またすごい事件が起こってしまいましたね。まだまだ色々な報道が飛び交って情報が乱れていますが、現状把握できる限りで情報を網羅的にまとめました。

サラッと読んでおいていただければ、何が起こって何が問題となっているのかを理解することができます。ザッと5分程度でどぞ！

🍊1. 事件の全体像と時系列

1-1. 何が起こったの？

2025年2月21日、人気の暗号資産取引所「Bybit（バイビット）」から約15億ドル（日本円にして1,950億円以上）相当のイーサリアム（ETH）が盗まれました。暗号資産に詳しくない人にとってはピンと来ない数字かもしれませんが、過去最大級の被害額として世界中のニュースで報じられる大事件となっています。

• 被害資産: 主にイーサリアム(ETH)と、ETHをステーキングした「stETH（エスティーイーサ）」などの派生トークン

• 流出量: 約401,000 ETH

• 日本円換算: 約15億ドル = 約2250億円（1ドル=150円で計算）

💡用語

• ステーキング
  暗号資産を一定期間預けることで、ネットワークの維持に貢献し、その見返りに報酬（利息のようなもの）がもらえる仕組み。

• stETH（Lidoなどが提供するステーキング版ETH）
  イーサリアムを預けると代わりにもらえるトークン。これを持っているだけでステーキングしているのと同じ扱いとなる。

1-2. 事件の発覚：わずか30分で公表

• 2月21日 午前（米国時間）

  • ブロックチェーンの監視を行う専門家（ZachXBT氏など）が「Bybitのウォレットから謎の巨額送金があった」とSNSで指摘。

  • 大量のETHが見慣れないアドレスに移動していることを確認。

• 30分後

  • BybitのCEOベン・ゾー氏が「セキュリティ侵害が起きた。調査中だ」と緊急発表。

  • 取引所としてはかなり早いタイミングでの公表で、ユーザーたちの間で不安が一気に高まる。

1-3. 攻撃手法の概要：コールドウォレットが破られた！

• マルチシグ・コールドウォレット

  • Bybitでは通常、より安全とされる「コールドウォレット（インターネットから切り離したお財布）」を使って大量の暗号資産を保管していた。

  • さらに複数人の署名（マルチシグ）をしないと送金できない仕組みを導入していたはず。

• それでも突破された理由

  • ハッカーはウォレットの承認者に見せる取引画面（UI）を偽装し、「これは正規の送金先ですよ」と信じ込ませる手口を使用。

  • 何人かが承認した結果、コールドウォレットの本物の鍵をハッカーが手に入れてしまった。

  • 「セキュリティ最高峰」と思われていた仕組みが突破されたことにより、世界中の取引所が震撼。

💡用語

• コールドウォレット
  オフラインで保管する暗号資産用ウォレット。ネットから隔離されているため、ハッキングリスクが低いとされる。

• マルチシグ（Multi-Signature）
  「複数の署名（承認）を同時にしないと送金できない」仕組み。銀行でいう「二人以上のハンコが必要」な感じ。

• UI（ユーザーインターフェース）偽装
  画面上は正しいアドレスに送っているように見せて、実際は違う場所へ送金させる詐欺手口。

🍊2. 噂と実際の原因：コミュニティで飛び交った説あれこれ

• 説1：Safeというウォレットソフト自体に脆弱性が？
  コールドウォレットに使われる“Safe（旧Gnosis Safe）”が原因ではないかというウワサ。
  しかし今のところソフトウェア本体の欠陥は見つかっておらず、署名者のPCや画面が乗っ取られた可能性が高い。

• 説2：Pi Networkというプロジェクトの支持者による報復？
  Bybit CEOがPi Networkを批判していたらしく、その報復という根拠不明の噂が広まった。
  実際は北朝鮮系ハッカー説（後述）が有力で、Pi Network説は否定されている。

• 説3：イーサリアムをハードフォークして盗難資産を取り戻す？
  2016年に「The DAO事件」でETHがハッキングされたとき、イーサリアムは実際にハードフォークをした経緯がある（これがイーサリアムクラシックの分裂の原因です）。

  ただし15億ドルという桁違いの額でも、正式にそんな動きは今のところなし。

💡2016年に発生した「The DAO事件」では、364万ETHが盗まれました。当時被害があまりにも巨額だということもあり、なんとハードフォークしてまで過去に遡って事件を無かったことに帳消しにしたこの事件。
でも、当時のレートでたったの7826万ドル（日本円だと81億5000万円程度）なんですよね。
それが、今回は2250億円相当ですから、被害額のケタが2つも違います…。ハードフォーク説が出てもおかしくないですね。でもまぁ、もう無いでしょうね。当時はイーサリアム黎明期だったこともありますから。さすがにまたやったらアホです。

• 説4：BybitがETHを買い戻して補填する？
  「流出した分のETHを後から買い戻すのでは？」と期待され、市場が一時持ち直したが、CEOは即座に否定。
  結局ブリッジローン（緊急融資）で8割をカバーしたので、大規模な買いオペはしないとのこと。

🍊3. 市場への影響：ETH相場の乱高下と取引所の流動性危機

3-1. ETH価格への影響

• 事件直後、ETHが一時4%超下落。
  ハッカーが奪ったstETH（ステーキング版のETH）などを大量売却した影響も大きい。

• その後「Bybitが買い戻すかも？」との噂で一時反発 → でも否定され再下落 → 結局、短期的に上下動が激しかった。

3-2. ユーザーの“取り付け騒ぎ”

• 「自分の預けているコインも危ないかも！」と考えた利用者が一斉に出金を申し込む事態に。

• しかしBybitは外部（bitgetなど）から融資を受け、ユーザーの出金を止めることなく全て対応。

• これによりパニックは比較的早く収束し、“破綻”のような最悪のシナリオは回避された。

💡用語

• ブリッジローン（緊急融資）
  急にお金が必要になった時に、短期で借りる資金のこと。企業が資金繰りを補うために使う。

• ステーキングトークン(stETHなど)の売却
  こうしたトークンを一気に売り浴びせると、イーサリアム全体の価格にも下押し圧力がかかる。

🍊4. 犯人像：北朝鮮系ハッカー「ラザルスグループ」説が濃厚

4-1. ラザルスグループって？

• 北朝鮮政府とつながりが深いとされるサイバー犯罪集団です。
  またかよって感じですね。常連です。

• 2022年のAxie Infinityから6億ドル以上盗んだ「Roninブリッジ事件」や、日本の取引所DMM Bitcoinの3億ドル流出事件など、数々の暗号資産ハックで名を馳せている。

• 盗んだ資金が北朝鮮のミサイル開発などに流れていると指摘されており、アメリカや日本の警察当局も強く警戒している。

4-2. どうやって特定？

• ブロックチェーンは取引履歴が公開されているため、専門家がウォレットの動きを詳しく調べれば「どのアドレス→どのアドレスへ移動した」かが分かる。

• 今回もOn-chain（オンチェーン）解析をするZachXBT氏やArkham Intelligence社が「Phemexという別の取引所のハックで使われたアドレスと同じ！」と突き止めた。

• 過去の事件でもラザルスが使った方法と酷似していたため、ほぼ犯人確定とされている。（以前もお話ししましたが、犯罪の手口ってクセがあるんで似るんです。）

4-3. 資金の行方：追跡はほぼ不可能？

• ハッカーたちは盗んだETHを大量に細かく分散し、ミキシングサービス（送金経路をわざと複雑にして追跡を困難にする仕組み）などで洗浄中。

• 北朝鮮にいる場合、国際的な捜査が届きにくく、過去の例でも回収はほぼ困難。

• それでもBybitや警察当局は「少しでも資金回収や犯人特定につなげたい」と捜査協力を呼びかけている。

💡用語

• ラザルスグループ（Lazarus Group）
  北朝鮮政府がバックにいるとされるサイバー犯罪組織。世界各国で数十億ドル相当の暗号資産を盗んだ疑い。

• ミキシングサービス
  複数の利用者から集めた暗号資産を混ぜ合わせ、出所を分かりにくくするサービス。犯罪利用が多いとして問題視されている。（このミキシングサービスって、そもそも犯罪利用以外に正当な使い方ってあるのか？^^; ）

🍊5. 業界内外への影響と今後の展望

5-1. 暗号資産業界への影響

1. セキュリティ対策の再点検

   • 「コールドウォレット+マルチシグなら大丈夫」と思われていた常識が崩れた。

   • 今後は署名者の物理セキュリティや画面認証の2段階チェックなど、さらに厳重な対策が求められる。

2. 取引所同士の助け合い

   • 競合であるBitgetがBybitに大量のETHを融資するなど、業界内で支え合いが起きた。

   • 2014年のMt.Gox事件時は業界連携がほとんどなかったが、今は「どこかの大手が潰れると自分たちにも被害が及ぶ」ため、相互扶助が進んでいるともいえる。

3. ユーザー側の意識変化

   • 「取引所に大金を預けるのは怖いから、自分でハードウェアウォレットを使って保管しよう」という動きが再び活発化するかもしれない。

   • 一方でBybitがしっかりユーザー保護をやりきれば、「危機対応力のある取引所」としてむしろ評判を上げる可能性もある。

5-2. 規制・法律面の強化へ？

• 大規模被害への対策
  15億ドル規模のハッキングは規制当局や金融庁にとっても無視できない。
  「取引所が万が一ハッキングされたとき、ユーザーへの補償はどうするのか？」という論点が改めて浮上。
  たとえば、保険を義務化したり、コールドウォレットの運用ルールを法律で厳密化したりする動きが加速する可能性がある。

• マネーロンダリング防止
  北朝鮮への資金流入を食い止めるため、国際的な制裁やウォレットアドレスのブラックリスト化がさらに厳しくなる見通し。
  米国OFAC（外国資産管理局）などが制裁対象のアドレスをどんどん追加すると、いずれハッカーが「盗んだコインを換金しにくくなる」可能性がある。

5-3. 業界外（一般企業・金融機関）への波紋

1. 企業の暗号資産リスク管理
   一般企業が余剰資金をビットコインなどで持つ動きは広がっているが、「取引所がハッキングされるリスク」をどう考えるかがより重要に。
   大手銀行との連携や、自己保管型のカストディ（保管サービス）を利用するなどの検討が増えるかもしれない。

2. サイバー保険やセキュリティ事業の需要増
   暗号資産関連の大規模ハッキングが頻発する中、サイバー保険の引受条件が厳しくなる可能性や、保険料が上がることが考えられる。
   セキュリティ企業にとっては「高水準の暗号資産向け守り」を提供するビジネスチャンス。

3. 社会一般の認識
   ニュースでは「15億ドル盗まれた」という衝撃の金額だけが先行しがちで、暗号資産への不信感が高まる恐れも。
   一方、「Bybitが迅速な対応で破綻を免れた」という事実はあまり大きく報じられないかもしれず、世間には“怖い”印象だけが残る可能性もある。

🍊6. 今後の焦点：暗号資産は本当に危険か？ それとも成長のチャンスか？

1. セキュリティ強化が必須
   コールドウォレットでさえ突破された今回の事件。企業・個人問わず「どういうふうに暗号資産を安全に管理するのか？」がますます課題に。
   取引所はより強固な監査プロセスやマルチシグの運用を徹底し、利用者も自己管理の手法を学ぶ必要がある。

2. 破綻しなかったBybitの評価
   15億ドルという莫大な被害でも、Bybitはユーザーの出金要請に対応を続けた。
   信頼回復に向けてライブ配信等で経緯を説明すると表明しており、「使ってみても大丈夫かな？」というユーザーの不安をどう払拭していくかが注目。

3. 国際的な取り締まりの強化
   北朝鮮のサイバー攻撃がここまで拡大している以上、FBIやインターポール、各国政府の連携による捜査・制裁が進む可能性。
   これにより闇市場での換金が難しくなれば、ハッカーたちの次の一手も複雑化するはず。今後の攻防戦にも注目。

🍊Ledgerでセルフカストディを今一度

取引所に預けてあるお金を急いで引き出している日本の方も多いですね…。こういうタイミングだからこそ、いまいちど、自己資金を自分で管理するセルフカストディについて重要性を考えた方が良いと思っています。

悪いこと言わないんで、ハードウェアウォレットLedgerで自己資金を管理するクセをつけたほうがいいですよ。長いものに巻かれておけばオッケーっていうそういう旧態依然とした怠惰なスタンスでは、いつか本当に痛い目見ます。

2，3個買って管理しましょう。E-Incの Ledger Staxとか Ledger Flex楽しいですよ。

Xで、とある日本のインフルエンサーが、
「自分で管理するのが大事だとかいうけど、世界最強のセキュリティの取引所よりも個人の方がセキュリティが高いとでも？狙われていないだけですよwあなたが狙われたら一瞬で終わりですよw」
等と、的外れな批判をしている人のツイートがたくさんリツイートされていて驚きました。

全くピントが外れています。
そもそも、資金が集まるから狙われるのであって、個々に分散していればそもそも狙われないってことでもあるんです。（敵から逃げるときに固まらずに散らばれ！ってよくアニメであるでしょ。）

そういう観点でもあるし、個人だろうと世界最強の法人だろうと、ハードウェアウォレットのセキュリティは突破されたことはないんですよね。今回だって、人間が騙されて操作して署名しなければセキュリティは突破され得なかった。
大事な資産は隔離して、ハードウェアウォレットを触らなければ誰にも取られません。それは事実です。一個人でもその鉄壁セキュリティデジタル鍵が実現できていることが革命的なのであって。

個人レベルで扱う場合に気をつけなければいけないのは、

・ソーシャルエンジニアリング（間の心理的な隙や行動のミスにつけ込み、個人が持つ秘密情報を不正に入手する犯罪手法）に対する防衛手法さえ高めること

・物理的に奪われたり、なくしてGOXしないこと

この2点ですね。取引所に頼らず個人でやる場合、ここが完全自己責任になるので、やり過ぎぐらいに気をつけようという観点になります。

また、「会社の仕事として顧客の資金を扱う」場合と、「完全自己責任のプレッシャーの中で、自分の全資産を扱う場合」とでは、その真剣度や警戒度は比較にならないとも私は考えています（もちろん後者の方が上という考え）

なぜそういうことを言うのかと言えば、個人のセキュリティホールは最後はソーシャルエンジニアリングだからです。ビビりまくって死ぬほど気をつければ、防げると思います。