暗号業界の2025年の記録的な損失は、巧妙なスマートコントラクトの悪用やプロトコルレベルのコードの失敗から主に生まれたわけではありません。むしろ、最大のセキュリティ侵害は、より根本的な弱点に遡ります。それは、ダークウェブや闇市場で流通している大量の侵害されたパスワードのプールです。世界中で数十億の資格情報が漏洩している中、攻撃者はこれまで以上に簡単な手段で暗号ウォレットや取引所アカウント、企業インフラに侵入できるようになっています。高価な技術的悪用よりも、単純な資格情報の窃盗やソーシャルエンジニアリングを通じて侵入を試みています。「暗号ハッキングに関する物語は根本的に変わった」と、オンチェーンセキュリティプラットフォームImmunefiのCEO、ミッチェル・アマドールは、出現する脅威の状況分析の中で説明しています。「2025年は記録的にセキュリティ損失が最悪の年となったにもかかわらず、被害の大部分はコードの破損ではなく、運用上の脆弱性や侵害された資格情報に起因しています。」この区別は、2026年以降の業界の防御アプローチに深遠な影響をもたらします。開発者たちはオンチェーンのプロトコルセキュリティの測定可能な改善を祝福していますが、実際の攻撃対象は完全に別の場所に移動しています。それは、パスワード、認証システム、人間の意思決定プロセスです。## コードの悪用から資格情報の窃盗へ:セキュリティパラダイムの変化DeFiプロトコルや主要なオンチェーンシステムは、従来の技術的手段による侵害が格段に難しくなっています。セキュリティ監査、形式検証手法、バグバウンティプログラムは、悪用可能なコードの脆弱性を体系的に減少させてきました。それと同時に、暗号通貨業界は逆の問題に直面しています。技術的なセキュリティが強化されるにつれて、人間の運用上のセキュリティが最大の弱点となっています。世界中で漏洩した資格情報の19億という数字は、この変化の規模を示しています。これらの資格情報は、暗号アカウント、企業システム、機関のインフラへの潜在的な入り口を表しています。攻撃者はもはやゼロデイの悪用を開発したり、バイトコードを分析したりする必要はありません。彼らは単にパスワードデータベースを入手し、暗号通貨取引所のメールアドレスと照合し、ターゲットを絞った資格情報詰め込みキャンペーンを展開するだけです。「プロジェクトの90%以上は依然としてコードベースに重大な脆弱性を抱えています」とアマドールは認めましたが、彼は逆説的な現実も強調しています。「オンチェーンのセキュリティは劇的に向上しています。2026年の本当の戦いは、スマートコントラクト自体ではなく、人間の監視の防御境界線上で行われるでしょう。」## ソーシャルエンジニアリングは数十億の盗まれたパスワードを武器にChainalysisの2026年暗号犯罪レポートによると、詐欺や不正行為は従来のインフラハッキングを大きく上回る損失の原因となっています。2025年を通じて、詐欺や不正行為による損失は約170億ドルにのぼり、資格情報を狙った攻撃の規模を反映しています。最も破壊的な戦術は、侵害されたパスワードとソーシャルエンジニアリングの精度を組み合わせたものです。なりすまし詐欺だけでも前年比1,400%増加し、攻撃者は正規のサポートスタッフ、取引所の代表者、プロトコル開発者を装って被害者に認証資格や秘密鍵を自発的に渡させるよう仕向けています。今月初め、ブロックチェーン研究者のZachXBTが、攻撃者が2億8200万ドルのビットコインとライトコインを奪った巧妙なソーシャルエンジニアリングキャンペーンを暴露したことで、この脅威が明確になりました。被害者は、攻撃者が侵害された従業員の資格情報や傍受した通信を利用して、資金を攻撃者管理のウォレットに送金させられ、結果的に205万 LTCと1459 BTCを失いました。盗まれた資産はすぐにプライバシーミキサーを経由し、モネロへの換金ポイントへと流れました。こうした事件は、侵害されたパスワード、ソーシャルエンジニアリング、攻撃者の高度な技術の衝突が、個人ユーザーや機関にとってほぼ克服不可能な障壁を生み出していることを示しています。攻撃者のツールキットはもはや深いブロックチェーン知識を必要とせず、盗まれた資格情報と説得力のあるソーシャルエンジニアリング技術さえあれば十分です。## AIが脅威を倍増:詐欺が急増し、検知は遅れる人工知能は、資格情報を狙った攻撃の経済性と規模を根本的に変えました。Chainalysisのデータによると、AIを活用した詐欺活動は2025年に従来の手法より450%も収益性が高くなったといいます。これは、AIが被害者のターゲティング、フィッシングメッセージの生成、ソーシャルエンジニアリングを前例のない規模で自動化できるためです。この効率化により、攻撃者はこれまで以上に迅速かつ知的に、数十億の侵害されたパスワードを処理できるようになっています。特定の被害者の資格情報を手動で探す代わりに、AIシステムは侵害されたパスワードデータベースと既知の暗号通貨ユーザーを自動的に照合し、高価値ターゲットを特定し、個別のソーシャルエンジニアリングスクリプトを生成し、複数のチャネルで協調したキャンペーンを同時に実行します。しかし、防御側の対応は依然として不十分です。アマドールは、次のような顕著なギャップを指摘しています。「業界のわずか1%未満がファイアウォール保護を採用し、AI駆動の検知ツールを導入しているのは10%未満です。」この防御の不足は、侵害されたパスワードのストックが攻撃を促進し続けている一方で、保護技術の導入はほとんど進んでいないことを意味します。## オンチェーンのセキュリティは向上しているが、人間の防御は脆弱なまま2025年のパラドックスは、この矛盾に集中しています。オンチェーンのセキュリティは大幅に強化されたにもかかわらず、総損失額は増加しました。この明らかな矛盾は、実際に侵害が起きた場所を調べると解消されます。プロトコルのコードはより堅牢になった一方で、人間の層—パスワード、従業員のアクセス、ソーシャルエンジニアリングの脆弱性—は逆に弱くなり、最大の攻撃対象となっています。アマドールは、2026年は「コードの観点から見れば、オンチェーンセキュリティにとって最高の年になる」と予測しています。DeFiプロトコルは従来の悪用に対して引き続き堅牢化し続けるでしょう。しかし、彼は同時に、こうした技術的進歩はより深い脆弱性を隠していると警告しています。「人間の要素が今や、オンチェーンセキュリティの専門家やWeb3プレイヤーが優先すべき弱点です。」この意味するところは明白です。闇市場や攻撃者コミュニティを通じて、数十億の侵害されたパスワードが依然として流通している限り、資格情報を狙った攻撃の入り口はますます低くなり続けます。19億の侵害されたパスワードデータベースにアクセスできる攻撃者は、最小限の洗練度—粘り強さ、ソーシャルエンジニアリングのスキル、脆弱なターゲットを見つける忍耐力—だけで十分です。## 2026年に向けた準備:新たなセキュリティフロンティア暗号セキュリティの次の段階は、従来のプロトコルセキュリティ戦争とは全く異なる戦場で展開されるでしょう。アマドールは、「2026年には、AIが両側のセキュリティのテンポを変える。防御側はAI駆動の監視と対応をマシンの速度で行い、攻撃側は同じツールを使って脆弱性調査やソーシャルエンジニアリングを大規模に展開する」と強調しています。新たに出現し、より不安定にさえなる可能性のある脅威は、オンチェーンAIエージェント—人間の介入なしに金融判断を実行する自律システムです。これらのエージェントは、新たな攻撃対象の表面をもたらします。「オンチェーンAIエージェントは、人間のオペレーターよりも高速かつ強力になり得る」とアマドールは警告し、「アクセス経路や制御層が侵害された場合、操作の操作も可能です」と述べています。自律的な取引やプロトコル管理システムに向かう業界の動きに伴い、そのセキュリティの影響はほとんど未解明のままです。世界中で流通している19億の侵害されたパスワードは、現時点の危機層にすぎません。AIが攻撃キャンペーンを加速させ、自律システムが普及するにつれて、セキュリティの焦点はコード監査から運用の強化—従業員の訓練、資格情報管理、アクセス制御システム、監視インフラ—へと大きくシフトします。攻撃者は、何十億ものパスワードを盗むことが、進化し続けるコードの侵害よりもはるかに高いリターンをもたらすことを発見しました。業界が人間と運用層を十分に守るまで、その計算は2026年を通じて続く可能性があります。
19億の漏洩パスワードが明らかにされた:暗号の核心的脆弱性はコードの欠陥ではなく運用リスクである
暗号業界の2025年の記録的な損失は、巧妙なスマートコントラクトの悪用やプロトコルレベルのコードの失敗から主に生まれたわけではありません。むしろ、最大のセキュリティ侵害は、より根本的な弱点に遡ります。それは、ダークウェブや闇市場で流通している大量の侵害されたパスワードのプールです。世界中で数十億の資格情報が漏洩している中、攻撃者はこれまで以上に簡単な手段で暗号ウォレットや取引所アカウント、企業インフラに侵入できるようになっています。高価な技術的悪用よりも、単純な資格情報の窃盗やソーシャルエンジニアリングを通じて侵入を試みています。
「暗号ハッキングに関する物語は根本的に変わった」と、オンチェーンセキュリティプラットフォームImmunefiのCEO、ミッチェル・アマドールは、出現する脅威の状況分析の中で説明しています。「2025年は記録的にセキュリティ損失が最悪の年となったにもかかわらず、被害の大部分はコードの破損ではなく、運用上の脆弱性や侵害された資格情報に起因しています。」
この区別は、2026年以降の業界の防御アプローチに深遠な影響をもたらします。開発者たちはオンチェーンのプロトコルセキュリティの測定可能な改善を祝福していますが、実際の攻撃対象は完全に別の場所に移動しています。それは、パスワード、認証システム、人間の意思決定プロセスです。
コードの悪用から資格情報の窃盗へ:セキュリティパラダイムの変化
DeFiプロトコルや主要なオンチェーンシステムは、従来の技術的手段による侵害が格段に難しくなっています。セキュリティ監査、形式検証手法、バグバウンティプログラムは、悪用可能なコードの脆弱性を体系的に減少させてきました。それと同時に、暗号通貨業界は逆の問題に直面しています。技術的なセキュリティが強化されるにつれて、人間の運用上のセキュリティが最大の弱点となっています。
世界中で漏洩した資格情報の19億という数字は、この変化の規模を示しています。これらの資格情報は、暗号アカウント、企業システム、機関のインフラへの潜在的な入り口を表しています。攻撃者はもはやゼロデイの悪用を開発したり、バイトコードを分析したりする必要はありません。彼らは単にパスワードデータベースを入手し、暗号通貨取引所のメールアドレスと照合し、ターゲットを絞った資格情報詰め込みキャンペーンを展開するだけです。
「プロジェクトの90%以上は依然としてコードベースに重大な脆弱性を抱えています」とアマドールは認めましたが、彼は逆説的な現実も強調しています。「オンチェーンのセキュリティは劇的に向上しています。2026年の本当の戦いは、スマートコントラクト自体ではなく、人間の監視の防御境界線上で行われるでしょう。」
ソーシャルエンジニアリングは数十億の盗まれたパスワードを武器に
Chainalysisの2026年暗号犯罪レポートによると、詐欺や不正行為は従来のインフラハッキングを大きく上回る損失の原因となっています。2025年を通じて、詐欺や不正行為による損失は約170億ドルにのぼり、資格情報を狙った攻撃の規模を反映しています。
最も破壊的な戦術は、侵害されたパスワードとソーシャルエンジニアリングの精度を組み合わせたものです。なりすまし詐欺だけでも前年比1,400%増加し、攻撃者は正規のサポートスタッフ、取引所の代表者、プロトコル開発者を装って被害者に認証資格や秘密鍵を自発的に渡させるよう仕向けています。
今月初め、ブロックチェーン研究者のZachXBTが、攻撃者が2億8200万ドルのビットコインとライトコインを奪った巧妙なソーシャルエンジニアリングキャンペーンを暴露したことで、この脅威が明確になりました。被害者は、攻撃者が侵害された従業員の資格情報や傍受した通信を利用して、資金を攻撃者管理のウォレットに送金させられ、結果的に205万 LTCと1459 BTCを失いました。盗まれた資産はすぐにプライバシーミキサーを経由し、モネロへの換金ポイントへと流れました。
こうした事件は、侵害されたパスワード、ソーシャルエンジニアリング、攻撃者の高度な技術の衝突が、個人ユーザーや機関にとってほぼ克服不可能な障壁を生み出していることを示しています。攻撃者のツールキットはもはや深いブロックチェーン知識を必要とせず、盗まれた資格情報と説得力のあるソーシャルエンジニアリング技術さえあれば十分です。
AIが脅威を倍増:詐欺が急増し、検知は遅れる
人工知能は、資格情報を狙った攻撃の経済性と規模を根本的に変えました。Chainalysisのデータによると、AIを活用した詐欺活動は2025年に従来の手法より450%も収益性が高くなったといいます。これは、AIが被害者のターゲティング、フィッシングメッセージの生成、ソーシャルエンジニアリングを前例のない規模で自動化できるためです。
この効率化により、攻撃者はこれまで以上に迅速かつ知的に、数十億の侵害されたパスワードを処理できるようになっています。特定の被害者の資格情報を手動で探す代わりに、AIシステムは侵害されたパスワードデータベースと既知の暗号通貨ユーザーを自動的に照合し、高価値ターゲットを特定し、個別のソーシャルエンジニアリングスクリプトを生成し、複数のチャネルで協調したキャンペーンを同時に実行します。
しかし、防御側の対応は依然として不十分です。アマドールは、次のような顕著なギャップを指摘しています。「業界のわずか1%未満がファイアウォール保護を採用し、AI駆動の検知ツールを導入しているのは10%未満です。」この防御の不足は、侵害されたパスワードのストックが攻撃を促進し続けている一方で、保護技術の導入はほとんど進んでいないことを意味します。
オンチェーンのセキュリティは向上しているが、人間の防御は脆弱なまま
2025年のパラドックスは、この矛盾に集中しています。オンチェーンのセキュリティは大幅に強化されたにもかかわらず、総損失額は増加しました。この明らかな矛盾は、実際に侵害が起きた場所を調べると解消されます。プロトコルのコードはより堅牢になった一方で、人間の層—パスワード、従業員のアクセス、ソーシャルエンジニアリングの脆弱性—は逆に弱くなり、最大の攻撃対象となっています。
アマドールは、2026年は「コードの観点から見れば、オンチェーンセキュリティにとって最高の年になる」と予測しています。DeFiプロトコルは従来の悪用に対して引き続き堅牢化し続けるでしょう。しかし、彼は同時に、こうした技術的進歩はより深い脆弱性を隠していると警告しています。「人間の要素が今や、オンチェーンセキュリティの専門家やWeb3プレイヤーが優先すべき弱点です。」
この意味するところは明白です。闇市場や攻撃者コミュニティを通じて、数十億の侵害されたパスワードが依然として流通している限り、資格情報を狙った攻撃の入り口はますます低くなり続けます。19億の侵害されたパスワードデータベースにアクセスできる攻撃者は、最小限の洗練度—粘り強さ、ソーシャルエンジニアリングのスキル、脆弱なターゲットを見つける忍耐力—だけで十分です。
2026年に向けた準備:新たなセキュリティフロンティア
暗号セキュリティの次の段階は、従来のプロトコルセキュリティ戦争とは全く異なる戦場で展開されるでしょう。アマドールは、「2026年には、AIが両側のセキュリティのテンポを変える。防御側はAI駆動の監視と対応をマシンの速度で行い、攻撃側は同じツールを使って脆弱性調査やソーシャルエンジニアリングを大規模に展開する」と強調しています。
新たに出現し、より不安定にさえなる可能性のある脅威は、オンチェーンAIエージェント—人間の介入なしに金融判断を実行する自律システムです。これらのエージェントは、新たな攻撃対象の表面をもたらします。「オンチェーンAIエージェントは、人間のオペレーターよりも高速かつ強力になり得る」とアマドールは警告し、「アクセス経路や制御層が侵害された場合、操作の操作も可能です」と述べています。自律的な取引やプロトコル管理システムに向かう業界の動きに伴い、そのセキュリティの影響はほとんど未解明のままです。
世界中で流通している19億の侵害されたパスワードは、現時点の危機層にすぎません。AIが攻撃キャンペーンを加速させ、自律システムが普及するにつれて、セキュリティの焦点はコード監査から運用の強化—従業員の訓練、資格情報管理、アクセス制御システム、監視インフラ—へと大きくシフトします。攻撃者は、何十億ものパスワードを盗むことが、進化し続けるコードの侵害よりもはるかに高いリターンをもたらすことを発見しました。業界が人間と運用層を十分に守るまで、その計算は2026年を通じて続く可能性があります。