金融庁は2026年2月10日、「暗号資産交換業等におけるサイバーセキュリティ強化に向けた取組方針(案)」を公表した。2025年12月10日に金融審議会「暗号資産制度に関するワーキング・グループ」が報告書をまとめたことを受け、自助・共助・公助の三つの観点から対策を示した。
自助では、2026事務年度以降に暗号資産交換業者全社にサイバーセキュリティセルフアセスメント(CSSA)の実施を求め、事務ガイドラインの水準引上げを検討する。共助では、自主規制機関の体制強化やJPCrypto-ISACなど情報共有機関への参加を促進する。公助では、ブロックチェーン「国際共同研究」プロジェクトの継続、金融業界横断的なサイバーセキュリティ演習「Delta Wall」の実施(3年以内に全社参加を目指す)、2026年中に数組織への脅威ベースのペネトレーションテスト(TLPT)実施を掲げた。
From: 
暗号資産交換業等におけるサイバーセキュリティ強化に向けた取組方針(案)の公表について
【編集部解説】
今回の金融庁の取組方針は、単なる規制強化ではなく、暗号資産業界が直面している「構造的な危機」への対応と捉えるべきです。
2024年の暗号資産盗難被害額は22億ドルに達し、そのうち61%にあたる13億4,000万ドルが北朝鮮関連ハッカーによるものでした。2025年にはさらに深刻化し、総額34億ドル超、北朝鮮関連だけで20億ドルを超えています。この中には、2025年2月のBybit事件(14億6,000万ドル)という史上最大規模の流出や、2024年5月の国内DMMビットコイン事件(482億円相当)も含まれます。
特に注目すべきは攻撃手法の巧妙化です。従来は「コールドウォレットに保管すれば安全」とされてきましたが、この神話は既に崩れています。Bybit事件では、攻撃者はマルチシグウォレットプラットフォーム「Safe」の開発環境に侵入し、署名用UIに不正なコードを埋め込みました。署名者は正しい手順を踏んでいると信じていましたが、実際には攻撃者のアドレスへ資金を送る取引に署名していたのです。
これは「サプライチェーン攻撃」と呼ばれる手法で、直接システムを攻撃するのではなく、外部委託先や開発ツールの提供元を侵害することで、間接的にターゲットに到達します。金融庁が方針案の中で「外部委託先を含めたサプライチェーン全体にわたるサイバーセキュリティ管理態勢の強化」を強調しているのは、まさにこの現実を反映しています。
自助・共助・公助という3層アプローチの意義も明確です。個社単独では日々進化する攻撃手法に対応しきれないため、JPCrypto-ISACのような情報共有機関を通じた業界全体の連携が不可欠になります。2025年1月に設立されたばかりのJPCrypto-ISACは、他の金融業界で機能しているISACモデルを暗号資産分野に適用し、リアルタイムでの脅威情報共有を目指しています。
TLPTについても補足が必要でしょう。これは金融庁が2018年から大手金融機関に対して推進してきた実践的なテスト手法で、攻撃者の視点から組織の弱点を洗い出します。暗号資産交換業者に対して2026年中に実施されるTLPT実証事業は、技術面だけでなく、人やプロセスを含めた組織全体のレジリエンスを検証する機会となります。
この方針案は3月11日までパブリックコメントを募集しており、業界関係者の意見を反映した最終版が策定される予定です。金融庁が2026年の国会に提出予定の金融商品取引法改正案との連動も視野に入れられており、暗号資産を金融商品として位置付ける法的枠組みの整備と並行して、セキュリティ基盤の強化が進められることになります。
方針案の背景にあるのは、「我が国の国富を守る」という国家安全保障の視点です。北朝鮮が外貨獲得の手段として暗号資産窃取を組織的に行っている実態が、日米韓の共同声明でも明確に指摘されています。単なる事業者保護を超えて、国際的なサイバー犯罪への対応という次元で捉える必要があるでしょう。
暗号資産業界にとって、この取組方針は短期的にはコンプライアンス負担の増加を意味しますが、長期的には業界全体の信頼性向上と健全な成長基盤の構築につながります。投資家保護が強化されることで、より多くの一般投資家が安心して市場に参加できる環境が整っていくはずです。
【用語解説】
サイバーセキュリティセルフアセスメント(CSSA)
金融機関が自組織のサイバーセキュリティ態勢を自己評価するツール。業界内での自社の位置づけを可視化し、自律的な改善を促すことを目的とする。金融庁が他の金融業態向けにも実施している。
自主規制機関
業界団体が自主的に定めるルールや基準を策定・監督する組織。暗号資産分野では一般社団法人日本暗号資産等取引業協会(JVCEA)がこの役割を担う。
Delta Wall
金融庁が金融業界全体のインシデント対応力向上を目的に毎年実施するサイバーセキュリティ演習。名称は「自助・共助・公助」を意味するDeltaと防御を意味するWallに由来する。
脅威ベースのペネトレーションテスト(TLPT)
実際の攻撃者が採用する戦術や手法を再現し、組織のセキュリティ態勢を実践的に検証するテスト。技術面だけでなく、人やプロセスを含めた組織全体の弱点を洗い出す。レッドチームテストとも呼ばれる。
コールドウォレット
暗号資産を移転するために必要な署名鍵を、常時インターネットに接続していない電子機器等に記録して管理する方法。オンラインのホットウォレットと比較して安全性が高いとされる。
サプライチェーン攻撃
標的のシステムを直接攻撃するのではなく、外部委託先や開発ツール提供元などのサプライチェーンを侵害し、そこを足掛かりとして間接的にターゲットに到達する攻撃手法。
マルチシグウォレット
暗号資産の送金に複数の署名鍵による承認を必要とするウォレット。単一の鍵が漏洩しても資産が盗まれないようセキュリティを強化する仕組み。
北朝鮮関連ハッカー
北朝鮮が外貨獲得を目的として組織的に実行していると疑われるサイバー攻撃グループ。Lazarus GroupやTraderTraitorなど複数の組織が暗号資産窃取を行っている。
【参考リンク】
金融庁「暗号資産交換業等におけるサイバーセキュリティ強化に向けた取組方針(案)」(外部)
2026年2月10日公表の取組方針案の公式ページ。本文書PDFおよび概要資料をダウンロード可能。
JPCrypto-ISAC(一般社団法人日本暗号資産情報セキュリティ推進協会)(外部)
2025年1月設立の情報共有機関。業界全体でサイバー攻撃情報を共有し協調対応を推進。
一般社団法人日本暗号資産等取引業協会(JVCEA)(外部)
暗号資産交換業者の自主規制機関。自主規制ルールの策定・監督、会員への監査を実施。
金融審議会「暗号資産制度に関するワーキング・グループ」(外部)
2025年7月から議論を重ね、同年12月10日に報告書をとりまとめた。議事録や配布資料を閲覧可能。
【参考記事】
2024年の暗号資産盗難被害額は22億ドル(外部)
Chainalysisによる分析。総額22億ドルのうち61%が北朝鮮関連ハッカーによるもの。
2025年の暗号資産盗難総額は34億ドル超、北朝鮮ハッカーが最大規模(外部)
2025年の被害総額が34億ドル超、北朝鮮関連が20億ドル以上に達したことを報告。
「Bybitハッキング事件の解析:コールドウォレットとマルチシグを突破した巧妙な手口」(外部)
史上最大規模のBybit事件(14億6,000万ドル)の技術的解析とサプライチェーン攻撃手法の解説。
金融機関における脅威ベースのペネトレーションテストの動向(外部)
KPMGによるTLPT解説。金融庁が2018年から推進してきた実践的テスト手法の詳細。
暗号資産業界のセキュリティ強化を目的とした一般社団法人JPCrypto-ISAC設立(外部)
2025年3月設立のJPCrypto-ISAC公式発表。設立背景、目的、活動内容を説明。
北朝鮮関連ハッカーによる2025年の暗号資産窃盗額は20億ドル超(外部)
北朝鮮が組織的に暗号資産窃取を外貨獲得手段として利用している実態を報告。
金融庁、暗号資産交換業者向けサイバーセキュリティ強化の取組方針案を公表(外部)
取組方針案公表を受けた業界メディアの報道。自助・共助・公助の3層アプローチの詳細を解説。
【編集部後記】
暗号資産を保有されている方、あるいはこれから投資を考えている方にとって、今回の金融庁の方針は他人事ではありません。コールドウォレットでさえ完全ではないという現実を、私たちはどう受け止めるべきでしょうか。
取引所を選ぶ際、手数料や取扱銘柄だけでなく、セキュリティ態勢についても確認していますか?JPCrypto-ISACへの参加状況や、第三者によるセキュリティ監査の実施有無など、公開情報から読み取れることは意外と多いものです。
みなさんが利用している取引所のセキュリティ対策について、改めて調べてみませんか?このニュースをきっかけに、一緒に考えていければと思います。
