませんでした。

レポートは、これは現在の国際制裁システムがオンチェーン金融ネットワークに直面した場合、依然として明らかな限界があることを反映していると指摘します。ユーザー層が主に西側の法執行範囲外に位置する場合、従来の制裁措置の実際の効果は大幅に弱められる可能性があります。

レポートはまた、A7ネットワークがすでにアフリカ市場への拡大を開始していることにも言及しています。ロシアは複数のアフリカ諸国をA7決済ネットワークへの参加に招待し、ナイジェリアやジンバブエに事務所を設置し、アフリカ南部に金融回廊を構築する計画です。関連ネットワークがさらに拡大した場合、現地の金融機関が知らないうちに制裁対象システムとビジネス上のやり取りを行い、西側からの潜在的ないわゆる「二次制裁」リスクに直面する可能性があります。

結論と業界コンプライアンスへの提言

レポートは、2026年のステーブルコイン脅威の構図は「二重の進化」という特徴を示していると総括しています。技術面では、攻撃活動がプロトコルの脆弱性から金融インフラへと移行しています。地政学的な面では、ステーブルコインが従来の金融システムから独立した新たな決済ネットワークを構築するために利用され始めています。

CertiKはレポートの最後に、企業や金融機関は公式の制裁リストに記載された事業体名を照合するだけに頼るのではなく、より積極的な防御姿勢を取る必要があると提言しています。

● リストに未掲載のコントラクトアドレスを明確に調査する： レポート発表時点で、OFACはA7A5のスマートコントラクトアドレスを特定制裁対象者（SDN）リストに追加していません。金融機関は、イーサリアムアドレス（0x6fA0BE17e4beA2fCfA22ef89BF8ac9aab0AB0fc9）およびトロンアドレス（TLeVfrdym8RoJreJ23dAGyfJDygRtiWKBZ）を内部スクリーニングシステムに積極的に登録すべきです。

● リスクの高いコルレス銀行エクスポージャーを再評価する： ナイジェリア、ジンバブエ、キルギスなどA7A5が活発な法域でコルレス業務を行う金融機関は、現地の取引相手が関連事業体に関与していないか厳重に審査する必要があります。

● セキュリティの重点を運用層へ移行する： ウォレット流出と秘密鍵管理が主要な運用リスクとなっていることを踏まえ、企業は独立した第三者監査を定期的に実施し、クロスチェーンメッセージングロジック、検証ノード、マルチシグ制御を全面的に強化しなければなりません。

2026年のステーブルコインセキュリティは、明らかに初期の暗号アプリケーションの狭い範囲を超えており、もはやブロックチェーン業界だけの問題ではなく、グローバルな金融インフラのリスク管理における重要な議題になりつつあります。

レポート全文：https://indd.adobe.com/view/c10a9bca-6be9-4272-83ed-ec9fc631b48f