Web3セキュリティ企業のケルベロスがまとめた報告書で、人間の行動が暗号資産取引における最大のリスク要因となっている実態が明らかになった。2024年の暗号資産盗難の約44%は秘密鍵の管理ミスが原因で、セキュリティ侵害全体の6割に人為的エラーが関与している。
BeInCryptoは同社のアレックス・カッツ最高経営責任者(CEO)とダナー・コーエン最高技術責任者(CTO)に、ユーザーが被害に遭い続ける理由と有効な防御策について聞いた。
Sponsored人為的ミスでWeb3に多額の損失=ケルベロス報告
ケルベロスが公表した最新報告書「The Human Factor – Real-Time Protection Is the Unsung Layer of Web3 Cybersecurity (2025)」は、人を標的とする攻撃がWeb3で最も構造的に危険な脅威であることを指摘した。
報告書は業界全体の損失の大半がユーザーのミスに起因するとのデータを示した。2024年には暗号資産盗難の約44%が秘密鍵の不適切な管理によるものだった。別の調査では、セキュリティ侵害の約60%に人為的エラーが関わっていることが判明している。
2025年には8億2000万のアクティブウォレットがあり、脅威の状況は急速に拡大しており、すべての人がリスクにさらされている。カッツ氏はBeInCryptoに対し、悪意ある攻撃者は初心者と経験豊富なユーザーの両方をターゲットにしているが、その理由は非常に異なっていると話した。
「初心者はまだ『普通の』Web3の挙動を理解していないため、魅力的なのです」と同氏は語った。
興味深いことに、長年のユーザーは初心者と比べてより価値の高いターゲットになっていると役員は指摘した。同氏によれば、
「ベテランユーザーは、より多くのdAppsとインタラクションし、より多くのトランザクションに署名し、より大きな金額を動かします。それは、たった一瞬の油断がはるかに大きな損害を生むことを意味します。したがって、今日最もリスクの高いグループは、リスクにさらされていないと思い込んでいる人々です。」
コーエン氏は、Web3における最大の誤解の一つは、セキュリティの失敗がユーザーが技術を理解していないことから生じるという信念だと述べた。同氏の分析は逆の方向を指している。人々がハッキングされるのは、システムが彼らに非現実的な負担を課しているためだ。
Sponsored Sponsored「ユーザーは、『私は賢いから資産が奪われることはない、ウォレットの仕組みを知っているから安全だ』と思っています。しかし、脅威の状況はユーザーよりも速く変化します。攻撃者はウォレットを出し抜こうとしているのではなく、ユーザーを出し抜こうとしています。そして彼らはその点で非常に優れています。Web3が個人に対して大きな認知負担をかけるということが人々の誤解です。ユーザーは安全を保つために技術的な信号を解釈する必要があってはならない – セキュリティは彼らのために自動的に機能しなければなりません」と述べた。
2025年において賢明なWeb3ユーザーすら資産流出の危機に直面する理由
これらの人為的リスクは、2025年のセキュリティへの記録的な支出にもかかわらず続いている。ケルベロスのレポートによれば、暗号資産関連のサービスと投資家は、年の前半だけで30億1000万ドル以上をハッキングや詐欺で失った。これはすでに2024年全体の合計を超える。
この数字には歴史的なBybitの侵害が含まれている。これを除けば、フィッシングやソーシャルエンジニアリングのような人を対象とした攻撃は6億ドルに達する。これは残りの16億4000万ドルの損失の37%を占めている。
レポートでは、これらの攻撃は技術的な防御を完全に回避し、採用が増えるにつれて規模が拡大するため、従来のセキュリティモデルでは防止が難しいと指摘している。
企業が監査、モニタリング、コードレビューに大きな投資をしている一方で、攻撃者はますますトランザクションレベルでユーザーを直接攻撃している。しかし、人間がこれらの攻撃に弱い理由は何なのだろうか?
Sponsored「人間は自然な心理的ショートカット、つまり緊急性、権威、親近感、取り残されることへの恐れ、またはルーチンへの快適さを悪用するように設計された詐欺に対して脆弱です。これらは欠陥ではなく、私たちが日常生活で機能するのを可能にする同じ本能です。技術だけでは人間の心理を変えることはできませんが、心理が武器化されている瞬間を捉えることができる」とコーエン氏は語った。
同氏は、最も強力な保護の形は、ユーザーが単に教育を通じてミスを避けることに頼るのではなく、損害が発生する前にリアルタイムで有害な行動を止めることだと強調した。
「だからこそリアルタイムの検出が重要なのです。ユーザーの信頼が操作されている正確な瞬間に警告できれば、ほとんどの損失を回避できます」とコーエン氏は付け加えた。
役員は一般的なユーザーに、悪意のあるdApp、エアドロップ、またはミントページを区別することを期待するのは非現実的だと述べた。現代の詐欺プラットフォームはしばしば正当なものと非常によく似ているため、区別がつかないことが多い。
ユーザーはフィッシングリンクを何度もクリックすることがあり、その理由は軽率ではなく、攻撃が意図的に欺くよう作られているためだと彼は付け加えた。
リアルタイム警告でさえ、時には偽陽性と見なされることがあり、これらの詐欺の高度な性質を浮き彫りにしている。
Sponsored Sponsored「ユーザーは法医学的なチェックを行うことを期待されるべきではない。ツールがリアルタイムで意図や行動を分析する負担を負わなければならない」とコーエン氏は提案した。
レポートは、これらの攻撃がユーザーが脅威を最も評価できない瞬間を狙っているとも述べている。それは、誰かが仕事中に気を散らされながら財布を確認するとき、アカウントが凍結されるという緊急のメッセージに反応するとき、または長い一日の終わりに疲れ果てて取引を承認するときに起こりうる。
調査結果によると、業界の対応策は主に警告や確認ステップを増やすことであるが、このアプローチはしばしば「セキュリティ疲労」のために裏目に出ることが多い。ユーザーが常に警告にさらされ、その多くが誤報で単に彼らを遅らせるだけの場合、継続的な認知的圧力の下で注意深い意思決定を行う能力が低下する。
Web3で安全を保つための3つの行動
実際の損失を減らすために、カッツ氏はユーザーが採用できる3つの対策を公開した。同氏はユーザーに次のことを勧めた:
- 署名前に一時停止: 大半の妥協は10秒以内に起こる。プロンプトを読んだり、要求が意図した行動と一致するかを確認するために一瞬でも立ち止まることで、多くの攻撃を防げる。
- 高価値資産と日常活動を分ける: 複数のウォレットを使うことが最も効果的な防御策の一つである。同氏は、ユーザーが長期保有資産をコールドウォレットまたは低接触ウォレットに入れ、探索やミント、dApps用に別のウォレットを使うことを提案した。この分離が潜在的なダメージを制限する。
- リアルタイム取引保護に頼る: 多くの脅威が技術的な悪用ではなくソーシャルエンジニアリングを含むため、ユーザーはチェーン上の行動を最終化する前に解釈するツールから恩恵を受ける。この1層の防御が、より高度な詐欺の多くを阻止する。
ユーザーをセキュリティの専門家にすることが目的ではなく、ミスを金銭的な損失に変えないためのガードレールを構築することが目的だと、同氏は強調した。
