2026年にソーシャルエンジニアリングから暗号資産を守る方法

暗号資産セキュリティの専門家によると、来年の暗号資産エクスプロイトの大部分は、お気に入りのプロトコルのゼロデイバグによって引き起こされるのではなく、あなた自身によって引き起こされるということです。 

それは、2025年がハッキングの大部分が悪意のあるコードから始まるのではなく、会話から始まることを示したからだと、暗号資産取引所Krakenの最高セキュリティ責任者であるNick Percocoは、Cointelegraphに語りました。 

2025年1月から12月初旬までのChainalysisのデータによると、暗号資産業界は34億ドル以上の盗難を目撃し、2月のBybitの侵害がその総額のほぼ半分を占めています。 

攻撃中、悪意のある行為者はソーシャルエンジニアリングを通じてアクセスを取得し、悪意のあるJavaScriptペイロードを注入して、取引の詳細を変更し、資金を吸い上げることを可能にしました。

ソーシャルエンジニアリングとは? 

ソーシャルエンジニアリングは、人々を操作して機密情報を明らかにさせたり、セキュリティを危険にさらす行動を実行させたりするサイバー攻撃の手法です。 

Percocoは、暗号資産セキュリティの戦場はサイバースペースではなく、心の中にあると述べました。 

ヒント1:可能な限り自動化を使用する 

Percocoによると、サプライチェーンの侵害も今年の重要な課題であることが証明されました。一見軽微な侵害が後に壊滅的なものになる可能性があるからです。なぜなら「それはデジタルジェンガタワーであり、すべての単一ブロックの完全性が重要だから」です。 

今後の年に向けて、Percocoは、可能な限り防御を自動化し、認証を通じてすべてのデジタルインタラクションを検証するなどの行動を通じて、人間の信頼ポイントを減らすことを推奨しています。これは「リアクティブ防御からプロアクティブ予防へのシフト」です。

「特に暗号資産では、最も弱いリンクは人間の信頼であり、それは貪欲とFOMOによって増幅されます。それが攻撃者が毎回悪用する亀裂です。しかし、どんな技術も良い習慣に取って代わることはできません」と彼は付け加えました。

ヒント2:インフラストラクチャを分離する

SlowMistのセキュリティ運用リーダーであるLisaは、悪意のある行為者が今年、開発者エコシステムをますます標的にしており、クラウド認証情報の漏洩と組み合わせることで、悪意のあるコードを注入し、秘密を盗み、ソフトウェアアップデートを汚染する機会を生み出したと述べました。 

「開発者は、依存関係のバージョンをピンで固定し、パッケージの整合性を検証し、ビルド環境を分離し、デプロイ前にアップデートをレビューすることで、これらのリスクを軽減できます」と彼女は述べました。 

2026年に入ると、Lisaは最も重大な脅威は、ますます洗練された認証情報の窃盗とソーシャルエンジニアリング操作から生じる可能性が高いと予測しています。 

「脅威アクターはすでに、AI生成のディープフェイク、カスタマイズされたフィッシング、さらには偽の開発者採用テストを活用して、ウォレットキー、クラウド認証情報、署名トークンを取得しています。これらの攻撃はますます自動化され、説得力を増しており、この傾向は今後も続くと予想しています」と彼女は述べました。 

安全を保つために、Lisaの組織へのアドバイスは、強力なアクセス制御、キーローテーション、ハードウェアベースの認証、インフラストラクチャのセグメンテーション、異常検知と監視を実装することです。 

個人は、ハードウェアウォレットに依存し、未検証のファイルとのやり取りを避け、独立したチャネル全体でアイデンティティをクロスチェックし、一方的なリンクやダウンロードには注意を払う必要があります。

ヒント3:AIディープフェイクと戦うための人格証明

ブロックチェーンサイバーセキュリティ企業Halbornの共同創設者兼最高技術責任者であるSteven Walbroehlは、AI強化されたソーシャルエンジニアリングが暗号資産ハッカーのプレイブックで重要な役割を果たすと予測しています。

3月には、少なくとも3人の暗号資産創設者が、ディープフェイクを使用した偽のZoom通話を通じて機密データを盗もうとした北朝鮮のハッカーとされる者からの試みを阻止したと報告しました。

Walbroehlは、ハッカーがAIを使用して、従来のセキュリティ意識トレーニングをバイパスする、高度にパーソナライズされたコンテキストを認識する攻撃を作成していると警告しています。

これに対処するために、彼はすべての重要な通信に暗号化された人格証明を実装し、生体認証バインディングを備えたハードウェアベースの認証、通常のトランザクションパターンをベースラインとする異常検知システム、および事前共有された秘密やフレーズを使用した検証プロトコルの確立を提案しています。 

ヒント4:暗号資産を自分で保管する

レンチ攻撃、または暗号資産保有者への物理的攻撃も、2025年の顕著なテーマであり、Bitcoin OGとサイファーパンクのJameson LoppsのGitHubリストによると、少なくとも65件の記録された事例がありました。2021年の最後の強気相場のピークは、これまでで最悪の年であり、合計36件の記録された攻撃がありました。 

元CIA職員であるBeauという名前のXユーザーは、12月2日のX投稿で、レンチ攻撃はまだ比較的まれであるが、暗号資産ユーザーは、富について話したり、暗号資産保有や贅沢なライフスタイルをオンラインで開示しないことから始めて、予防措置を講じることを推奨していると述べました。 

彼はまた、データクリーンアップツールを使用して自宅の住所などの個人情報を隠し、セキュリティカメラやアラームなどの自宅の防御に投資することで、「困難なターゲット」になることを提案しています。 

ヒント5:試行錯誤されたセキュリティのヒントをケチらない 

Robinhoodで最高情報セキュリティ責任者として働いたセキュリティ専門家であるDavid Schwedは、彼の最高のヒントは、スマートコントラクトからインフラストラクチャまで、スタック全体の厳格で定期的な第三者セキュリティ監査を含む、警戒的なセキュリティ慣行を示す評判の良い企業に固執することだと述べました。

しかし、技術に関係なく、Schwedは、ユーザーは複数のアカウントに同じパスワードを使用することを避け、多要素認証方法としてハードウェアトークンを使用することを選択し、安全に暗号化するか、安全な物理的な場所にオフラインで保存することでシードフレーズを保護する必要があると述べました。

彼はまた、重要な保有のために専用のハードウェアウォレットを使用し、取引所での保有を最小限に抑えることをアドバイスしています。

関連:スピアフィッシングは北朝鮮ハッカーのトップ戦術:安全を保つ方法

「セキュリティは相互作用レイヤーに依存します。ユーザーは、ハードウェアウォレットを新しいWebアプリケーションに接続する際には、超警戒を維持する必要があり、署名する前にハードウェアデバイスの画面に表示されるトランザクションデータを徹底的に検証する必要があります。これにより、悪意のある契約の『ブラインド署名』を防ぎます」とSchwedは付け加えました。

Lisaは、彼女の最高のヒントは、公式ソフトウェアのみを使用し、未検証のURLとのやり取りを避け、ホット、ウォーム、コールド構成全体で資金を分離することだと述べました。 

ソーシャルエンジニアリングやフィッシングなどの詐欺の高度化に対抗するために、KrakenのPercocoは、真正性を検証し、すべてのメッセージが意識のテストであると仮定することで、常に「過激な懐疑主義」を推奨しています。

「そして、1つの普遍的な真実が残っています:正当な会社、サービス、または機会は、決してシードフレーズやログイン認証情報を求めることはありません。彼らがそうした瞬間、あなたは詐欺師と話しているのです」とPercocoは付け加えました。 

一方、Walbroehlは、暗号的に安全な乱数生成器を使用してキーを生成し、開発環境と本番環境の厳格な分離、定期的なセキュリティ監査と定期的な訓練を伴うインシデント対応計画を推奨しています。 

Magazine:プライバシーとAML法が対立するとき:暗号資産プロジェクトの不可能な選択