仮想通貨のハッキング事件は、年々規模が大きくなっています。2025年の年間被害額は5,300億円を超え、過去最悪を更新しました。
「取引所に預けているお金は大丈夫なのか」「自分もハッキングの被害に遭うのではないか」。ニュースを見るたびに、そう感じている人は多いはずです。
ただ、ハッキングの手口や原因を知れば、自分の資産を守るために何をすべきかが見えてきます。闇雲に怖がるよりも、仕組みを理解して備えるほうがよほど効果的です。
この記事では、過去の主要なハッキング事件をまとめた上で、攻撃の手口、日本の取引所のセキュリティ体制、そして個人で今すぐできる対策5つを解説します。
仮想通貨のハッキング被害額は年々増え続けている
まず、ハッキング被害がどれくらいの規模で発生しているのかを把握しておきましょう。ブロックチェーン分析企業Chainalysisのデータによると、被害額は全体として増加傾向にあります。
| 年 | 被害総額(推定) | 主な出来事 |
|---|---|---|
| 2020年 | 約520億円 | DeFiプロトコルへの攻撃が増加 |
| 2021年 | 約4,600億円 | Poly Network事件(約770億円) |
| 2022年 | 約5,200億円 | Ronin Network事件(約780億円) |
| 2023年 | 約2,700億円 | セキュリティ強化により一時的に減少 |
| 2024年 | 約3,450億円 | DMM Bitcoin事件(約482億円) |
| 2025年 | 約5,300億円 | Bybit事件(約2,300億円)が史上最大 |
2025年は前年比で約50%増加しており、Bybit事件だけで年間被害額の約44%を占めています。1件あたりの被害額が桁違いに大きくなっている点が、近年の特徴です。
なぜ被害額が増え続けているのか。理由はシンプルで、仮想通貨の市場規模そのものが拡大しているからです。市場に流れるお金が増えれば、それを狙うハッカーも増える。2025年は仮想通貨全体の時価総額が過去最高を更新した年でもあり、攻撃者にとって「盗む金額」のスケールも大きくなったわけです。
さらに、国家レベルの組織的犯罪が増えていることも無視できません。2025年の被害のうち約76%は、北朝鮮のハッカー集団「ラザルスグループ」による犯行とされています。個人のハッカーではなく、国家の資金を目的とした組織犯罪が主流になりつつあるのです。
なふと北朝鮮が仮想通貨をハッキングして年間3,000億円以上を盗んでいるという事実、普通にすごい話ですよね。もはや個人のハッカーじゃなくて国家規模のサイバー戦争です。
過去の主要ハッキング事件7選
仮想通貨の歴史は、ある意味でハッキングとの戦いの歴史でもあります。ここでは、業界に大きな影響を与えた主要事件を振り返り、それぞれの事件から何を学べるかを解説します。
Mt.Gox事件(2014年)
仮想通貨ハッキングの「原点」とも言える事件です。当時、世界のビットコイン取引量の約70%を扱っていた日本拠点の取引所Mt.Gox(マウントゴックス)から、約85万BTC(当時の価格で約470億円)が流出しました。
原因は、ホットウォレット(インターネットに接続された状態のウォレット)のセキュリティが脆弱だったことに加え、内部管理体制の不備が重なったとされています。Mt.Goxはこの事件をきっかけに経営破綻し、数十万人のユーザーが資産を失いました。
この事件が、各国の規制当局が仮想通貨取引所に対するセキュリティ基準を設けるきっかけになりました。
Coincheck事件(2018年)
日本で最も有名なハッキング事件です。Coincheckから約580億円分のNEM(ネム)が流出しました。原因は、本来コールドウォレットで管理すべきNEMの大部分をホットウォレットで管理していたこと、そしてマルチシグ(複数の署名が必要な仕組み)を導入していなかったことです。
注目すべきは、Coincheckが自社の資金を使って被害者全員に約460億円を返金した点です。これにより、国内取引所でのハッキング被害に対する補償の前例が作られました。
この事件を受けて、金融庁は暗号資産交換業者に対する規制を大幅に強化。コールドウォレットでの管理義務や分別管理の厳格化など、現在の日本の高いセキュリティ水準の礎が築かれました。
DMM Bitcoin事件(2024年)
2024年5月、日本の取引所DMM Bitcoinから約482億円相当のビットコインが流出しました。この事件は、秘密鍵の管理方法に問題があったとされており、Coincheck事件後に強化されたはずのセキュリティ体制の穴が露呈した形です。
DMM Bitcoin事件が衝撃的だったのは、金融庁の登録業者であっても、秘密鍵の管理方法次第ではハッキング被害が起こり得るということを証明した点です。「金融庁登録=絶対安全」ではないことを、改めて認識させられた事件でした。
Bybit事件(2025年)
2025年2月に発生した暗号資産史上最大のハッキング事件です。海外取引所Bybitから約15億ドル(約2,300億円)が流出しました。この金額は、それまでの最大被害額だったRonin Network事件(約780億円)の約3倍です。
犯行は北朝鮮のラザルスグループによるものとされており、高度なソーシャルエンジニアリング(人間の心理的な隙を突く攻撃手法)を使って取引所の内部システムに侵入したと報告されています。
この事件は、どれだけ技術的なセキュリティを高めても、「人間」がハッキングの最大の弱点であることを世界に示しました。
Trezorフィッシング事件(2026年)
2026年1月に発生したこの事件は、これまでとは異なるタイプのハッキングです。ハードウェアウォレット「Trezor」のカスタマーサポートを装った詐欺師が、ユーザーに電話をかけ、リカバリーフレーズ(秘密鍵の復元用パスワード)を聞き出してウォレットの中身を空にしました。被害額は約2.84億ドル(約450億円)。
この事件が恐ろしいのは、「ハードウェアウォレットに入れておけば安全」という常識が覆された点です。ハードウェアウォレット自体はハッキングされていません。人間がリカバリーフレーズを教えてしまっただけです。どんなに頑丈な金庫でも、自分で暗証番号を教えてしまえば意味がありません。
なふと「Trezorのサポートです。セキュリティ上の問題が見つかりました」って電話がかかってきたら、正直ちょっと焦りますよね。でもどんな企業でも、電話でリカバリーフレーズを聞くことは100%ありません。聞かれた時点で詐欺です。
以下に、ここまで紹介した主要事件をまとめます。
| 年 | 取引所/サービス | 被害額 | 主な原因 | 補償 |
|---|---|---|---|---|
| 2014年 | Mt.Gox | 約470億円 | ホットウォレットの脆弱性 | 一部(破産手続き中) |
| 2018年 | Coincheck | 約580億円 | コールドウォレット未使用 | 全額返金済み |
| 2024年 | DMM Bitcoin | 約482億円 | 秘密鍵管理の不備 | 対応中 |
| 2025年 | Bybit | 約2,300億円 | ソーシャルエンジニアリング | 未補償(海外取引所) |
| 2026年 | Trezorユーザー | 約450億円 | フィッシング詐欺 | なし(個人被害) |
仮想通貨の詐欺全般の手口と対策については、以下の記事でも詳しく解説しています。
ハッキングはなぜ起きるのか — 3つの攻撃パターン
ハッキング事件と一口に言っても、攻撃の手口はさまざまです。大きく分けると3つのパターンに分類できます。手口を知っておくことが、対策の第一歩です。
秘密鍵への不正アクセス
仮想通貨の管理において、秘密鍵(プライベートキー)は「金庫の鍵」そのものです。秘密鍵を手に入れれば、ウォレット内のすべての資産を自由に移動できます。
取引所が狙われる場合、攻撃者はサーバーに侵入して秘密鍵のデータを盗み出します。DMM Bitcoin事件がこのパターンの典型例です。対策としてコールドウォレット(オフライン保管)やマルチシグ(複数の鍵による承認)が導入されていますが、管理する人間側のオペレーションに隙があれば突破されます。
フィッシング・ソーシャルエンジニアリング
技術ではなく「人間」を攻撃するパターンです。偽のWebサイトに誘導してログイン情報を盗む「フィッシング」、取引所の社員を装って機密情報を聞き出す「ソーシャルエンジニアリング」がこれに該当します。
2025年のBybit事件は内部関係者を騙すソーシャルエンジニアリング、2026年のTrezor事件はユーザーを騙すフィッシングと、いずれも「人間の判断ミス」が原因です。
2025年の調査では、暗号資産のハッキング被害のうち、フィッシングとソーシャルエンジニアリングが占める割合が急速に増加しています。技術的なセキュリティが強化されるほど、攻撃者は「人間」という最も脆弱なポイントを狙うようになるのです。
最も堅牢なセキュリティシステムでも、それを操作する人間が騙されれば意味がありません。技術だけでなく「自分自身のリテラシー」がセキュリティの最後の砦です。
スマートコントラクトの脆弱性
DeFi(分散型金融)のプロトコルでは、スマートコントラクトと呼ばれるプログラムが資金の管理を自動で行っています。このプログラムにバグや設計上の欠陥があると、攻撃者がそこを突いて資金を抜き取ることができます。
2022年のRonin Network事件(約780億円)や2021年のPoly Network事件(約770億円)がこのパターンです。一般的なCoincheckやbitFlyerのような中央集権型の取引所を使っている限りは、このリスクに直接さらされることはありません。ただし、DeFiプロトコルを自分で利用する場合は、監査済みのプロジェクトかどうかを確認する習慣が重要です。
なふと初心者のうちはDeFiに手を出す必要はまったくありません。国内の取引所で現物取引をしている分には、スマートコントラクトの脆弱性リスクとは無縁です。
日本の取引所はどう守っているのか
ここまでの事件を見ると「取引所に預けるのは怖い」と感じるかもしれません。しかし、少なくとも日本の金融庁登録業者については、世界でも最も厳格なセキュリティ基準が適用されています。
2018年のCoincheck事件をきっかけに、金融庁は暗号資産交換業者に対する規制を大幅に強化しました。その結果、現在の日本の取引所には以下のようなセキュリティ対策が義務付けられています。
- 顧客資産の95%以上をコールドウォレット(オフライン)で管理する義務
- 取引所の資産と顧客の資産を完全に分別管理する義務
- 送金に複数の承認が必要なマルチシグの導入
- 24時間365日の監視体制と異常取引の自動検知
- 定期的な外部セキュリティ監査の実施
特に「分別管理」は重要です。これは、取引所が経営破綻した場合でも、顧客の資産は取引所の資産とは切り離されて保全される仕組みです。仮に取引所がハッキングされて自社資産を失ったとしても、分別管理されている顧客資産は別の場所に保管されているため、理論上は守られることになります。
一方、海外取引所にはこのような法的義務がないケースがほとんどです。2025年のBybit事件では、被害を受けたユーザーへの全額補償は行われていません。「どの取引所を使うか」は、単に手数料や銘柄数の問題ではなく、資産の安全性に直結する選択です。
今すぐやるべき個人のハッキング対策5選
取引所側のセキュリティがどれだけ強固でも、個人側の防御が甘ければ資産は守れません。特にフィッシング詐欺のように「個人を直接狙う」攻撃が増えている今、自分でできる対策を確実に実行しておくことが不可欠です。
二段階認証(2FA)を必ず設定する
最も基本的で、最も効果の高い対策です。二段階認証とは、パスワードに加えて「もう一つの認証要素」を求める仕組み。仮にパスワードが漏洩しても、二段階認証が設定されていれば不正ログインを防げます。
認証方法はSMS認証よりも、Google Authenticatorなどの認証アプリを使う方式がより安全です。SMS認証はSIMスワップ攻撃(携帯電話の番号を乗っ取る手法)で突破される可能性がありますが、認証アプリはデバイスに紐づいているため、リモートからの不正利用が困難です。
取引所のアカウントだけでなく、メールアカウント(GmailやYahooメール)にも二段階認証を設定してください。メールアカウントが乗っ取られると、取引所のパスワードリセットが悪用される危険があります。
パスワードを使い回さない
取引所のパスワードを、他のサービス(SNS、ECサイトなど)と同じものにしていませんか?もしそうなら、今すぐ変更してください。
過去に他のサービスで流出したID・パスワードの組み合わせを使って、片っ端からログインを試みる「パスワードリスト攻撃」は、ハッカーの最も基本的な手口の一つです。他のサービスで使い回しているパスワードは、すでに漏洩している可能性があると考えてください。
パスワードマネージャー(1Password、Bitwardenなど)を使えば、長くて複雑なパスワードをサービスごとに自動生成・管理できます。覚える必要があるのはパスワードマネージャーのマスターパスワードだけです。
フィッシング詐欺の見分け方を知る
2026年のTrezor事件が示したように、フィッシング詐欺は年々巧妙化しています。公式そっくりのサイト、本物と見分けがつかないメール、カスタマーサポートを装った電話。これらを見抜くためのルールは非常にシンプルです。
- 取引所やウォレットの公式サイトは、必ずブックマークからアクセスする
- メールやSMSのリンクからログインページへ飛ばない
- 「リカバリーフレーズ」や「秘密鍵」を他人に教えるシチュエーションはこの世に存在しない
- 「緊急」「今すぐ対応が必要」と焦らせてくる連絡は、まず疑う
「秘密鍵」と「リカバリーフレーズ」は、いかなる理由であっても、誰にも教えてはいけません。これが仮想通貨セキュリティにおける絶対のルールです。
大きな資産はコールドウォレットに移す
取引所に預けている資産は、取引所がハッキングされた場合に影響を受ける可能性があります。日本の取引所は分別管理が義務付けられていますが、リスクをさらに減らしたいなら、自分でコールドウォレット(ハードウェアウォレット)を持つのが最強の選択肢です。
コールドウォレットはインターネットに接続されていないため、リモートからのハッキングは物理的に不可能です。代表的な製品としてはLedger Nano、Trezorなどがあり、価格は1万〜2万円程度です。
もちろん、Trezor事件のようにリカバリーフレーズを他人に教えてしまえば意味がありません。ハードウェアウォレットを使う場合は、リカバリーフレーズを紙に書いて金庫に保管するなど、物理的なセキュリティ対策も合わせて行いましょう。
コールドウォレットの選び方や具体的な使い方については、こちらの記事で詳しく解説しています。
資産を複数の取引所に分散する
「卵は一つのカゴに盛るな」という投資の格言は、取引所の選択にも当てはまります。いくらセキュリティが高い取引所でも、1か所に全資産を集中させるのはリスクです。
2〜3か所の取引所に資産を分散させておけば、万が一1つの取引所がハッキングや経営問題に見舞われても、全資産を失うことはありません。
メイン取引所(GMOコインなど)に普段使いの資金 + サブ取引所(bitFlyerなど)に予備資金 + コールドウォレットに長期保有分。
なふと面倒に感じるかもしれませんが、口座開設は無料だし、一度やれば終わりです。何百万円も預けているなら、30分の手間をかける価値は十分あります。
よくある質問
まとめ
仮想通貨のハッキング被害は年々増加しており、2025年には年間5,300億円超と過去最悪を記録しました。しかし、攻撃の手口を理解し、適切な対策を講じれば、個人レベルでリスクを大幅に軽減できます。
- 仮想通貨ハッキングの年間被害額は5,000億円超。北朝鮮の組織的犯罪が主因
- 攻撃パターンは「秘密鍵の不正入手」「フィッシング」「スマートコントラクトの脆弱性」の3つ
- 日本の取引所は金融庁の厳格な規制のもと、顧客資産の95%以上をコールドウォレットで管理
- 個人がやるべき対策は「2FA設定」「パスワード管理」「フィッシング対策」「コールドウォレット」「分散管理」の5つ
- リカバリーフレーズと秘密鍵は、いかなる理由があっても絶対に他人に教えない
ハッキングを100%防ぐことはできません。しかし、基本的な対策を積み重ねることで、被害に遭う確率は限りなくゼロに近づけることができます。「自分は大丈夫だろう」と思っている人が、最もハッキングに狙われやすいということを忘れないでください。
なふとこの記事を読んで「二段階認証、まだ設定してなかった」って人がいたら、今すぐやってください。この記事を閉じる前に。5分で終わります。それだけでセキュリティは劇的に上がりますよ。