2025年の暗号資産セキュリティ：Trust Walletがハッキングされ、Ledgerが再び情報流出―資産を守るための解決策は？

2024年末、2つの大規模なサイバーセキュリティ事件がユーザーの信頼を揺るがせた。Trust WalletのChrome拡張機能が侵害され、700万ドルが盗まれた事件と、Ledgerで発生した個人情報の流出である。攻撃が増加する中、業界はエコシステムの安全を守るため、根本的に異なるアプローチを模索している。

Trust Wallet：悪意のある拡張機能で700万ドル流出

2025年12月24日、Trust WalletのChrome拡張機能（バージョン2.68）のアップデートにより、攻撃者は複数のブロックチェーンで合計約700万ドルを盗み出すことに成功した。この事件はオンチェーン調査員ZachXBTによって最初に明らかにされ、危険な拡張機能にリカバリーフレーズをインポートした数百人のユーザーが被害に遭った。

PeckShieldおよびSlowMistの分析によると、悪意あるコードはウォレットデータをフィッシング用ドメイン（metrics-trustwallet.com）に密かに送信していた。このドメインは攻撃の数日前に登録されたものだった。盗まれた資金は、およそ300万ドルのBitcoinと300万ドル超のEthereumであり、資金洗浄のためにChangeNOW、FixedFloat、KuCoinなどの中央集権型取引所を経由していた。

Trust WalletのCEOであるEowyn Chenは、悪意のある拡張機能が侵害されたChrome Web Store APIキーを用いて公開され、社内の検証プロセスをすり抜けたことを認めた。Trust Walletを所有するBinance共同創業者Changpeng Zhaoは、被害者への全額補償を発表し、「国家レベルのアクター」や内部関係者の関与の可能性を示唆した。

Ledger：またもや第三者パートナーからのデータ漏洩

2026年1月初旬、Ledgerは決済処理業者でありEコマースパートナーであるGlobal-eでの侵害を受け、新たな個人データ漏洩が発生したことを顧客に通知した。漏洩した情報は、ledger.comで購入した一部利用者の氏名、メールアドレス、郵送先住所が含まれている。

Ledgerは、自社の内部システム、ハードウェア、およびソフトウェアは影響を受けていないことを明確にした。Global-eはリカバリーフレーズ（24ワード）、秘密鍵、ユーザー残高にアクセスできない。しかしこの流出は、2020年に27万人以上の顧客データが流出し、継続的なフィッシングや「レンチアタック」（標的型の物理的脅迫）を引き起こした事件の記憶をよみがえらせている。

Ledger内部の調査によると、2025年にはソーシャルエンジニアリング攻撃が2024年比40%増加しており、攻撃者は盗まれた個人データを利用して従来のセキュリティ対策を回避しているという。

根本的な問題：脆弱な中央集権型アーキテクチャ

これら2つの事件は性質こそ異なるが、単一障害点への依存という共通点がある。Trust Walletでは1つのAPIキーが侵害されただけで悪意のあるコードが注入された。Ledgerでは外部ベンダーへの信頼が顧客データ流出を招いた。

Chainalysisの2025年レポートによれば、今年だけで34億ドル以上が暗号資産エコシステムから盗まれ、しかもプロトコルではなく個人ユーザーを狙った攻撃が急増している。CertiKもこの傾向を確認しており、ハッカーはスマートコントラクトの脆弱性から人的ミスや周辺の入り口を狙うように変化している。

こうした現実を前に、ブロックチェーン・サイバーセキュリティ業界は従来型モデルの限界を超える新たなアプローチを模索している。

ブロックチェーン・サイバーセキュリティソリューションの概観

主要なプレイヤーがWeb3エコシステムを守るために補完的なアプローチを提供している：

CertiK：監査を業界標準に

スマートコントラクト監査のグローバルリーダーであるCertiKは、2億9600万ドルを調達し、3,200社の顧客に3,000億ドル超の資産保護を提供している。Skynetプラットフォームはリアルタイム監視を行い、形式手法ツールがデプロイ前の脆弱性を特定する。制限点：監査はあくまで一時点のスナップショットであり、デプロイ後の脅威やインフラへの攻撃はカバーされない。

HackenおよびQuantstamp：監査と認証

HackenおよびQuantstampは、取引所向けのProof-of-Reservesを含む信頼ある監査サービスを提供している。たとえばBybit EUは、透明性のためHacken監査を採用している。制限点：CertiK同様、進化する脅威やリアルタイムのインフラ侵害には対応できない。

Naoris Protocol：分散型・ポスト量子サイバーセキュリティへ

Naoris Protocolは、接続されたあらゆるデバイスをセキュリティ検証ノードに変えるという、根本的に異なるアプローチで登場した。2018年にDavid Carvalhoによって設立されたこのプロトコルは、デバイス同士がリアルタイムで相互監査する分散型「Trust Mesh」を展開し、単一障害点を排除する。

時点監査型ソリューションとは異なり、NaorisはdPoSec（Decentralized Proof of Security）と呼ばれる革新的なコンセンサスメカニズムにより、各ノードが他ノードの完全性を継続的に検証する。プラットフォームにはAI分散型のSWARM AIも統合されており、脅威対応の調整や防御アップデートの即時配信を担う。

特にNaorisを際立たせるのは、そのポスト量子インフラである。現行の暗号アルゴリズム（RSA、ECC）は将来の量子コンピュータに弱いが、NaorisはNIST、NATO NCIA、ETSIに準拠した（特にDilithium-5など）標準を用い、長期的な耐性を確保している。2025年9月には、米国SECへの提出書類で量子耐性ブロックチェーンインフラのリファレンスモデルとして言及された。

2025年1月にローンチされたテストネットは、1億件超のポスト量子トランザクション処理、330万ウォレット、100万バリデータノード、6億件の脅威無力化という実績を示している。Tim Draperなどの投資家から3,100万ドルを調達し、元IBM、NATO、ホワイトハウス関係者がアドバイザーとして参画している。

これがユーザーにもたらす意味

Trust Walletのケースでは、Trust Meshアーキテクチャが、拡張機能の異常（外部ドメインへのデータ送信）を資金流出前に検出できた可能性がある。ネットワーク上のすべてのデバイスが協力して異常を特定できたのだ。

Ledgerの場合、単一ベンダー（Global-e）への依存が中央集権型モデルの限界を示している。第三者システムの分散検証が攻撃面を減らし、データ流出範囲を限定できたはずだ。

分散型の「ゼロトラスト」哲学は、単一のポイントだけでなくエコシステム全体のレジリエンスを高める。このアプローチはウォレットだけでなく、DeFiプラットフォーム、DAO、重要なガバナンスシステムにも適用可能だ。

サイバーセキュリティ・アプローチ比較

分散型の「ゼロトラスト」哲学は、単一のポイントだけでなくエコシステム全体のレジリエンスを高める。このアプローチはウォレットだけでなく、DeFiプラットフォーム、DAO、重要なガバナンスシステムにも適用可能だ。