Bybitハッキング事件（2025年2月22日）の詳細調査

2025年2月22日に発生した暗号資産取引所Bybitのハッキング事件は、約15億ドル相当の暗号資産が流出する過去最大規模の被害となり、従来安全とされたマルチシグ対応のコールドウォレットが突破された衝撃的な事例です。以下では、この事件に関連して質問されている各ポイントについて最新情報と信頼できる情報源に基づき解説します。

1. コールドウォレットとは何か？

コールドウォレットとは、暗号資産の秘密鍵をオフライン環境で保管するウォレットのことです。つまり、インターネットから完全に切り離された状態（コールドストレージ）で秘密鍵を管理し、不正アクセスのリスクを極限まで低減します。ネットワークに接続しないことでハッキングを受けにくく、取引所でも顧客資産の大部分をコールドウォレットで管理することでセキュリティを高めています。

ホットウォレット（オンラインウォレット）との大きな違いは、接続環境と利便性です。以下に比較を示します:

• コールドウォレット: オフラインで秘密鍵を保管。ハッキングリスクが著しく低い反面、送金や取引の際にはデバイス接続など手間と時間がかかる（即時取引には不向き）。長期保管に適します。
• ホットウォレット: オンラインで秘密鍵を管理。即座にアクセス・送金が可能で取引の利便性が高いが、インターネット経由の攻撃に晒されるため不正アクセスリスクがある。日常的な取引や少額の保管に利用されます。

コールドウォレットの具体例としては、USB型のハードウェアウォレット（LedgerやTrezorなど）や紙に鍵情報を印刷するペーパーウォレットがあります。取引所では流動性確保のため必要最低限の資産のみをホットウォレットに入れ、それ以外をコールドウォレットで保管する運用が一般的です。このようにコールドウォレットは利便性と引き換えに高いセキュリティを実現する保管方法と言えます。

2. マルチシグ（マルチシグネチャ）とは何か？

マルチシグ（Multisignature）とは、取引（トランザクション）を承認する際に複数の秘密鍵による署名を必要とする仕組みです。通常の単一署名（シングルシグ）では1つの秘密鍵で承認しますが、その鍵が漏洩すれば即座に資金を盗まれる危険があります。一方マルチシグでは、あらかじめ定めた複数の鍵のうち一定数以上（M-of-N形式）を用いて署名しないと取引が成立しません。例えば「2-of-3（3つの鍵のうち2つが必要）」に設定したウォレットでは、一つの鍵が流出しても残りの鍵がなければ送金できないため安全性が大幅に向上します。また仮に1つの鍵を紛失しても、残り2つで署名すれば取引を完了できるため、秘密鍵紛失リスクの軽減にもなります。

マルチシグのセキュリティ上のメリットは以下の通りです:

• 不正アクセス耐性の向上: 複数の秘密鍵を分散管理するため、攻撃者が全ての鍵を入手するのは極めて困難であり、単一の鍵漏洩だけでは資産を盗めません。
• 内部不正や単独ミスの防止: 一人では送金を完結できないため、内部者による不正送金や担当者の誤送金を抑止します。
• 秘密鍵紛失リスクの軽減: 万一一つの鍵を紛失・破損しても、残りの鍵で資産へのアクセスや復旧が可能です。

このような理由から、多額の資産を管理する取引所や企業ではコールドウォレットと併せてマルチシグを採用するケースが一般的です。実際、日本国内の主要取引所でも顧客資産の保管にコールドウォレット＋マルチシグを組み合わせてセキュリティを強化しています。

3. 今回の攻撃の手口詳細 – ソーシャルエンジニアリングの悪用

Bybitのハッキングでは、攻撃者がソーシャルエンジニアリング（社会工学）手法を駆使してマルチシグ署名者を欺き、不正トランザクションに署名させるという高度な手口が使われました。具体的には、攻撃者はまずBybitのコールドウォレットからホットウォレットへの通常の資金移動を装って署名者たちに承認を求めました。署名者はそれが routine（定期的な）転送だと認識しており、表示された宛先アドレスや金額も正規のホットウォレットへの送金に見えたため疑いなく署名してしまったのです (Explained: The Bybit Hack (February 2025)) (Bybit Hack | Merkle Science)。

このように署名者を欺くため、攻撃者は巧妙に改ざんされたユーザーインターフェース（UI）の画面を提示しました。今回使われたウォレットはGnosis社の「Safe」（旧称: Gnosis Safe）というマルチシグ用ウォレットで、Web上のUIを通じて取引内容を確認し署名する仕組みでした。攻撃者はSafeの開発者用環境を侵害し、Bybit専用のSafeインターフェースに悪意あるJavaScriptコードを埋め込むことに成功したと報告されています。その結果、署名者のブラウザには本来とは異なる偽の取引内容が表示されましたが、背後ではコールドウォレットから攻撃者のアドレスへ資金を移す不正な取引データが用意されていたのです (Bybit Hack | Merkle Science)。

さらに攻撃者は、署名者自身のPCやウォレット端末にも悪意あるソフトを仕込んだ可能性があります。セキュリティ企業Halbornは「攻撃者は署名者のコンピュータにマルウェアを感染させるか、フィッシングリンクに誘導することで、署名者に偽装された取引に承認させた」と分析しています (Explained: The Bybit Hack (February 2025))。つまり署名者のデバイスや通信経路を事前に乗っ取った上で、UI上で正規の送金に見えるトランザクションを提示し、実際には裏に隠した不正コードに署名させるという二段構えのソーシャルエンジニアリング攻撃でした。

この手法により、Bybit側では「コールドウォレットからホットウォレットへ通常どおり資金移動した」と認識していましたが、実際には攻撃者にコールドウォレットの支配権を渡す取引に署名してしまっていました (Explained: The Bybit Hack (February 2025)) (Explained: The Bybit Hack (February 2025))。署名者たちは画面上の情報を信頼していたため、自分たちが不正取引に承認を与えているとは気付かなかったのです。結果として、3名の署名者（後述）がデジタル署名した時点でマルチシグの送金条件が満たされ、約401,000 ETH（当時約14～15億ドル相当）を含む大量の資産が攻撃者の管理するアドレスに流出してしまいました。

4. マルチシグがどのように突破されたのか

Bybitのイーサリアムコールドウォレットは6人中3人の署名（3-of-6マルチシグ）で資金移動が可能な設定でした。本来であれば複数人の確認プロセスがあるためセキュリティは高いはずですが、今回はその3人全員が同時に騙されて署名してしまうという人的ミス（社会工学的な誘導）によってマルチシグの防御が突破されました。つまり、攻撃者はシステム上の弱点ではなく人間の信頼と確認プロセスの盲点を突いたのです (The Bybit Incident: When Research Meets Reality - Check Point Research)。

技術的に見ると、攻撃者はGnosis Safe（現Safe）のマルチシグウォレットがオフチェーンで収集した署名データをコントラクトに渡す仕組みを悪用しました。Safeでは署名者がUI上で取引内容を確認し各自の秘密鍵で電子署名しますが、その際取引データ（コールデータ）自体はユーザー端末上で形成され、署名とともにブロードキャストされてコントラクト実行されます。攻撃者はこのフローに介入し、署名される取引データを書き換えることでスマートコントラクトのロジックを改変しました (Explained: The Bybit Hack (February 2025))。

具体的には、不正トランザクション内でSafeコントラクトに対し「delegatecall（デリゲートコール）」というEthereumの低レベル命令を実行させています。Delegatecallを使うと、外部のコントラクトのコードを自分のコントラクトの文脈で実行できるため、攻撃者は事前に用意した悪意あるコントラクトのコードをSafeウォレット上で走らせることができました。この悪意あるコントラクトは、Safeウォレットの所有権や送金ロジックを書き換えるプログラムになっており、結果としてコールドウォレットの管理権限が攻撃者に移譲されてしまいました (Explained: The Bybit Hack (February 2025)) (Explained: The Bybit Hack (February 2025))。実際、攻撃者が用意したコントラクトはハッキングの3日前にデプロイされた未検証コードであり、本来署名者が注意すべき「DelegateCallフラグ（通常のトランザクションでは使わない値）」が埋め込まれていたにもかかわらず見逃されていました。

このようにスマートコントラクト自体を乗っ取る形でマルチシグが形骸化されましたが、その背景には署名者側の確認不足もありました。前述の通り、署名者は画面上の表示を信用して署名してしまい、ハードウェアウォレットや別の手段で取引データを詳細に検証していなかったと考えられています。通常、ハードウェアウォレットはトランザクション内容を簡易表示しますが、複雑なコールデータ（例えばdelegatecall先のアドレスや関数）は十分にわかりやすく表示されない場合があります。そのため署名者全員が画面上の「見かけ上正しい情報」だけを頼りに盲目的（いわゆるブラインドサイニング）に署名してしまい、結果としてマルチシグの効力が発揮されませんでした。

もう一つ重要な点は、この攻撃がSafe（マルチシグウォレットプラットフォーム）側の開発インフラを狙ったサプライチェーン攻撃だった可能性が高いことです。ChainalysisやCyfrinの調査によれば、攻撃者はSafe開発者のPCないしCI環境を侵害し、Bybitが使用していたSafeのフロントエンドコード（AWS上のホスティングバケットなど）に不正なスクリプトを混入させたとされています。これにより、Bybitの署名者がアクセスしたSafeの画面自体が改ざんされていたのです。これは利用者（取引所）側では防ぎにくい経路であり、ウォレット提供元の信頼性を突く手口でした。

以上をまとめると、マルチシグそのものの暗号学的強度が破られたわけではなく、「署名者の目」を欺いて本来承認してはいけない取引に複数人が署名してしまった点にこの攻撃の本質があります (The Bybit Incident: When Research Meets Reality - Check Point Research)。強固な多重署名で守られていた資産も、最後は人間の確認ミスひとつで失われ得ることをこの事件は示しました。

5. 類似のハッキング事例と比較

今回のBybitハックと**似た手口（マルチシグを狙ったソーシャルエンジニアリング攻撃）**として、過去にも複数の大規模なハッキング事件が発生しています。代表的な事例を挙げ、その手口を比較します。

• WazirX取引所 ハック（2024年7月18日）: インドの仮想通貨取引所WazirXで約2億3490万ドル（当時）相当が流出した事件です (2024 WazirX hack - Wikipedia) (2024 WazirX hack - Wikipedia)。同取引所のウォレットは5人＋外部カストディ1人の計6人によるマルチシグ（4人の承認が必要）でしたが、Bybitと同様に署名者を騙してウォレットのスマートコントラクトロジックを書き換えられ、資金を奪われました (2024 WazirX hack - Wikipedia)。攻撃者（北朝鮮のLazarusグループとされる）は署名用UIに細工し、WazirXのコールドウォレット契約の所有権を自分たちのコントロール下に移すことに成功、以降は取引所の鍵なしで資金を引き出せる状態にして全資産を流出させています (2024 WazirX hack - Wikipedia)。手口・影響規模ともにBybit事件の先駆けといえるものでした。

• Radiant Capital（DeFiプロトコル）ハック（2024年10月16日）: 分散型金融プラットフォームRadiant Capitalで約5,300万～5,800万ドルの損失を出した事件です。Radiantでは11個の管理アドレスのうち3つの秘密鍵が攻撃者に奪われ（こちらもマルチシグ形式）、これを使ってプロトコルの重要コントラクトの所有権を攻撃者のコントラクトに移す悪質な取引が承認されてしまいました ($50m Hack: Radiant Capital Hit Hard In Rare Multi-Sig Wallet Attack - Brave New Coin)。結果、貸付プールなどから資金が抜き取られています。攻撃経路は「高度なマルウェアにより複数の開発者のハードウェアウォレットが侵害された」ことが原因と報告されており ($50m Hack: Radiant Capital Hit Hard In Rare Multi-Sig Wallet Attack - Brave New Coin)、これも人間や開発環境を標的にしたソーシャルエンジニアリング＋サプライチェーン攻撃でした。Radiant側は被害後、マルチシグの署名者を11人から7人に減らし4人承認（閾値を過半数超に）へと安全策を強化しています ($50m Hack: Radiant Capital Hit Hard In Rare Multi-Sig Wallet Attack - Brave New Coin)。

これらのケースはいずれも**「UIや署名プロセスの盲点を突いてマルチシグを迂回する」という点でBybit事件と共通しています (Bybit Hack | Merkle Science)。実行主体はいずれも北朝鮮系ハッカー集団（ラザルス）と疑われ、巧妙なフィッシングや内部侵入によって従来安全と信じられてきた複数署名ウォレットを攻略しています (Bybit Hack | Merkle Science)。被害額の規模はBybit（約15億ドル）が突出していますが、こうした「ブラインドサイニング（内容を十分確認せず署名してしまう）」現象を狙った攻撃**は2024年から2025年にかけて相次いでおり、暗号資産業界全体に新たな警鐘を鳴らしました (Bybit Hack | Merkle Science)。

なお、過去の大型ハッキングとしては他に**Roninブリッジのハック（2022年3月、6億2,400万ドル流出）やPoly Network事件（2021年8月、6億ドル流出）**などがありましたが、これらはスマートコントラクトや鍵管理の脆弱性自体を突いたものであり、マルチシグの盲点を突くソーシャルエンジニアリングという点ではWazirXやRadiant、Bybitのケースが新種と言えます (Explained: The Bybit Hack (February 2025))。

6. 暗号資産業界の今後のセキュリティ対策への示唆

今回のBybitハッキング事件は、技術的にも人的にも高度な手口によって「最後の砦」と思われたマルチシグ・コールドウォレットが破られたことから、業界に大きな衝撃を与えました。この事件を教訓に、今後考えられるセキュリティ強化策・対策の示唆をまとめます。

• オフチェーンでのトランザクション検証: 実行前に取引内容をブロックチェーン外の安全な環境でシミュレーションし、結果を検証する仕組みの導入が注目されています。この「オフチェーントランザクション検証」によって、不正な取引であれば事前に発見しブロックでき、将来的なハッキングや詐欺の99%を防げる可能性があると専門家は指摘しています。

• 画面表示に頼らない独立した検証フロー: **「Don't trust, verify」**の原則に立ち返り、署名者はPC上のUIに表示された内容だけで判断せず、取引データの実体（バイトコードやコールデータ）を独自に検証する手順を設ける必要があります。具体的には、トランザクションのハッシュ値やコールデータを別の安全なツールで再計算・表示し直し、UIが改ざんされていないか二重チェックすることが有効です。

• 高機能なハードウェアウォレットの活用: 従来のハードウェアウォレットは複雑なコントラクト呼び出しを判読しづらい場合があるため、**より詳細な取引情報を表示できるデバイスや機能（例: Keystoneのような複雑トランザクションをデコード表示できるウォレット）**を導入することが推奨されています。物理デバイス上で取引内容を確認する際に、コントラクトアドレスや関数の変更点まで明示できれば、UI改ざんに気付きやすくなります。

• 署名用スクリプト・ツールの活用: 開発者コミュニティでは、Safeのケースを踏まえてオープンソースの検証ツールが用意されています。例えば**safe-tx-hashesというスクリプトでは、安全な環境でトランザクションデータを復元・比較でき、UIを介さず本当に署名しようとしている取引が何かを確認できます。大規模資産を扱う組織ではこうした検証ツールの利用をオペレーション上必須**とすべきとの指摘があります。

• 内部手続き・人為ミス対策の強化: 組織においては、「複数人承認だから安全」と過信せず署名者の訓練と役割分担を見直す必要があります。鍵を扱う担当者は全員、取引データを読むスキルと慎重さを持つことが望ましいですが、それが難しい場合は必ず1人は高度な検証を行う役割を設けてから全員が署名する体制にするなど、人為ミスを補完するプロセス整備が重要です。また日常的にフィッシング対策訓練を行い、署名者や開発者が怪しいメール・リンクを踏まない、権限管理を厳格化するといった基本的セキュリティ衛生（サイバー・ハイジーン）の徹底も改めて求められます。

• ウォレット提供側のサプライチェーン対策: Safe開発元は事件後24時間以内にサービスを一時停止して検証を行い、取引検証プロセスの強化などセキュリティ改善策を迅速に実施しました (Bybit Hack | Merkle Science)。今後はウォレットやマルチシグサービス提供企業も、開発インフラやアップデート配信の安全性をより厳格に管理し、第三者によるコード改ざんを防ぐ対策（コード署名や二重チェック機構の導入など）を講じていく必要があります。また、取引所など大口ユーザーに対しては提供元と協力した定期的なセキュリティ監査や脆弱性報奨金（バグバウンティ）制度の活用も有効でしょう。

今回のBybit事件は、「マルチシグ＋コールドウォレット」という鉄壁の防御に対して人間の盲点を突いた新種の攻撃でしたが、逆に言えば適切な教育・プロセス・ツールの導入で防げる余地も示しています (The Bybit Incident: When Research Meets Reality - Check Point Research)。暗号資産業界では今後、技術的セキュリティと運用上のセキュリティの両面を強化し、ユーザー資産を守るための包括的な対策が求められるでしょう。

参考文献・情報源: Bybit公式発表、セキュリティ企業の分析（Chainalysis, Check Point (The Bybit Incident: When Research Meets Reality - Check Point Research), Halborn (Explained: The Bybit Hack (February 2025)) (Explained: The Bybit Hack (February 2025)), Cyfrin）、業界メディア（Cointelegraph Japan, CoinDesk Japan, Merkle Science (Bybit Hack | Merkle Science)）など。各引用は本文中に【 】で示しています。