暗号セキュリティに関する物語は、業界が予想しなかった方法で変化しています。2025年は暗号ハッキングの最悪の年として記録的な悪い記録を打ち立てましたが、問題の根源は洗練されたスマートコントラクトの悪用や巧妙なコードの脆弱性ではありません。むしろ、190億の漏洩パスワードやWeb2スタイルの運用失敗—盗まれた資格情報、操作された従業員、偽のサポートチャネル—が大部分の損失を占めています。この再定義は非常に重要です。なぜなら、直感に反して、オンチェーンのセキュリティが強化されるにつれて、攻撃者はシステム内で最も簡単な脆弱性、人間を標的に適応しているからです。オンチェーンセキュリティプラットフォームImmunefiのCEO、ミッチェル・アマドールは、この変化を独占インタビューで次のように明確に述べました。「2025年はハッキングの最悪の年でしたが、そのハッキングはオンチェーンのコードではなく、Web2の運用失敗に起因しています。」この区別は、暗号の進化する脅威の本質に迫ります。2025年を通じて損失は増加しましたが、逆にオンチェーンのセキュリティは改善されており、この乖離は今後のデジタル資産保護の時代を決定づけるでしょう。## 人間の要素が暗号の最弱のリンクに証拠は明白です。2025年には約170億ドルの暗号通貨が詐欺や詐欺行為を通じて奪われ、なりすまし戦術やAIを活用した手口が非常に効果的な攻撃手段として浮上しています。Chainalysisの2026年暗号犯罪レポートは、攻撃者の行動における大きな変化を記録しています。なりすまし詐欺は前年比1,400%の爆発的な増加を示し、AIを活用した詐欺は従来の手法より450%も収益性が高いことが判明しています。これは抽象的な話ではありません。具体的な被害もあります。先月、ブロックチェーン研究者のZachXBTは、攻撃者がターゲットを操作して2.05百万 LTCと1,459 BTCを奪取した3億ドル超のソーシャルエンジニアリングのハイストを暴露しました。盗品はすぐにプライバシー重視の即時交換所を通じてMoneroに洗浄され、運用上のセキュリティ失敗がエコシステム全体に波及していることを示しています。これらの攻撃の特に厄介な点は、その技術的ハードルの低さにあります。説得力のあるフィッシングメールや偽のサポートエージェント、侵害された資格情報は、あらゆるファイアウォールや高度なコントラクト監査を回避します。インターネットのさまざまな闇のコーナーで流通している190億の漏洩パスワードは、攻撃の範囲を拡大し続けており、自動化された防御が追いつきにくい状況です。## なりすましとAI詐欺が従来のインフラ攻撃を凌駕犯罪者の計算は変わりました。かつてはトークンコントラクトやレイヤー2の実装の稀なバグを狙っていた攻撃者も、今や社会心理学と大規模な操作を優先しています。Chainalysisのデータは、この地殻変動を明確に示しています。詐欺や不正は、従来のインフラ侵害を上回る主要な価値抽出の手段となっています。アマドールは、コードの脆弱性が減少している理由について次のように述べています。「コードが脆弱でなくなるにつれて、2026年の主な攻撃対象は人間になるでしょう。」DeFiプロトコルは、監査、バグバウンティプログラム、防御的アーキテクチャを通じてセキュリティ体制を大きく向上させてきました。しかし、この進歩は逆説的なインセンティブ構造を生み出しています。攻撃者は単純にターゲットを下流に移し、個人ユーザー、企業従業員、運用プロセスを狙うのです。規模は驚くべきものです。なりすまし詐欺だけでも、不正のカテゴリーにとどまらず、主要な脅威のベクトルとなっています。AIを活用した社会工学と組み合わせることで、説得力のある合成アイデンティティや個別操作を機械の速度で行えるため、個人を標的にする効率と収益性はかつてないほど高まっています。## スマートコントラクトのセキュリティは社会工学を止められない衝撃的な統計は、このパラドックスを浮き彫りにします。暗号プロジェクトの90%以上が未修正の重大な脆弱性をコードに抱えています。しかし、この厳しい現実は、より深い真実を覆い隠しています。それは、脆弱性がコードの未修正だけではなく、付箋に書かれたウォレットのパスワードや、タクシーに置き忘れたUSBキー、悪意のあるリンクをクリックする従業員にあります。ChainalysisとImmunefiの調査結果は、居心地の悪い現実に一致します。リスクを劇的に低減できる防御ツールは、ほとんど活用されていません。業界の1%未満がファイアウォールを導入し、10%未満がAI駆動の検出システムを実装しています。これらのギャップは技術的な失敗ではなく、組織的な問題です。2025年を特徴付けた多くの運用災害を防ぐインフラは存在しますが、その採用はひどく遅れています。アマドールの見解は、この課題を人間の側面から捉えています。「人間の要素が今や、オンチェーンセキュリティの専門家やWeb3プレイヤーが優先すべき弱点です。」これは誇張ではありません。スマートコントラクトのバグとは異なり、漏洩したパスワードを悪用するには高度な脆弱性研究は不要です。大規模に配布され、AIによる操作が容易になり、人間の心理の永遠の柔軟性によって、操作は非常に簡単になっています。## AIの軍拡競争:守る側と攻める側の機械速度の戦い2025年は人々を大規模に悪用する方法を学んだ犯罪者の年でしたが、2026年は、そのような悪用を可能にし、対抗する技術の年になるでしょう。アマドールは、「AIは両者のセキュリティのテンポを変える」と説明します。守る側は、異常を検知し攻撃をミリ秒でブロックするAI駆動の監視・対応システムを展開し、攻める側も同じツールを使って脆弱性調査やエクスプロイトエンジニアリング、大規模な社会工学キャンペーンを行います。この軍拡競争は、業界の多くが十分に備えていないリスクのカテゴリーをもたらします。コードのセキュリティが強化されるにつれ、脆弱性の最前線は静的なコントラクトから動的な人間と機械のインターフェースへと移行します。ユーザー、ウォレット、取引所、プロトコル間のインターフェースが新たな戦場となり、AIは前例のない防御と欺瞞の両方を可能にします。## オンチェーンエージェントが新たな脆弱性をもたらすアマドールが指摘した最も先進的なリスクは、従来のサイバーセキュリティの枠組みを超えたものです。自律的なオンチェーンエージェントやAIシステムが、人間の介在なしに意思決定や資産移転を行う能力を獲得するにつれ、新たな攻撃面が出現します。「オンチェーンAIエージェントは、人間の運用者よりも高速かつ強力になり得ますが、そのアクセス経路や制御層が侵害されると、操作されやすくなります」と彼は警告します。これはリスクの質的な変化を示しています。従来のセキュリティ失敗は、ウォレットや取引所アカウントの侵害を必要としましたが、AIエージェントは、プロトコルや流動性プールに委任された権限で動作します。単一のエージェントの制御層を侵害すれば、攻撃者はアルゴリズム的に資本の流れにアクセスできるのです。「エージェントを適切に保護する方法を学び始めたばかりであり、それが次のサイクルの最も重要なセキュリティ課題の一つになるでしょう」とアマドールは認めています。## 今後の展望:コードを超えたセキュリティセキュリティ専門家の間で浮き彫りになっている共通認識は非常に鮮明です。オンチェーンのセキュリティは明らかに向上していますが、総損失は増え続けています。この矛盾は、コードから運用へ視点を切り替えると解消します。敵は巧妙なプログラマーがリエントラントバグを見つけることではなく、19億の漏洩パスワードや合成アイデンティティ、心理操作を駆使して個人から価値を引き出す高度な犯罪者です。暗号業界の対応次第で、2026年が2025年の被害を逆転させるかどうかが決まります。防御AIシステムへの投資、エンタープライズグレードのパスワード管理、多署名コントロール、教育の充実が必要です。基本的なセキュリティインフラを未だに導入していないプロジェクトが99%も存在しているギャップを埋める必要があります。最も根本的には、世界最高の暗号技術も、最も弱いリンクである人間の判断、妥協、欺瞞が残る限り、意味がないことを認識することが必要です。セキュリティの戦いはもはやオンチェーン上ではなく、ユーザーインターフェース、企業のアクセスコントロール、監視ダッシュボード、人間の意図と自動化された実行の間の空間で行われています。そして、その舞台で最終的に勝つのは、技術的洗練と運用の規律を兼ね備えた側です。
19億以上の漏洩したパスワードが示すのは、暗号の真のセキュリティ問題はコードではなく人間であるということだ
暗号セキュリティに関する物語は、業界が予想しなかった方法で変化しています。2025年は暗号ハッキングの最悪の年として記録的な悪い記録を打ち立てましたが、問題の根源は洗練されたスマートコントラクトの悪用や巧妙なコードの脆弱性ではありません。むしろ、190億の漏洩パスワードやWeb2スタイルの運用失敗—盗まれた資格情報、操作された従業員、偽のサポートチャネル—が大部分の損失を占めています。この再定義は非常に重要です。なぜなら、直感に反して、オンチェーンのセキュリティが強化されるにつれて、攻撃者はシステム内で最も簡単な脆弱性、人間を標的に適応しているからです。
オンチェーンセキュリティプラットフォームImmunefiのCEO、ミッチェル・アマドールは、この変化を独占インタビューで次のように明確に述べました。「2025年はハッキングの最悪の年でしたが、そのハッキングはオンチェーンのコードではなく、Web2の運用失敗に起因しています。」この区別は、暗号の進化する脅威の本質に迫ります。2025年を通じて損失は増加しましたが、逆にオンチェーンのセキュリティは改善されており、この乖離は今後のデジタル資産保護の時代を決定づけるでしょう。
人間の要素が暗号の最弱のリンクに
証拠は明白です。2025年には約170億ドルの暗号通貨が詐欺や詐欺行為を通じて奪われ、なりすまし戦術やAIを活用した手口が非常に効果的な攻撃手段として浮上しています。Chainalysisの2026年暗号犯罪レポートは、攻撃者の行動における大きな変化を記録しています。なりすまし詐欺は前年比1,400%の爆発的な増加を示し、AIを活用した詐欺は従来の手法より450%も収益性が高いことが判明しています。
これは抽象的な話ではありません。具体的な被害もあります。先月、ブロックチェーン研究者のZachXBTは、攻撃者がターゲットを操作して2.05百万 LTCと1,459 BTCを奪取した3億ドル超のソーシャルエンジニアリングのハイストを暴露しました。盗品はすぐにプライバシー重視の即時交換所を通じてMoneroに洗浄され、運用上のセキュリティ失敗がエコシステム全体に波及していることを示しています。
これらの攻撃の特に厄介な点は、その技術的ハードルの低さにあります。説得力のあるフィッシングメールや偽のサポートエージェント、侵害された資格情報は、あらゆるファイアウォールや高度なコントラクト監査を回避します。インターネットのさまざまな闇のコーナーで流通している190億の漏洩パスワードは、攻撃の範囲を拡大し続けており、自動化された防御が追いつきにくい状況です。
なりすましとAI詐欺が従来のインフラ攻撃を凌駕
犯罪者の計算は変わりました。かつてはトークンコントラクトやレイヤー2の実装の稀なバグを狙っていた攻撃者も、今や社会心理学と大規模な操作を優先しています。Chainalysisのデータは、この地殻変動を明確に示しています。詐欺や不正は、従来のインフラ侵害を上回る主要な価値抽出の手段となっています。
アマドールは、コードの脆弱性が減少している理由について次のように述べています。「コードが脆弱でなくなるにつれて、2026年の主な攻撃対象は人間になるでしょう。」DeFiプロトコルは、監査、バグバウンティプログラム、防御的アーキテクチャを通じてセキュリティ体制を大きく向上させてきました。しかし、この進歩は逆説的なインセンティブ構造を生み出しています。攻撃者は単純にターゲットを下流に移し、個人ユーザー、企業従業員、運用プロセスを狙うのです。
規模は驚くべきものです。なりすまし詐欺だけでも、不正のカテゴリーにとどまらず、主要な脅威のベクトルとなっています。AIを活用した社会工学と組み合わせることで、説得力のある合成アイデンティティや個別操作を機械の速度で行えるため、個人を標的にする効率と収益性はかつてないほど高まっています。
スマートコントラクトのセキュリティは社会工学を止められない
衝撃的な統計は、このパラドックスを浮き彫りにします。暗号プロジェクトの90%以上が未修正の重大な脆弱性をコードに抱えています。しかし、この厳しい現実は、より深い真実を覆い隠しています。それは、脆弱性がコードの未修正だけではなく、付箋に書かれたウォレットのパスワードや、タクシーに置き忘れたUSBキー、悪意のあるリンクをクリックする従業員にあります。
ChainalysisとImmunefiの調査結果は、居心地の悪い現実に一致します。リスクを劇的に低減できる防御ツールは、ほとんど活用されていません。業界の1%未満がファイアウォールを導入し、10%未満がAI駆動の検出システムを実装しています。これらのギャップは技術的な失敗ではなく、組織的な問題です。2025年を特徴付けた多くの運用災害を防ぐインフラは存在しますが、その採用はひどく遅れています。
アマドールの見解は、この課題を人間の側面から捉えています。「人間の要素が今や、オンチェーンセキュリティの専門家やWeb3プレイヤーが優先すべき弱点です。」これは誇張ではありません。スマートコントラクトのバグとは異なり、漏洩したパスワードを悪用するには高度な脆弱性研究は不要です。大規模に配布され、AIによる操作が容易になり、人間の心理の永遠の柔軟性によって、操作は非常に簡単になっています。
AIの軍拡競争:守る側と攻める側の機械速度の戦い
2025年は人々を大規模に悪用する方法を学んだ犯罪者の年でしたが、2026年は、そのような悪用を可能にし、対抗する技術の年になるでしょう。アマドールは、「AIは両者のセキュリティのテンポを変える」と説明します。守る側は、異常を検知し攻撃をミリ秒でブロックするAI駆動の監視・対応システムを展開し、攻める側も同じツールを使って脆弱性調査やエクスプロイトエンジニアリング、大規模な社会工学キャンペーンを行います。
この軍拡競争は、業界の多くが十分に備えていないリスクのカテゴリーをもたらします。コードのセキュリティが強化されるにつれ、脆弱性の最前線は静的なコントラクトから動的な人間と機械のインターフェースへと移行します。ユーザー、ウォレット、取引所、プロトコル間のインターフェースが新たな戦場となり、AIは前例のない防御と欺瞞の両方を可能にします。
オンチェーンエージェントが新たな脆弱性をもたらす
アマドールが指摘した最も先進的なリスクは、従来のサイバーセキュリティの枠組みを超えたものです。自律的なオンチェーンエージェントやAIシステムが、人間の介在なしに意思決定や資産移転を行う能力を獲得するにつれ、新たな攻撃面が出現します。「オンチェーンAIエージェントは、人間の運用者よりも高速かつ強力になり得ますが、そのアクセス経路や制御層が侵害されると、操作されやすくなります」と彼は警告します。
これはリスクの質的な変化を示しています。従来のセキュリティ失敗は、ウォレットや取引所アカウントの侵害を必要としましたが、AIエージェントは、プロトコルや流動性プールに委任された権限で動作します。単一のエージェントの制御層を侵害すれば、攻撃者はアルゴリズム的に資本の流れにアクセスできるのです。「エージェントを適切に保護する方法を学び始めたばかりであり、それが次のサイクルの最も重要なセキュリティ課題の一つになるでしょう」とアマドールは認めています。
今後の展望:コードを超えたセキュリティ
セキュリティ専門家の間で浮き彫りになっている共通認識は非常に鮮明です。オンチェーンのセキュリティは明らかに向上していますが、総損失は増え続けています。この矛盾は、コードから運用へ視点を切り替えると解消します。敵は巧妙なプログラマーがリエントラントバグを見つけることではなく、19億の漏洩パスワードや合成アイデンティティ、心理操作を駆使して個人から価値を引き出す高度な犯罪者です。
暗号業界の対応次第で、2026年が2025年の被害を逆転させるかどうかが決まります。防御AIシステムへの投資、エンタープライズグレードのパスワード管理、多署名コントロール、教育の充実が必要です。基本的なセキュリティインフラを未だに導入していないプロジェクトが99%も存在しているギャップを埋める必要があります。最も根本的には、世界最高の暗号技術も、最も弱いリンクである人間の判断、妥協、欺瞞が残る限り、意味がないことを認識することが必要です。
セキュリティの戦いはもはやオンチェーン上ではなく、ユーザーインターフェース、企業のアクセスコントロール、監視ダッシュボード、人間の意図と自動化された実行の間の空間で行われています。そして、その舞台で最終的に勝つのは、技術的洗練と運用の規律を兼ね備えた側です。