香港の暗号資産投資家は、取引プラットフォームへのログイン方法が劇的に変わる局面を迎えている。香港の証券先物委員会(SFC)は、新たな包括的な香港の暗号資産フィッシング規制要件を発出し、市内のすべての仮想資産取引プラットフォームおよびオンライン証券会社に対し、ワンタイムパスワードを廃止し、より強力でフィッシング耐性の高いログイン方法に置き換えるよう命じた――その期限は12か月以内だ。
Summary
主なポイント
- SFCは、暗号資産プラットフォームおよびオンライン証券会社におけるSMS、メール、アプリベースのOTPログインを禁止し、実装期限を12か月と定めた。
- 承認された代替手段には、パスキー、暗号学的検証を用いた登録デバイス、およびハードウェアセキュリティキーが含まれる。
- フィッシング攻撃とソーシャルエンジニアリング詐欺は、暗号資産業界全体で2026年第1四半期だけで3億600万ドルの損失を引き起こし、総損失4億8,200万ドルの大部分を占めた。
- 2025年に香港サイバーセキュリティ事故調整センターに報告されたサイバーセキュリティインシデントのうち、偽造および詐欺攻撃が全体の57%を占めた。
- SFCは、ライセンスを受けた企業の上級管理職に対し、不十分な内部統制に起因する顧客損失について直接の責任を負うと明言している。
香港、暗号資産プラットフォームにフィッシング耐性ログインを義務化
この規制措置は、金融サービスで最も一般的に使用されてきたアカウント認証方式からの大きな転換を示している。ワンタイムパスワード――SMS、メール、認証アプリで送信される6桁のコード――は、長年にわたり二要素ログインの業界標準だった。だがSFCは、これらが現代のフィッシング手法に対して不十分だと判断し、移行は任意ではなく緊急の課題として扱うよう企業に求めている。
特に大手インターネット証券会社には、12か月の猶予期間が終わるのを待たず、直ちに行動するよう指示が出されている。
12か月以内にワンタイムパスワードを段階的廃止
新たな通達は、すべてのライセンスプラットフォームにおけるOTPベースのログインを禁止している。SFCの立場は明確だ。従来型のワンタイムパスワードは、ソーシャルエンジニアリング、なりすましキャンペーン、偽サイトによるフィッシングなどを通じて、傍受や複製があまりにも容易だという認識である。
規制当局はまた、企業に対し、不審なログイン、取引、出金活動を検知する検出および監視システムの導入を義務付けている。プラットフォームは、重要なアカウント操作について顧客に速やかに通知し、ハッキングインシデントには遅滞なく対応しなければならない。新たななりすまし詐欺に関する定期的な注意喚起も、コンプライアンス要件の一部となった。
重要なのは、SFCが最終的な責任は上級管理職が負うと明確にした点だ。内部システムが基準を満たさない企業は、その結果生じた顧客損失について責任を問われる可能性がある――この責任の位置付けにより、今回の通達には実効性が伴う。
承認された認証方法とデバイスバインディング
SFCは、フィッシング耐性のある許容解として3つのカテゴリーを示している。すなわち、パスキー、暗号学的検証を用いる登録デバイス、およびハードウェアセキュリティキーだ。これら3つはいずれも共通して、認証を物理デバイスまたは暗号学的証明に結び付けることで、たとえユーザーが偽サイトに誘導されたとしても、遠隔から容易に傍受・複製できないようにしている。
このアプローチは、世界的に進化してきたフィッシング耐性認証の標準を反映している。攻撃者が中間者攻撃を仕掛けることでリアルタイムに収集できてしまうOTPとは異なり、パスキーやハードウェアキーは、実際の登録デバイスの保有を要件とする。盗まれるべきコードそのものが存在しないのだ。
増大するフィッシングと詐欺による損失が暗号資産投資家を脅かす
SFCが今回の命令を出したのは、真空状態の中ではない。その背後にある数字は、不都合な現実を突き付けている。
世界の暗号資産フィッシング損失と最近の詐欺事例
フィッシング攻撃とソーシャルエンジニアリング詐欺は、暗号資産業界において2026年第1四半期に3億600万ドルの損失を生み出し、その期間の総損失4億8,200万ドルの大半を占めた。2026年上半期には、フィッシング関連の損失は3億6,600万ドルにまで増加し、単発的な急増ではなく、加速するトレンドであることを浮き彫りにしている。
個別のインシデントも同様に深刻な状況を示している。SFCの通達が出る数日前には、ある暗号資産投資家が、イーサリアム上で悪意あるフィッシングトークン承認トランザクションに署名した結果、ほぼ100万ドルを失った。同じ月の初めには、ウォレット保有者が偽の取引所に接続し、悪意あるコントラクトに署名したことで165万ドルを失う事例も発生した。このトランザクションは、研究者Ryan Colemanによれば、攻撃者に資金への無制限アクセスを与えるものだった。5月25日には、オンチェーンアナリストの「b-block」が、詐欺師が分散型取引所Uniswapになりすました悪意あるGoogle広告を出稿し、本物のプラットフォームだと信じた被害者から40万ドル超を盗み取ったと報告している。
香港におけるサイバーセキュリティインシデント統計
香港ローカルでも、脅威の様相は同様に深刻だ。香港サイバーセキュリティ事故調整センターのデータによれば、偽造および詐欺攻撃は、2025年に報告されたすべてのセキュリティインシデントの57%を占めた。この単一の脅威カテゴリー――なりすましと偽装――にリスクが集中している状況は、今回のSFC要件がまさに対抗しようとしている対象と一致している。
ローカルのインシデントデータと世界的なフィッシング損失の収束により、この規制のタイミングは理解しやすい。香港の暗号資産市場は拡大しており、ライセンスプラットフォームの利用者が増えるほど、攻撃対象領域も広がる。SFCは、大規模なローカルインシデントによって対応を迫られる前に動いているように見える。
業界の反応と、より強固なウォレットセキュリティへの要請
バイナンス共同創業者がウォレット保護強化を提唱
セキュリティ基準引き上げへの圧力は、規制当局だけから来ているわけではない。バイナンス共同創業者のChangpeng Zhao(趙長鵬)は、2025年12月に投資家がアドレスポイズニング詐欺で5,000万ドルを失ったことを受けて、ウォレットのセキュリティ対策の強化を公に呼びかけた。アドレスポイズニングはフィッシングとは異なる攻撃ベクトルであり、被害者のトランザクション履歴にほぼ同一の不正ウォレットアドレスを紛れ込ませることで機能する。しかし、わずかな注意力の隙を突いて壊滅的な金銭的損失を与えるという、より広いパターンは共通している。
このインシデントの規模と、それを指摘した人物の知名度により、2026年に向けて暗号資産セキュリティは業界の議論の俎上に載り続けることになった。
警戒を高める著名なアドレスポイズニング詐欺
アドレスポイズニングは、近年で最も衝撃的な個別損失額を生み出している。2024年5月には、ある被害者がアドレスポイズニング攻撃で7,100万ドルを失った――この異例のケースでは、調査員が特定のIPアドレスを追跡した可能性を示したことで、最終的に攻撃者が全額を返還した。しかし、このような結末は例外的だ。こうしたスキームの被害者の大半は、何も取り戻せない。
暗号資産フィッシング対策に関する専門家の見解
「ますます複雑化・多様化する偽造および詐欺攻撃から顧客口座を保護するためには、予防、検知、対応、教育を組み合わせた包括的な対策を講じる必要があります」と、中国証券監督管理委員会中介機構部の葉志恒執行董事は述べた。
この枠組みは重要だ。より優れた認証による予防は、あくまで一層に過ぎない。検知システム、迅速なインシデント対応、継続的なユーザー教育が、規制当局が必要と見なす残りの要素を構成する。SFCの通達は、この多層的な考え方を反映しており、単に優れたログイン技術を義務付けるだけではない。ログイン画面から顧客コミュニケーションに至るまで、一体的なセキュリティ体制の構築を企業に求めている。
一方で、この規制がまだ答えを示していないのは、小規模な仮想資産取引プラットフォームが、ハードウェアセキュリティキーや暗号学的デバイスバインディングを大規模に実装するためのコストと技術的複雑性をどのように吸収するかという点だ。12か月の猶予は計画の時間を与えるものの、セキュリティエンジニアリング能力において、大手ライセンス証券会社と小規模VATPとの間に実際のギャップが存在する。SFCがこの格差にどう対処するのか――そして不遵守に対する制裁がどの程度比例的なものになるのか――が、この義務化の実効性を左右する可能性がある。
FAQ
香港証券先物委員会は暗号資産プラットフォームにどのような新たなログイン要件を課しましたか?
SFCは、暗号資産プラットフォームおよびオンライン証券会社に対し、パスキー、暗号学的検証を用いた登録デバイス、ハードウェアセキュリティキーといったフィッシング耐性のある認証方法を採用する一方で、SMS、メール、アプリベースで配信されるワンタイムパスワードによるログインを禁止している。企業には変更を実装するために12か月の猶予が与えられているが、大手インターネット証券会社には直ちに行動するよう求められている。
なぜ今、これらの新しいフィッシング耐性ログイン方法が義務付けられているのですか?
この義務化は、暗号資産業界全体で2026年第1四半期に3億600万ドルの損失をもたらしたフィッシング攻撃とソーシャルエンジニアリング詐欺の急増、そして2025年に香港で報告されたサイバーセキュリティインシデントの57%が偽造および詐欺攻撃であったというデータを受けたものだ。SFCは、現在の攻撃手法の高度化に対してOTPが不十分であると見なしている。
香港の規制当局がワンタイムパスワードの代替として認めているものは何ですか?
SFCは、フィッシング耐性のある解決策として、パスキー、暗号学的検証を用いた登録デバイス、ハードウェアセキュリティキーの3カテゴリーを承認している。これらの方法は、認証を物理デバイスまたは暗号学的証明に結び付けることで、なりすましサイトやソーシャルエンジニアリングを通じても攻撃者が傍受することを大幅に困難にしている。
これらのフィッシング脅威に対して暗号資産業界はどのように反応していますか?
バイナンス共同創業者のChangpeng Zhaoを含む業界リーダーたちは、2025年12月の5,000万ドル規模のアドレスポイズニング詐欺などの著名なインシデントを受けて、より強力なウォレットセキュリティを求めてきた。SFCの措置は、業界の著名人が数か月にわたり非公式に提唱してきた内容を、公式な形で制度化するものだ。
{“@context”:”https://schema.org”,”@type”:”FAQPage”,”mainEntity”:[{“@type”:”Question”,”name”:”香港証券先物委員会は暗号資産プラットフォームにどのような新たなログイン要件を課しましたか?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”SFCは、暗号資産プラットフォームおよびオンライン証券会社に対し、パスキー、暗号学的検証を用いた登録デバイス、ハードウェアセキュリティキーといったフィッシング耐性のある認証方法を採用する一方で、SMS、メール、アプリベースで配信されるワンタイムパスワードによるログインを禁止している。企業には変更を実装するために12か月の猶予が与えられているが、大手インターネット証券会社には直ちに行動するよう求められている。”}},{“@type”:”Question”,”name”:”なぜ今、これらの新しいフィッシング耐性ログイン方法が義務付けられているのですか?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”この義務化は、暗号資産業界全体で2026年第1四半期に3億600万ドルの損失をもたらしたフィッシング攻撃とソーシャルエンジニアリング詐欺の急増、そして2025年に香港で報告されたサイバーセキュリティインシデントの57%が偽造および詐欺攻撃であったというデータを受けたものだ。SFCは、現在の攻撃手法の高度化に対してOTPが不十分であると見なしている。”}},{“@type”:”Question”,”name”:”香港の規制当局がワンタイムパスワードの代替として認めているものは何ですか?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”SFCは、フィッシング耐性のある解決策として、パスキー、暗号学的検証を用いた登録デバイス、ハードウェアセキュリティキーの3カテゴリーを承認している。これらの方法は、認証を物理デバイスまたは暗号学的証明に結び付けることで、なりすましサイトやソーシャルエンジニアリングを通じても攻撃者が傍受することを大幅に困難にしている。”}},{“@type”:”Question”,”name”:”これらのフィッシング脅威に対して暗号資産業界はどのように反応していますか?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”バイナンス共同創業者のChangpeng Zhaoを含む業界リーダーたちは、2025年12月の5,000万ドル規模のアドレスポイズニング詐欺などの著名なインシデントを受けて、より強力なウォレットセキュリティを求めてきた。SFCの措置は、業界の著名人が数か月にわたり非公式に提唱してきた内容を、公式な形で制度化するものだ。”}}]}
本記事は人工知能の支援を受けて作成され、編集部による確認を経ています。

