web3セキュリティの基礎と脅威の概要【101 前編】

セキュリティに関する基礎知識をまとめました。

mitsui

Mar 01, 2025

∙ Paid

おはようございます。
web3リサーチャーのmitsuiです。

土日のお昼はAIによるレポートを更新します。

普段は最新のトレンドや注目プロジェクトを紹介していますが、ここでは過去からの歴史を振り返る系の記事を投稿していきます。レビューはしていますが、一部内容に間違いがあるかもしれませんので、ご了承ください。

それではどうぞ！

はじめに
なぜ web3 セキュリティが重要なのか
典型的な脅威・攻撃手法
代表的なweb3 ハッキング事例
個人ユーザーが気をつけるべき基本対策
まとめ

1. はじめに

近年、「web3」という言葉がブロックチェーン技術や暗号資産の登場と共に広く知られるようになりました。従来の中央集権型サービス（Web2）から一歩進み、分散化・トークン化をベースとした新たなインターネットの形を指すのが web3 の世界です。

DeFi（分散型金融）：銀行や証券会社といった中央機関を介さず、スマートコントラクトによる資産運用や融資を可能にする仕組み
NFT（Non-Fungible Token）：デジタルアートやコレクティブルの所有権をブロックチェーン上で証明し、唯一性を担保する仕組み
DAO（Decentralized Autonomous Organization）：トークンホルダーが投票で意思決定を行う、自律分散型のコミュニティ・組織
クロスチェーン技術：複数のブロックチェーン間を橋渡しし、資産やデータを流通させる仕組み

これらの革新的なプロトコルは、わずか数年のうちに億単位、時には数十〜数百億円単位の資金を集めることが珍しくなくなりました。しかし、大きなお金が動く世界ほどハッカーや詐欺師の標的にもなりやすいのが現実です。

2016 年の The DAO ハック事件を皮切りに、その後も何度となく大規模ハッキングが起こり、ユーザーが資産を失う事態が頻発しました。2022 年だけでも、Ronin ネットワークやWormhole、Nomad などが相次いで攻撃を受け、数百億円〜数千億円規模の被害が出ています。

こうした状況下で、web3 に携わるすべての人が最低限知っておくべきなのが「セキュリティ対策」です。本シリーズ（前編・後編）では、

なぜ web3 セキュリティはこれほど重要で、何が脆弱なのか
典型的な脅威や攻撃手法、そして実際に起こった大規模ハッキング事例
ユーザー個人が今日からできる基本的な自衛策
プロトコルやプロジェクトが取り組むべき高度なセキュリティ対策や今後の潮流

…を、それぞれわかりやすく解説します。まずはこの前編で、基礎的な部分と代表例を押さえていきましょう。

2. なぜweb3セキュリティが重要なのか

2-1. ブロックチェーン上に直接「資産」がある

Web2 の銀行やクレジットカードの場合、万一不正送金があっても銀行側が補償を行ったり、トランザクションを取り消したりと、中央集権的な管理者が防衛線となってくれます。一方、web3 の世界では「自分の秘密鍵が資産そのものの所有権を意味する」ため、一度鍵を奪われると誰も助けてくれません。

取引履歴はブロックチェーンに刻まれ、不変で取り消しができない
秘密鍵を持つ人こそが正当な持ち主とみなされる

こうした特性上、ユーザー自身がセキュリティ対策を怠ると即座に大損害が発生しうるのです。

2-2. 分散化ゆえの「自己責任」原則

「分散型金融(DeFi)」や「分散型取引所(DEX)」が登場し、多くの中央管理者を介さないサービスを誰でも使えるようになりました。これはイノベーションとして素晴らしい一方で、運営母体がはっきりしない・もしくはプロトコル自体が自律的に動いているため、問題が起きても最終責任の所在が不明確というケースもあります。

もしスマートコントラクトにバグがあれば、そのまま資金が抜き取られてしまう
プロジェクトが倒産や rug pull（運営者が資金を持ち逃げ）をしても、泣き寝入りになる可能性が高い

web3 の世界観では、ユーザー自身がプロジェクトをしっかり調査し、リスクを理解した上で参加する「自己責任」が非常に重くのしかかります。

2-3. 巨額資金が集まりやすい

DeFi の「年利数十〜百数十%」のような投資チャンスや、NFT ブームで数億円の取引が行われるマーケットなど、Web3 では短期間で巨額の資産が集まることが珍しくありません。

ハッカーにとって、一度攻撃に成功すれば莫大なリターンが期待できるため、自然と狙われやすくなります。伝統的な銀行強盗よりサイバー攻撃の方がリスクが少なく、「これさえ突けば大量の資金が奪える」というポイント（例：ブリッジ、巨大 DeFi、取引所など）が明確だからです。

2-4. 規制・法整備が追いついていない

ブロックチェーンは国境を超えて取引が行われるため、国や地域による規制だけでは網羅しづらい現状があります。悪意ある攻撃者が匿名性の高いサービスや Dex を経由して資金洗浄する場合、犯罪者を特定するのは非常に困難です。

一部、米国 FBI やヨーロッパの捜査当局、チェーン分析企業などが連携して犯人を特定・逮捕した例もありますが、まだまだ追い付いていない面が大きく、法制度の不備につけこまれる形でハッキングが横行しています。

3. 典型的な脅威・攻撃手法

ここからは、web3 においてよく見られる代表的な攻撃手法や脅威について整理します。大きく分けると以下の 5 つに分類できます。

フィッシング / ソーシャルエンジニアリング
スマートコントラクトの脆弱性
ウォレット / 秘密鍵の漏洩
クロスチェーンブリッジ攻撃
中央集権型サービス（取引所など）への攻撃

それぞれ詳しく見ていきましょう。

Keep reading with a 7-day free trial

Subscribe to web3 Research JAPAN to keep reading this post and get 7 days of free access to the full post archives.