▽ 要約
事件概要 9/24流出、10/2にSBIが不正流出を公表。
被害規模 BTC等5銘柄で約2,100万ドル。
犯人像 送金はTornado Cash経由で北朝鮮類似。
影響 SBI VC等の顧客資産へ直接影響なし。
国内大手グループ子会社が突破されたのは事実であり、9月24日の観測から10月2日の公式認知までに被害経路も概ね特定されたため、投資家は「何が守られ、どこが弱かったか」を見極める必要がある。本稿はSBI Crypto ハッキングを一次情報中心に時系列で整理し、被害31億円(約2,100万ドル)、洗浄手口、波及リスクと実務対策を過不足なく解説する。
事件の全体像(時系列)
| 日付(JST) | 区分 | 概要 | 具体内容・メモ |
|---|---|---|---|
| 2025-09-24 | 観測(オンチェーン) | 複数チェーンで同時流出を確認 | SBI Crypto関連アドレスからBTC・ETH・LTC・DOGE・BCHが同時に移動。規模は約2,100万ドルと推計。 |
| 2025-10-01 | 報道(海外メディア) | 洗浄パターンと類似事案を報道 | 「即時交換サービス経由→Tornado Cash入金」の経路を指摘。過去の北朝鮮関与事案と類似と伝達。 |
| 2025-10-02 | 公式公表(SBI) | 自己資産の不正流出を認める | 「SBI Cryptoの自己資産の不正流出」を発表。原因究明・流出額特定は調査中、連結業績への影響は軽微と説明。 |
9月24日—不審流出の初出
複数チェーンで同時に資産が移動し、即時換金性の高い経路に分散されたため、攻撃者が広範なウォレット権限へ横展開していた可能性が高い。
流出は単一チェーンではなくBTC系・ETH系を跨いで発生し、資産は小口化のうえ交換所へ迂回され追跡耐性を高められた。
10月1日—国際メディアの報道
即時交換サービスを挟んだ後にTornado Cashへ送金されたため、既知の国家支援型攻撃に特徴的な洗浄手口と整合した。
北朝鮮系「ラザルス」関連事案で繰り返し見られる分散・難読化の指標が確認され、DPRK関与の疑いが強まった。
10月2日—SBIの公式認知
自己勘定資産の流出であり、顧客資産や他社への直接被害は確認されていないため、事業影響は限定的と説明された。
SBIは原因と流出額の確定を継続調査中で、マイニング子会社の事業整理含む見直し検討にも言及した。
被害規模と標的、波及の有無
流出は自己勘定の暗号資産に限定され、SBI VCトレードやビットポイントの顧客資産は分離管理のため影響が及ばなかった。
流出額と資産の内訳
推定約2,100万ドル(約31億円、1ドル=150円)で、BTC・ETH・LTC・DOGE・BCHの5銘柄が同時に抜かれた。
複数チェーン同時侵害は、権限管理やキーマネジメントの層で横断的な弱点が突かれた公算を示す。
標的は自己勘定資産(顧客資産ではない)
対象はSBI Cryptoの自己保有分であり、交換業を担うSBI VCトレード等の顧客預かり資産とは管理主体が異なる。
国内交換業側は法定通貨の信託保全と暗号資産のコールド保管を整備しており、今回の侵害とは論理的に隔離されている。
他サービスへの波及なし(SBI VC・ビットポイント)
SBIは両社で不正流出等の被害なしと確認し、SBI VCトレードは「日本円はSBIクリアリング信託で全額信託保全、暗号資産は100%コールド保管」を案内している。
リスクはマイニング子会社に局在し、交換業の顧客資産保護スキームは機能した。
洗浄経路と規制の文脈
資金は即時交換サービスを経由してTornado Cashへ難読化されたが、同サービスは2025年3月に米OFACの制裁対象から除外され、依然として匿名化用途に悪用され得る。
制裁の有無にかかわらず、分析企業・当局のトレーシングと国際協調が実効性を左右する。
報道・専門家の評価軸
北朝鮮関与の可能性と「伝統金融×暗号資産」の接合部リスクに焦点が置かれ、被害額以上に象徴的影響が論じられた。
北朝鮮関与の指摘
即時交換→ミキサー→分散という既知のパターンが重なり、直近のBybit約15億ドル事件など国家関与の先例とも整合した。
ラザルス関連とみられる手口の再現性は高く、企業側は侵害後の初動封じ込めと払出経路遮断の自動化が急務となる。
大手金融グループへの衝撃
伝統金融の統制と暗号資産運用の現場距離が露呈し、グループ内での権限境界・監督線引きの再設計が求められる。
「業績影響は軽微」でも、レピュテーション・規制対応コストの上振れが中長期の実害となり得る。
専門家の論点(調査協力・技術面)
外部アナリストやセキュリティ企業がオンチェーン追跡に協力し、侵害経路の仮説が早期に共有された。
今後はホット経路最小化、キー分散、運用プロセスの署名分離とHSM徹底が標準要件となる。
過去事例と波及リスク
国内外の巨額流出は継続し、投資家心理・規制強化・保険料率の三点で逆風が増すため、実務対策は「平時の自動化」が鍵になる。
国内の前例と教訓
Mt.Gox(2014)、Coincheck(2018)を経て、2024年のDMMビットコイン流出は警察庁がTraderTraitor(ラザルスの一部)と公式特定した。
結果、国内ではコールド保管・マルチシグ・信託保全が標準化し、今回も交換業の顧客資産防衛に寄与した。
海外の大型事案と現在地
2025年2月のBybit約15億ドル流出は史上最大級で、国家関与の資金調達サイクルが続くことを示した。
インフラや人へのソーシャルエンジニアリングが併用され、単一技術対策だけでは防ぎきれない。
規制・産業への波及
侵害多発は監督強化と保険・監査コストの上昇に直結する一方、標準化・自動化の内製投資が長期的な競争力を左右する。
実務対策(チェックリスト)
・ホット経路の最小化と即時遮断オーケストレーション
・キーマテリアルのハード分離(HSM・MPC)とロールベース権限
・自動アラートとブロックリスト連携(即時交換・ミキサー)
・BC分析企業・法執行との常設連絡線と演習
・開発者・運用者へのフィッシング/採用試験型攻撃訓練
▽ FAQ
Q. いつ何が起きた?
A. 2025年9月24日に約2,100万ドルが流出し、10月2日にSBIがSBI Cryptoの不正流出を公表した。
Q. 被害の対象は?
A. 流出はSBI Cryptoの自己資産で、BTC・ETH・LTC・DOGE・BCHの5銘柄が含まれた。
Q. 取引所の顧客資産は安全か?
A. SBIはSBI VCトレード・ビットポイントで被害なしと説明し、SBI VCは円の信託保全と100%コールド保管を案内。
Q. 北朝鮮関与の根拠は?
A. 即時交換→Tornado Cash→分散の洗浄パターンが過去のラザルス事案と一致し、Bybit15億ドル事件とも整合。
■ ニュース解説
不正流出は9月24日に観測され、10月2日にSBIが自己資産の流出を認めたため、事実は確定しつつも手口と侵入経路は調査継続である。背景として国家関与の連続事案があり、Tornado Cashなど匿名化経路の恒常的悪用が続くため、影響は技術・統治・規制の三層へ及ぶ。
投資家の視点:①取引所選定は「信託保全+100%コールド+第三者監査」を基準化、②自己保管はMPC/マルチシグとキー分散、③相場変動時も過度な集中保有を避け分散管理、④業者のインシデント対応力(遮断自動化・開示速度)を重視。
※本稿は投資助言ではありません。
(参考:SBI Holdings)
