|
【ポイント】 |
|
・ 2025年、暗号資産ハッキング被害は年間約5,100億円(約34億ドル)に達し、史上最大のByBit事件(約2,250億円)が発生 |
|
・ 金融庁は2026年通常国会に金商法改正案を提出。暗号資産取引所に第一種金融商品取引業者相当の内部統制を義務化する見通し |
|
・ GeoRiskは「今日、セキュリティがいくらの損害を防いだか」をダッシュボードで即時可視化し、セキュリティをコストから投資へ転換 |
|
・ 位置・時刻・デバイスの3要素でリアルタイムにリスク判定。ByBit型の「正規UIを偽った不正送金」にも対応 |
|
・ β版は無償提供。PoCパートナー企業複数社を2026年7月頃まで募集中 |
|
|
|
|
|
Vlightup株式会社(本社:東京都千代田区、代表取締役:皆本祥男、以下「当社」)は、暗号資産取引所およびステーブルコイン決済事業者向けに、リスクスコアリングエンジン「GeoRisk」β版の提供を2026年4月13日より開始しました。GeoRiskは、不正送金を検知・ブロックするだけでなく、「防いだ損害の推定金額」を経営ダッシュボードに表示することで、セキュリティ投資のROIを経営層が直感的に把握できる初のソリューションです。 |
|
|
|
|
|
|
|
|
|
あわせて、本機能の実環境での有効性を検証するPoC(概念実証)パートナー企業の募集を開始します。金商法改正を見据えた内部統制強化を急務とされている事業者様のご参加をお待ちしております。 |
|
|
|
|
|
1.今、業界が直面している2つの危機 |
|
|
|
危機1. 史上最大のハッキング被害と「防ぎきれなかった」認証方式 |
|
|
|
2025年2月、海外大手暗号資産取引所のByBitから約15億ドル(約2,250億円)が流出しました。FBIの調査によれば、攻撃者はウォレット管理ソフトウェアの開発者をだまし、画面に表示されるUIを密かに書き換え、担当者が「正しい送金先」と信じて承認ボタンを押した瞬間に不正送金を実行しました。パスワードも二段階認証も突破されたのではなく、「正規の手順を踏んだままだまされた」という前例のない攻撃手法でした。 |
|
|
|
Chainalysis社の調査によれば、暗号資産ハッキングの年間被害額は以下のとおり推移しています。 |
|
|
|
年度 |
被害総額(円換算) |
主な特徴・事件 |
|
2022年 |
約5,700億円(約38億ドル) |
DeFiブリッジへの集中攻撃。Ronin Bridge約930億円等 |
|
2023年 |
約2,550億円(約17億ドル) |
前年比54%減。ただしDeFiへの攻撃は継続 |
|
2024年 |
約3,300億円(約22億ドル) |
秘密鍵漏洩・運用リスク起因が過半数。前年比21%増 |
|
2025年 |
約5,100億円(約34億ドル) |
ByBitから約2,250億円流出(史上最大)。 |
|
|
|
|
これらの被害の共通点は、暗号が破られたのではなく、正規の人物が正規のデバイスで正規の操作をした瞬間に不正が行われたという点です。従来の認証方式は誰が操作したかは確認できても、今どこにいる誰が正規の環境から操作しているかを確認できない構造的な盲点を持ちます。 |
|
|
|
|
|
危機2. 金商法改正による内部統制強化の義務化 |
|
|
|
こうしたハッキング被害の深刻化を背景に、金融庁は2026年の通常国会に金融商品取引法(金商法)の改正案を提出する方針を固めました。改正後は暗号資産取引所に対し、第一種金融商品取引業者と同等水準の内部統制と、証券取引等監視委員会による公的監督が適用される見通しです。 |
|
|
|
改正後に求められる主な対応 |
現状の課題 |
|
技術的安全管理措置の実装義務(コールドウォレット相当) |
「どの程度が十分か」の基準が不明確 |
|
内部統制体制の文書化・証跡保存 |
「誰が・いつ・どこで・何を」の暗号学的証跡が残っていない |
|
証券取引等監視委員会による実地調査への対応 |
セキュリティ対策の効果を定量的に説明できない |
|
インサイダー取引規制・課徴金制度 |
操作ログの改ざん防止・監査対応が未整備 |
|
|
|
|
GeoRiskは、まさにこの2つの危機に同時に対応するソリューションとして開発されました。 |
|
|
|
|
|
2.GeoRisk β版の概要:セキュリティを「コスト」から「投資」へ |
|
|
|
GeoRiskは、取引のたびに「今この取引は危険か?」を0~100のスコアで即時判定するエンジンです。スコアに応じて取引を自動承認・追加認証・自動ブロックし、ブロックした不正送金の推定被害額を累積でダッシュボードに表示します。 |
|
|
|
GeoRiskが「危険」と判断する3つのシグナル(例) |
|
1. 場所の異常:「いつもは東京から操作するのに、今日は海外のIPアドレス」などGPS・IPの位置が通常と大きく乖離 |
|
2. 時刻・行動の異常:「深夜2時に普段の300倍の金額を初めての送金先へ」など行動パターンの突然の変化 |
|
3. デバイスの異常:「見たことのない端末・ブラウザから突然ログイン」など機器の不一致 |
|
これら3要素を組み合わせることで、「正しいパスワードを入力した」だけでは検知できないByBit型の攻撃を捉えます。 |
|
|
|
|
|
主な機能一覧 |
|
|
|
機能 |
内容・効果 |
|
損害額ダッシュボード |
ブロックした不正出金・不正送金の推定被害額を累積・月次で表示。セキュリティROIを経営層が一目で把握 |
|
GeoRiskスコア(0~100) |
送金・出金・ウォレット操作ごとにリアルタイム判定。200ミリ秒以内に応答 |
|
攻撃パターン分析 |
地理的異常・時間帯異常・デバイス不一致を可視化。過去の攻撃履歴を蓄積・分類 |
|
コスト対効果レポート |
「防止した推定損害額÷セキュリティ投資額」をROI指標として自動算出。監査法人向けレポートにも対応 |
|
内部統制ログ |
「誰が・いつ・どこで・何を」を暗号学的に証明可能な形で自動記録。改ざん防止済みの監査証跡 |
|
API統合 |
既存取引システムへの統合。認証成功率99.5%以上・レイテンシ200ms以内を目標 |
|
|
|
|
想定ユースケース |
|
|
|
• |
|
【取引所の出金・送金承認】高額出金時に位置・デバイス・時刻の異常を検知し、リスクスコアに応じた多段階承認を自動発動 |
|
|
• |
|
【ホットウォレット保護】ByBit型の「正規UIを偽った不正送金」に対し、「正規の場所・正規のデバイス」からの操作かを暗号学的に検証 |
|
|
• |
|
【ステーブルコイン決済の不正検知】大口決済・クロスボーダー送金時のリスクスコアリングで異常トランザクションをブロック |
|
|
• |
|
【金商法対応の内部統制整備】技術的安全管理措置の実装証跡・監査ログを自動生成し、規制当局への報告資料として活用 |
|
|
|
|
|
|
|
|
|
3. 技術的基盤:「場所と時刻」を鍵にする新しいセキュリティ |
|
|
|
GeoRiskは、当社のセキュリティ基盤「TRUSTAUTHY」のコア技術「GeoAuth(位置認証)」の上に構築されています。GeoAuthは、ユーザーが「今どこにいるか」「今何時か」「どのデバイスを使っているか」の3情報を暗号学的に組み合わせ、それらが正規の値と一致した場合のみ取引を認証します。 |
|
|
|
|
|
従来の認証との違い(わかりやすく言うと) |
|
|
|
従来型MFA: 「正しいパスワード+正しいワンタイムコード」を入力した人を認証する |
|
→ コードが盗まれたら防げない |
|
|
|
TRUSTAUTHY:「正しい場所に・正しい時刻に・正しいデバイスで」いる人を認証する |
|
→ コードが盗まれても、場所・時刻・デバイスが揃わなければ不正送金はできない |
|
|
|
|
|
GeoRiskはこのGeoAuthによる物理的コンテキスト検証に加え、今後、機械学習(AI)とルールベース評価のハイブリッドモデルでリスクをスコアリングします。将来的にAIがユーザーごとの過去の行動パターンを学習し、「このユーザーにとって今回の取引が不自然かどうか」を判定することを目指します。これにより、既知の攻撃パターンだけでなく、前例のない新手口も「行動の異常」として検知できます。 |
|
|
|
|
|
4. PoC(概念実証)パートナー募集のご案内 |
|
|
|
当社は、GeoRisk β版の実環境での有効性を検証するPoCパートナー企業を募集しています。金商法改正を見据えた内部統制整備を急務としている事業者様のご参加をお待ちしております。β版提供期間中の利用料は無償です。 |
|
|
|
実証項目 |
内容 |
|
募集期間 |
2026年4月~2026年7月頃 |
|
PoC実施期間 |
2026年4月~2027年1月(約6ヶ月間) |
|
募集社数 |
複数社 |
|
対象企業 |
暗号資産取引所、ステーブルコイン決済事業者、カストディアン・ウォレット事業者、監査法人・コンサルティングファーム |
|
PoC費用 |
無償(β版提供期間中は利用料不要) |
|
提供内容 |
GeoRisk APIアクセス、導入支援、専任エンジニアによる技術サポート、効果測定レポート |
|
|
|
|
PoCで検証する主な項目 |
|
|
|
• |
|
損害額可視化の経営インパクト:ダッシュボードがセキュリティ投資判断に与える影響の定量評価 |
|
|
• |
|
リスクスコアの検知精度:誤検知率5%以下 / 異常検知率95%以上を目標 |
|
|
• |
|
API統合性:既存取引システムへのシームレス統合・レイテンシ影響(200ms以内)の検証 |
|
|
• |
|
ByBit型攻撃への耐性:セッショントークン窃取・UI改ざん型攻撃に対する位置認証の有効性 |
|
|
• |
|
金商法対応への活用:技術的安全管理措置の実装証跡・監査ログとしての有用性、規制当局報告への活用可能性 |
|
|
|
|
|
|
|
|
|
5. 今後の展開ロードマップ |
|
|
|
時期 |
マイルストーン |
|
2026年4月 |
GeoRisk β版提供開始・PoCパートナー募集開始 |
|
2026年4月~2027年1月 |
PoC実施。取引所・決済事業者2社以上との実環境検証 |
|
2027年度 |
GeoRisk正式版リリース。エンタープライズ向け提供開始。金商法改正施行に対応した内部統制パッケージとして展開 |
|
2028年度以降 |
AIによる行動プロファイリングのさらなる高度化・グローバル展開。FATFトラベルルール対応の国際標準SBT連携 |
|
|
|
|
6. 代表コメント |
|
|
|
|
|
「2025年にはByBitから約2,250億円が流出し、暗号資産ハッキングの年間被害総額は約5,100億円に達しました。この数字が示しているのは、セキュリティは単なるコストではなく投資である、という厳然たる事実です。 |
|
|
|
しかし、取引所や決済事業者の経営層にとって、その投資効果はこれまで数字で見えませんでした。GeoRiskの損害額ダッシュボードはこの構造的課題を解決します。同時に、2026年の金商法改正が求める内部統制強化に、技術面と証跡面の両方から応えるソリューションです。 |
|
|
|
PoCを通じて、取引所や決済事業者の皆様とともに、セキュリティの新たな価値を実証していきたいと考えています。」 |
|
|
|
― Vlightup株式会社 代表取締役 皆本 祥男(公認会計士・公認不正検査士) |
|
|
|
|
|
7. 会社概要 |
|
|
|
Vlightup株式会社 |
|
代表者:代表取締役 皆本 祥男 |
|
所在地:東京都千代田区丸の内1-11-1 パシフィックセンチュリープレイス丸の内 13F |
|
事業内容:ブロックチェーンとGNSSを活用したセキュリティプラットフォーム「TRUSTAUTHY」の開発・提供 |
|
URL:https://trustauthy.jp/
|
|
|
