暗号資産業界が直面する2つの危機
1. 史上最大のハッキング被害と認証方式の限界
2025年2月には、海外大手暗号資産取引所のByBitから約15億ドル(約2,250億円)が流出しました。この事件では、攻撃者が正規のUIを偽装し、担当者が正しい送金先だと信じて承認ボタンを押した瞬間に不正送金が実行されたとFBIの調査で判明しています。これはパスワードや二段階認証が突破されたのではなく、「正規の手順を踏んだままだまされた」という、前例のない攻撃手法でした。
Chainalysis社の調査によると、暗号資産ハッキングの年間被害額は2025年に約5,100億円(約34億ドル)に達し、ByBit事件が史上最大規模の流出となりました。これらの被害の共通点は、暗号が破られたのではなく、正規の人物が正規のデバイスで正規の操作をした瞬間に不正が行われた点にあります。従来の認証方式は、誰が操作したかは確認できても、今どこにいる誰が正規の環境から操作しているかを確認できない構造的な盲点を持っています。
2. 金商法改正による内部統制強化の義務化
ハッキング被害の深刻化を受け、金融庁は2026年の通常国会に金融商品取引法(金商法)の改正案を提出する方針を固めました。改正後は、暗号資産取引所に対し、第一種金融商品取引業者と同等水準の内部統制と、証券取引等監視委員会による公的監督が適用される見通しです。
これにより、技術的安全管理措置の実装義務、内部統制体制の文書化・証跡保存、セキュリティ対策の効果を定量的に説明する能力、インサイダー取引規制・課徴金制度への対応などが求められます。GeoRiskは、これらの2つの危機に同時に対応するソリューションとして開発されました。
GeoRisk β版の概要:セキュリティを「コスト」から「投資」へ
GeoRiskは、取引のたびに「今この取引は危険か?」を0〜100のスコアで即時判定するエンジンです。スコアに応じて取引を自動承認・追加認証・自動ブロックし、ブロックした不正送金の推定被害額を累積でダッシュボードに表示します。
GeoRiskが「危険」と判断する主な3つのシグナルは以下の通りです。
-
場所の異常: 普段とは異なるGPS・IP位置からの操作を検知します。
-
時刻・行動の異常: 深夜の多額送金や、普段とは異なる行動パターンを検知します。
-
デバイスの異常: 未登録の端末やブラウザからのログインを検知します。
これら3要素を組み合わせることで、「正しいパスワードを入力した」だけでは検知できないByBit型の攻撃を捕捉します。
主な機能一覧は以下の通りです。
-
損害額ダッシュボード: ブロックした不正出金・不正送金の推定被害額を累積・月次で表示し、セキュリティROIを経営層が一目で把握できます。
-
GeoRiskスコア(0〜100): 送金・出金・ウォレット操作ごとにリアルタイム判定し、200ミリ秒以内に応答します。
-
攻撃パターン分析: 地理的異常・時間帯異常・デバイス不一致を可視化し、過去の攻撃履歴を蓄積・分類します。
-
コスト対効果レポート: 「防止した推定損害額÷セキュリティ投資額」をROI指標として自動算出します。監査法人向けレポートにも対応します。
-
内部統制ログ: 「誰が・いつ・どこで・何を」を暗号学的に証明可能な形で自動記録し、改ざん防止済みの監査証跡を提供します。
-
API統合: 既存取引システムへの統合を目指し、認証成功率99.5%以上・レイテンシ200ms以内を目標とします。
想定されるユースケースには、高額出金時の多段階承認、ByBit型の不正送金に対するホットウォレット保護、大口決済・クロスボーダー送金時の不正検知、金商法対応の内部統制整備などが挙げられます。
技術的基盤:「場所と時刻」を鍵にする新しいセキュリティ
GeoRiskは、Vlightup株式会社のセキュリティ基盤「TRUSTAUTHY」のコア技術「GeoAuth(位置認証)」の上に構築されています。GeoAuthは、ユーザーが「今どこにいるか」「今何時か」「どのデバイスを使っているか」の3情報を暗号学的に組み合わせ、それらが正規の値と一致した場合のみ取引を認証する仕組みです。
従来の多要素認証(MFA)が「正しいパスワードとワンタイムコード」を入力した人を認証するのに対し、TRUSTAUTHYは「正しい場所に・正しい時刻に・正しいデバイスで」いる人を認証します。これにより、コードが盗まれても、場所・時刻・デバイスが揃わなければ不正送金はできないという、高いセキュリティレベルを実現します。
GeoRiskは、このGeoAuthによる物理的コンテキスト検証に加え、今後、機械学習(AI)とルールベース評価のハイブリッドモデルでリスクをスコアリングします。AIがユーザーごとの過去の行動パターンを学習し、「このユーザーにとって今回の取引が不自然かどうか」を判定することで、既知の攻撃パターンだけでなく、前例のない新手口も「行動の異常」として検知することを目指します。
PoC(概念実証)パートナー募集
Vlightup株式会社は、GeoRisk β版の実環境での有効性を検証するPoCパートナー企業を募集しています。金商法改正を見据えた内部統制整備を急務としている事業者にとって、参加は有益となるでしょう。β版提供期間中の利用料は無償です。
募集期間は2026年4月から2026年7月頃までで、PoC実施期間は2026年4月から2027年1月までの約6ヶ月間を予定しています。対象企業は、暗号資産取引所、ステーブルコイン決済事業者、カストディアン・ウォレット事業者、監査法人・コンサルティングファームなど複数社を募集しています。
PoCでは、損害額可視化の経営インパクト、リスクスコアの検知精度(誤検知率5%以下 / 異常検知率95%以上を目標)、API統合性、ByBit型攻撃への耐性、金商法対応への活用などの項目を検証します。
今後の展開ロードマップ
GeoRiskは、2026年4月にβ版提供を開始し、同年4月から2027年1月にかけてPoCを実施します。2027年度にはGeoRisk正式版をリリースし、エンタープライズ向け提供を開始するとともに、金商法改正施行に対応した内部統制パッケージとして展開する計画です。2028年度以降は、AIによる行動プロファイリングのさらなる高度化とグローバル展開、FATFトラベルルール対応の国際標準SBT連携を目指します。
Vlightup株式会社の代表取締役である皆本祥男氏は、「セキュリティは単なるコストではなく投資である」と強調し、GeoRiskがその投資効果を数字で見える化すると述べています。また、2026年の金商法改正が求める内部統制強化にも、技術面と証跡面の両方から応えるソリューションであると期待を寄せています。
Vlightup株式会社は、ブロックチェーンとGNSSを活用したセキュリティプラットフォーム「TRUSTAUTHY」の開発・提供を行っています。詳細については、同社のウェブサイトを参照してください。
コメント