ホームSenza categoriaRegolamentazione香港の暗号資産セキュリティ:サイバー攻撃が27%急増し、OTPが禁止に

香港の暗号資産セキュリティ:サイバー攻撃が27%急増し、OTPが禁止に

香港による暗号資産セキュリティ強化の取り組みは、具体的かつ重大な一歩を踏み出した。同市の証券先物委員会(SFC)は、すべての暗号資産取引プラットフォームおよびインターネット証券会社においてワンタイムパスワードによるログインを禁止する通達を発出した。これは、ひそかにユーザーアカウントを枯渇させ、地域のサイバーセキュリティ基盤を圧迫しているフィッシング被害の蔓延に対する直接的な対応だ。

主なポイント

  • 香港のSFCは、暗号資産プラットフォームおよびインターネット証券会社におけるSMS、メール、アプリベースのOTPログインを禁止し、その代わりにパスキーなどフィッシング耐性のある手段を義務付けた。
  • 事業者には12か月の遵守期限が与えられており、大手ブローカーは即時対応が求められる。
  • 香港では2025年に15,877件のサイバーセキュリティインシデントが記録され、前年から27%増加。うち57%がフィッシングによるものだった。
  • 認可プラットフォームの上級管理職は、認証管理の不備に起因する顧客損失について、直接的な個人責任を負うことになった。
  • 最近のフィッシング攻撃では、HyperSwapユーザーから12,300ドル、偽のUniswapサイトからはおよそ40万ドルが流出しており、脅威の規模を示している。

フィッシングリスク対策として香港がOTPログインを禁止

SFCの通達は、金融規制当局としては異例なほど明確だ。「ワンタイムパスワードの使用をやめること」、そして「大手ブローカーは今すぐ実行すること」。中小規模の事業者に対しては、通達発出から12か月の猶予が与えられている。あいまいさはなく、延長措置にも言及されていない。

OTP禁止の詳細と新たな認証要件

禁止対象は、一般的なOTPのあらゆる形態――SMSコード、メール認証リンク、アプリ生成トークン――に及び、金融サービスにおける最もなじみ深いログインセキュリティ層の一つが排除されることになる。その代わりに、プラットフォームはパスキー、暗号学的検証を伴う登録デバイス、ハードウェアセキュリティキーを実装しなければならない。SFCはこれらを総称してフィッシング耐性のあるソリューションと説明しており、ユーザーが偽サイトに誘導されたとしても利用不能となるよう設計されていることを意味する。

顧客アカウントを保護するためには、高度化・多様化するフィッシング攻撃に対し、予防・検知・対応・教育を組み合わせた包括的なアプローチが必要です」と、SFCインターミディアリーズ部門のエグゼクティブ・ディレクターである葉志恒(Yip Chi-hang)博士は述べた。さらに、認可機関は堅牢な認証を通じて第一線の防御を強化し、被害が発生する前に迅速に対応する必要があると付け加えた。

その根底にある論理は単純だ。OTPはフィッシングサイトによってリアルタイムで傍受・転送され得るが、パスキーや暗号学的なデバイスバインディングはそうではない。ユーザーをだまして偽の取引所ページにワンタイムコードを入力させた攻撃者は、必要な情報をすべて手に入れてしまう。一方、パスキーに紐づいたログインに直面した攻撃者は、実行可能な情報を何も得られない。

遵守期限と大手ブローカーへの即時の影響

12か月の猶予は事業者全般に広く適用されるが、大手インターネット証券会社は猶予なしで即時の精査対象となる。SFCが用いた「できる限り速やかに」という表現は、大手機関に対し、これを将来のプロジェクトマイルストーンではなく、業務上の緊急事態として扱うことを求めているシグナルだ。期限を守れなかった企業は、規制当局による措置と評判の失墜というリスクに直面し、その組み合わせは、ライセンスの信頼性がすべてである市場において、規制上の地位と顧客からの信頼の双方に影響を及ぼし得る。

香港におけるフィッシング攻撃とサイバー脅威の増大

この規制の背景にある数字は厳しい。香港では2025年に15,877件のサイバーセキュリティインシデントが記録され、前年から27%増加――2023年に記録された7,752件の2倍以上となった。SFCの声明で引用された香港サイバーセキュリティインシデント調整センターのデータによると、フィッシングおよびなりすまし攻撃が全報告件数の57%を占めている。

フィッシングが牽引するサイバーインシデントの急増

この加速は注目に値する。2023年のおよそ7,752件から、2年後にはほぼ16,000件に達したことは、統計上のノイズではなく構造的な問題を示している。ボットネット攻撃は全体の18%でフィッシングに次ぎ、マルウェアは15%を占めた。しかし、SFCが最も懸念しているのはフィッシングであり、その理由はまさに、OTPベースのログインシステムによって直接的に可能となる攻撃ベクトルだからだ。

世界的にも状況は同様に深刻だ。フィッシング攻撃やソーシャルエンジニアリング詐欺は、2026年第1四半期だけで暗号資産業界全体の損失4億8,200万ドルのうち3億600万ドルを占めた。年初から半年間で、フィッシング関連の損失総額は3億6,600万ドルに達したとされ、これは裏付けとなる報告で引用された業界のトラッキングデータによるものだ。

フィッシング詐欺に紐づく注目の暗号資産窃盗事例

最近の2つの事例は、SFCがまさに阻止しようとしているものを端的に示している。偽のエアドロップを装ったフィッシング詐欺により、HyperSwapユーザーから12,300ドルが90秒足らずで流出した。同時期に、詐欺師は分散型取引所Uniswapを装う悪意あるGoogle広告を展開し、偽サイトを通じて複数のウォレットからおよそ40万ドルを引き出したと報告されている。いずれのケースも、ログイン時点での認証情報窃取が関与しており、これはOTPシステムが残しているまさにその脆弱性だ。

これらは孤立した例外的ケースではない。ある暗号資産投資家は、Ethereum上で悪意あるフィッシングトークン承認に署名した結果、ほぼ100万ドルを失った。別のウォレット保有者は、偽の取引所に接続し、攻撃者に無制限の資金アクセスを与えるコントラクトに署名したことで、約165万ドルを失ったと報告されている。このパターンは一貫性があり、スケーラブルであり、正規のプラットフォームとのやり取りと見分けることがますます難しくなっている。

規制執行と経営陣の責任

新たな枠組みでおそらく最も重大なのは、責任の所在だ。SFCは、認可プラットフォームの上級管理職が顧客アカウント保護について最終的な責任を負うことを明確にした。サイバーセキュリティ管理の不備は、もはや静かに是正すべきコンプライアンス上のギャップではなく、顧客損失が発生した際に経営陣の責任を直接的に引き起こす要因となる。

顧客損失に対する上級管理職の責任

これは従来のガイダンスよりも厳格な基準だ。以前は、企業に対する規制上のリスクは主に機関としての制裁に集中していた。新たな枠組みでは、個々の経営幹部が責任の俎上に載る。プラットフォームの認証管理が不十分で、顧客がフィッシング攻撃によって資金を失った場合、その責任の連鎖は今や企業トップにまで直接つながる。

このアカウンタビリティの転換は、社内の意思決定に大きな変化をもたらす。コンプライアンス部門は、認証強化のための予算と優先順位を確保しやすくなるだろう。なぜなら、その代替案はCEOやCTOに対する個人責任だからだ。

不遵守の結果と運用上の要件

責任問題にとどまらず、プラットフォームは今後、疑わしいログイン、取引、出金をリアルタイムで検知できる継続的な検出・監視システムを実装しなければならない。また、デバイスバインディングイベント、ログインの異常、異常な取引パターンなど、重要なアカウント活動について顧客に迅速に通知し、新たななりすまし詐欺について定期的に警告することも求められる。

12か月の期限を守れない企業は、規制当局による措置と評判の失墜に直面する。ライセンスの信頼性が競争上の差別化要因となる香港の厳格に規制された暗号資産環境において、この組み合わせは大きな意味を持つ。

世界の暗号資産業界にとっての意味

香港の禁止措置は、真空の中で行われているわけではない。FBIは、盗まれた認証情報に基づくネットワークを標的とした世界的なサイバー犯罪取り締まりを進めている。Tetherは、TRONのT3部門と連携し、組織的な認証情報窃盗に関連する暗号資産を凍結している。規制当局と法執行機関は明らかに同じ方向に動いており、その中で香港は他地域よりも一歩先に進んだ形だ。

今後の焦点は、シンガポール、英国、その他の主要な暗号資産規制管轄区域が、これをひな型として扱うのか、それとも自らの損失統計が同様の水準に達するまで様子を見るのかという点にある。2026年7月1日に全面施行されたEUの暗号資産枠組みMiCARは、厳格なガバナンスおよびコンプライアンス基準を定めているが、現時点ではパスキーの導入を具体的に義務付けてはいない。一般的なサイバーセキュリティ要件と、香港が今回示したような認証に特化した義務との間のギャップは、今後の規制収斂の最前線となる可能性がある。

グローバルに事業を展開する暗号資産プラットフォームにとって、実務的な意味合いはすでに明らかだ。香港での遵守に必要な技術インフラ――パスキー、暗号学的なデバイスバインディング、リアルタイムの異常検知――は、他地域の規制当局が次に求める可能性が高いものとほぼ一致している。各国ごとに対応するのではなく、今のうちからこれらを構築しておくことが、より合理的な道筋となり得る。

FAQ

香港は暗号資産プラットフォーム向けにどのログイン方法を禁止しましたか?

香港の証券先物委員会は、暗号資産取引プラットフォームのログインおよびデバイスバインディングにおいて、SMS、メール、アプリベースのワンタイムパスワードを禁止しました。

OTPの代わりにどのような認証方法が求められていますか?

プラットフォームは、パスキー、暗号学的検証を伴う登録デバイス、ハードウェアセキュリティキーを実装しなければなりません。これらは、標準的なフィッシング攻撃によって傍受されないフィッシング耐性ソリューションであるとSFCは説明しています。

新ルールに暗号資産プラットフォームが準拠するための期限はいつですか?

事業者は、新たな認証要件に準拠するために12か月の期限が与えられています。ただし、大手インターネット証券会社は猶予期間なしで、直ちに新しい方法へ移行しなければなりません。

遵守期限を守れなかった企業にはどのような結果が生じますか?

期限を守れなかった企業は、規制当局による措置と評判の失墜というリスクに直面します。さらに、サイバーセキュリティ管理の不備によって顧客損失が生じた場合、上級管理職は直接的な責任を問われる可能性があり、これは従来のガイダンスよりも厳格なアカウンタビリティ基準です。

{“@context”:”https://schema.org”,”@type”:”FAQPage”,”mainEntity”:[{“@type”:”Question”,”name”:”暗号資産プラットフォーム向けに香港はどのログイン方法を禁止しましたか?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”香港の証券先物委員会は、暗号資産取引プラットフォームのログインおよびデバイスバインディングにおいて、SMS、メール、アプリベースのワンタイムパスワードを禁止しました。”}},{“@type”:”Question”,”name”:”OTPの代わりにどのような認証方法が求められていますか?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”プラットフォームは、パスキー、暗号学的検証を伴う登録デバイス、ハードウェアセキュリティキーを実装しなければなりません。これらは、標準的なフィッシング攻撃によって傍受されないフィッシング耐性ソリューションであるとSFCは説明しています。”}},{“@type”:”Question”,”name”:”新ルールに暗号資産プラットフォームが準拠するための期限はいつですか?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”事業者は、新たな認証要件に準拠するために12か月の期限が与えられています。ただし、大手インターネット証券会社は猶予期間なしで、直ちに新しい方法へ移行しなければなりません。”}},{“@type”:”Question”,”name”:”遵守期限を守れなかった企業にはどのような結果が生じますか?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”期限を守れなかった企業は、規制当局による措置と評判の失墜というリスクに直面します。さらに、サイバーセキュリティ管理の不備によって顧客損失が生じた場合、上級管理職は直接的な責任を問われる可能性があり、これは従来のガイダンスよりも厳格なアカウンタビリティ基準です。”}}]}

本記事は人工知能の支援を受けて作成され、編集部による確認を経ています。

RELATED ARTICLES

Stay updated on all the news about cryptocurrencies and the entire world of blockchain.

Featured video

LATEST