blockchain-attacks
TARGET_LOCALE: ja
title: "ブロックチェーン攻撃: 51%攻撃、二重支払い、その他" description: "51%攻撃、二重支払い、Sybil攻撃、エクリプス攻撃、セルフィッシュマイニング、フロントランニング、ブリッジ悪用などのブロックチェーンのセキュリティ脅威と、身を守る方法を網羅的に解説します。" keywords: [ブロックチェーン攻撃, 51%攻撃, 二重支払い, Sybil攻撃, ブロックチェーンセキュリティ, セルフィッシュマイニング, MEV] sidebar_position: 10
ブロックチェーン攻撃: 51%攻撃、二重支払い、その他
ブロックチェーン技術は高い安全性で知られていますが、無敵ではありません。暗号資産を保有または送受信するすべての人にとって、ブロックチェーンネットワークを脅かす攻撃ベクトルを理解することは重要です。ブロックチェーンのプロトコル自体は非常に高い耐性を示しており、Bitcoinはプロトコルレベルで攻撃に成功したことがありませんが、ウォレット、取引所、ブリッジ、スマートコントラクトを含む広範なエコシステムは常に脅威にさらされています。
このガイドでは、主要なブロックチェーン攻撃のカテゴリを整理し、仕組みを解説し、実例を示し、資産を守るための実践的な方法を提示します。
プロトコルレベルの攻撃
これらの攻撃は、ブロックチェーンのプロトコルそのもの、つまりコンセンサスメカニズム、ネットワークトポロジー、暗号基盤を標的にします。
51%攻撃(多数派攻撃)
51%攻撃は、単一の主体または協調したグループが、Proof of Workネットワークのハッシュパワーの50%超(またはProof of Stakeネットワークでは攻撃タイプに応じて33%/67%超のステーク)を支配したときに発生します。
仕組み:
- 攻撃者はマイニング機器の構築・購入、またはNiceHashのようなサービスからのハッシュパワーのレンタルによって、過半数のハッシュパワーを確保します。
- 攻撃者はプライベートチェーンのマイニングを開始します。これは攻撃者だけが知っているブロックチェーンのフォークです。
- 公開チェーン上で、攻撃者は暗号資産を取引所に送金し、法定通貨または別の暗号資産に売却します。
- 取引所が売却を反映した後、攻撃者は公開チェーンより長い(累積作業量が多い)プライベートチェーンをブロードキャストします。
- ネットワークはより長いチェーンを正当なチェーンとして受け入れ、攻撃者の元の取引は消え、資金は攻撃者のウォレットに戻ります。
- 攻撃者は事実上、同じコインを2回使ったことになります。1回は取引所での支払い受領、もう1回はプライベートチェーン上でのコイン回収です。
51%攻撃のコスト:
| Network | Estimated 1-Hour Attack Cost (2026) |
|---|---|
| Bitcoin | $10+ billion (practically impossible) |
| Ethereum (PoS) | $30+ billion (acquire 33% of staked ETH) |
| Litecoin | ~$500K-$1M |
| Bitcoin Cash | ~$100K-$300K |
| Ethereum Classic | ~$10K-$50K |
実例:
- Ethereum Classic (2019, 2020): 複数回の51%攻撃を受け、数百万ドル規模の二重支払い被害が発生。
- Bitcoin Gold (2018, 2020): 複数回攻撃され、ある攻撃では$70,000超の二重支払いが発生。
- Verge (2018): マルチアルゴリズムPoW設計により複数回攻撃された。
重要な洞察: 51%攻撃は主に小規模なPoWチェーンへの脅威です。Bitcoinのハッシュレートは非常に巨大で、51%攻撃は経済的に現実的ではありません。Ethereumのような大規模PoSチェーンでも、十分なステーク獲得コスト(およびスラッシングで失う確実性)により、同様に非現実的です。
二重支払い攻撃
二重支払い(同じ資金を2つの異なる取引に使うこと)は、ブロックチェーンが解決するために設計された根本問題です。51%攻撃は二重支払いの一手法ですが、少額では他の手法も存在します。
Race攻撃(ゼロ承認):
- 攻撃者は低手数料の取引を加盟店に送信します。
- 同時に、より高い手数料で自分宛ての競合取引(同じコインを使用)を送信します。
- 加盟店が承認前に支払いを受け入れると、高手数料取引が先に承認されやすく、加盟店への支払いは消えます。
Finney攻撃:
- マイナーは自分宛て送金を含むブロックを事前採掘します。
- その後、マイナーは加盟店に競合取引を送信します。
- 商品・サービスを受け取った後、事前採掘ブロックを公開して加盟店の支払いを無効化します。
防御策: 取引を確定とみなす前に、必ず十分なblock confirmationsを待ってください。高額取引では、Bitcoinで6承認、Ethereumでファイナライズ(約15分)が強力な防御になります。
セルフィッシュマイニング
セルフィッシュマイニングは、相当な(ただし過半数ではない)ハッシュパワーを持つマイナーが見つけたブロックを隠し、正直なマイナーの作業を無駄にするよう戦略的に公開する手法です。
仕組み:
- セルフィッシュマイナーはブロックを見つけても即座にブロードキャストしません。
- 正直なマイナーが古いチェーン先端で無駄に作業している間、セルフィッシュマイナーはプライベートチェーンを伸ばし続けます。
- 戦略的にブロックを公開して正直なマイナーの作業を孤立ブロック化し、報酬を不均衡に獲得します。
影響: 研究では、総ハッシュパワーの25-33%程度でもセルフィッシュマイニングが収益化可能と示されています(正確な閾値はネットワーク接続性に依存)。ただし実運用では、戦略が検知可能でリスクが高く(プライベートチェーンが孤立する可能性)、経済的インセンティブが通常は正直なマイニングを促すため、主要ネットワークで重大問題にはなっていません。
Sybil攻撃
Sybil攻撃は、多数の偽ID(ノード)を作成してネットワーク上で不釣り合いな影響力を得る攻撃です。
仕組み:
- 攻撃者はブロックチェーンネットワーク上に何千もの偽ノードを作成します。
- それらのノードで正直なノードを取り囲み、被害者のネットワーク視界を支配します。
- 攻撃者は取引の検閲、偽情報の注入、P2P通信の妨害を行えます。
防御策: ブロックチェーンのコンセンサスメカニズムはSybil攻撃を防ぐよう設計されています。PoWでは、ハッシュパワーがなければ偽ノードは無意味で、各ノードはコンセンサス参加に作業証明が必要です。PoSでは各バリデータが実資本をステークする必要があります。適切に設計されたブロックチェーンでSybil攻撃を行うコストは、コンセンサス参加に必要な資源(ハッシュパワーまたはステーク)を取得するコストです。
エクリプス攻撃
エクリプス攻撃はネットワーク全体ではなく特定ノードを標的にし、正直なピアから隔離します。
仕組み:
- 攻撃者は標的ノードのピア接続を特定します。
- 攻撃者は攻撃者制御ノードから大量の接続要求を送ります。
- 標的のピア接続は徐々に攻撃者制御ノードに置き換えられます。
- エクリプス状態になると、標的は攻撃者版ブロックチェーンしか見えません。
- 攻撃者は標的に偽取引を与えたり、情報を遅延・検閲したり、エクリプスされたノードへの二重支払い攻撃を容易にできます。
実際の影響: BitcoinとEthereumノードに対するエクリプス攻撃は研究論文で実証されています。少数ピアに接続する軽量クライアントで特に危険です。
防御策: 多様なピア接続を持つフルノード運用、複数データソースによるチェーン状態の検証、信頼できるノードへの静的ピア接続の維持。
ロングレンジ攻撃(PoS特有)
Proof of Stakeでは、ロングレンジ攻撃は古いバリデータ鍵が利用可能になる点(鍵漏えい、ソーシャルエンジニアリング、離脱済みバリデータからの購入)を悪用します。
仕組み:
- 攻撃者は、チェーン履歴の過去時点で有効だったバリデータの秘密鍵を入手します。
- 攻撃者は過去ブロックから始まる代替チェーン履歴を作成します。
- 過去での「再ステーキング」には物理コストがないため(PoWでは再採掘に電力が必要)、攻撃者は低コストで競合チェーンを作れます。
防御策: 現代のPoSシステムは次で軽減します。
- Weak subjectivity checkpoints: ノードは定期的にチェーン状態を記録し、チェックポイント期間より古いフォークを自動拒否。
- Social consensus: 新規ノードは信頼できるコミュニティソースから現在のチェーン状態を取得。
- Key deletion: バリデータは離脱後に古い署名鍵を削除することが推奨される。
ネットワークレベルの攻撃
BGPハイジャック
Border Gateway Protocol(BGP)はネットワーク間のインターネット通信経路を制御します。BGPハイジャックは通信を攻撃者制御ネットワークへ迂回させます。
ブロックチェーンへの影響: ノード間通信をハイジャックできる攻撃者は、ブロック伝播の遅延、ネットワーク分断、ノード間通信の傍受・改ざんが可能です。
実例: ETH Zurich(2017)の研究では、わずかなインターネットサービスプロバイダのハイジャックでBitcoinネットワーク分断が可能と示されました。2018年には、Amazon Route 53 DNS宛て通信を不審なBGPイベントが迂回し、Ethereumで約$150,000の盗難が発生しました。
Time-Jacking
ノードの時間認識を操作することで、攻撃者は誤ったタイムスタンプのブロックを受理させ、正直なネットワークから隔離できる可能性があります。
防御策: ほとんどのブロックチェーンクライアントは厳格なタイムスタンプ検証ルールを実装しており、ピア報告タイムスタンプのみに依存しません。
サービス拒否(DoS)
ノードやネットワークに大量リクエストを送って処理能力を圧迫する攻撃です。ブロックチェーンネットワーク自体はDoS耐性があります(取引手数料によりスパムが高コスト)が、個別ノードやサービス(取引所、ブロックエクスプローラ、RPCプロバイダ)は標的になります。
Solanaでは、ボット活動による取引洪水が一因となるネットワーク停止が複数回発生しており、高スループットチェーンはBitcoinのような手数料制約チェーンには存在しないスパム攻撃に脆弱になり得ることを示しています。
スマートコントラクト攻撃
スマートコントラクトの脆弱性は、暗号資産エコシステムにおける金銭的損失の最大要因です。詳しくはSmart Contracts Guideを参照してください。
リエントランシー攻撃
仕組み: 悪意あるコントラクトが、被害コントラクトの状態更新前に実行中へ再入します。
代表例: The DAO hack(2016) - Ethereum最大の分散型ファンドから$60Mが流出。
フラッシュローン攻撃
フラッシュローンは、単一トランザクション内で借入・返済を完結させる無担保ローンです。攻撃者はこれを使い、一時的に巨額資本を動かしてDeFiプロトコルを操作します。
一般的なパターン:
- フラッシュローンで数百万ドル規模の暗号資産を借りる(担保不要)。
- 借りた資金で価格オラクルや流動性プールを操作する。
- 操作された価格を悪用して脆弱なプロトコルから価値を抽出する。
- フラッシュローンを返済する。
- 利益を保持する。
被害規模: フラッシュローン攻撃はDeFi全体で数億ドル規模の損失を発生させています。代表例はEuler Finance($197M, 2023)、Cream Finance($130M, 2021)、Pancake Bunny($45M, 2021)です。
オラクル操作
外部データフィード(オラクル)に依存するスマートコントラクトは、オラクルが操作可能な場合に脆弱です。攻撃者は薄商いトークンや低流動性プールを悪用して人為的な価格変動を作り、レンディング、合成資産、デリバティブ市場で有利条件を引き起こします。
ガバナンス攻撃
一部DeFiプロトコルではトークン保有者がプロトコル変更に投票できます。攻撃者が十分なガバナンストークン(フラッシュローン経由の可能性あり)を集めると、トレジャリー流出や有利なパラメータ変更を行う悪意ある提案を可決できます。
例: Beanstalk Farms(2022) - 攻撃者はフラッシュローンで十分なガバナンストークンを取得し、プロトコルトレジャリーから$182Mを移転する提案を通しました。
インフラ攻撃
ブリッジ悪用
クロスチェーンブリッジ(ブロックチェーン間で資産移転を可能にするスマートコントラクト)は、暗号資産盗難の最大要因です。
ブリッジが脆弱な理由:
- ロックされた膨大な資産(ラップドトークンの「裏付け」)を保有している。
- 監査が難しい複雑なマルチチェーンロジックを伴う。
- 多くのブリッジがマルチシグウォレットを使い、閾値分の鍵が侵害されると全面アクセスを許す。
主要ブリッジ悪用:
| Bridge | Year | Amount | Attack Vector |
|---|---|---|---|
| Ronin (Axie Infinity) | 2022 | $625M | Compromised validator keys |
| Wormhole | 2022 | $320M | Signature verification bypass |
| Nomad | 2022 | $190M | Message verification flaw |
| Harmony Horizon | 2022 | $100M | Compromised multi-sig keys |
防御策: ブリッジコントラクトに保持する資金を最小化してください。可能なら第三者ブリッジではなく、ネイティブなブリッジ機構(L1セキュリティを継承するロールアップブリッジなど)を使ってください。他チェーン上のラップド資産にはブリッジリスクがあることを認識しましょう。
取引所ハック
中央集権型取引所はホットウォレットに膨大な暗号資産を保管するため、主要標的になります。主な取引所ハックは次の通りです。
| Exchange | Year | Amount |
|---|---|---|
| Mt. Gox | 2014 | 850,000 BTC (~$450M at the time) |
| Coincheck | 2018 | $530M (NEM) |
| FTX | 2022 | $477M (post-bankruptcy drain) |
| DMM Bitcoin | 2024 | $305M |
防御策: 取引所に多額資産を置かないでください。長期保管には自己管理ウォレットを使い、seed phraseを適切なcold storage methodsで保護してください。
MEVとフロントランニング
MEVとは?
Maximal Extractable Value (MEV) は、ブロック生産者がブロック内トランザクションの並べ替え、採用、除外を戦略的に行うことで抽出できる利益を指します。従来の意味での「攻撃」ではありませんが、MEV抽出はしばしば一般ユーザーの不利益で成り立ちます。
MEVの種類
フロントランニング: 攻撃者はメモリプール内の保留取引を見て、先に実行するため高手数料の競合取引を送信します。
サンドイッチ攻撃: DEX取引を狙う最も一般的なMEV悪用です。
- ユーザーがDEXで大口トークンスワップを送信(例: Token Xを100 ETH分購入)。
- MEVボットが保留取引を検知し、ユーザー取引の直前にToken Xの買い注文を出す。
- ユーザーの大口購入で価格が上がる。
- MEVボットは直後にToken Xを売却し、値上がり分を獲得する。
- ユーザーは価格つり上げにより想定より少ないトークンしか受け取れない。
バックランニング: 攻撃者は標的取引の直後に取引を送信し、価格影響で生じた裁定機会を獲得します。
MEVの規模
EthereumでのMEV抽出額は年間で数億ドル規模です。MEVの一部(裁定、清算)は市場効率に有益と見なされる一方、他(サンドイッチ攻撃、フロントランニング)はユーザーに直接的な損害を与えます。
MEVへの防御
- プライベート取引送信: Flashbots Protect、MEV Blocker、一部ウォレット(Cowswap、1inch Fusion)では、公開メモリプールを回避してブロックビルダーへ直接送信します。
- 指値注文: 成行スワップではなく指値注文を使うとサンドイッチ攻撃を防げます。
- スリッページ設定: 厳しいスリッページ許容値で受け入れる最大価格影響を制限します。
- バッチオークション: CoW Protocolのようなプロトコルは複数取引をまとめて最適執行価格を見つけ、フロントランニングを排除します。
暗号学的脅威
量子コンピューティング
量子コンピュータは理論上、BitcoinとEthereumの署名生成に使われる楕円曲線暗号(ECDSA)を破れる可能性があります。十分に強力な量子コンピュータは公開鍵から秘密鍵を導出できる可能性があります。
現状(2026): 量子コンピュータはまだブロックチェーン暗号を脅かす規模に達していません。現行機は数百〜数千キュービット規模で、ECDSA破りには数百万の誤り訂正済みキュービットが必要です。多くの専門家は15-30年以上先と見積もっています。
緩和策: 耐量子暗号アルゴリズムの開発と標準化が進んでおり(NISTは2024年に耐量子標準を完了)、BitcoinとEthereumは量子計算が実用的脅威になる前にソフトフォークで署名方式を更新できます。公開鍵が未公開のBitcoinアドレス(未使用の受取アドレス)は、チェーン上に公開鍵ハッシュしかないため量子攻撃に強いです。
ハッシュ関数の脆弱性
SHA-256(Bitcoin)またはKeccak-256(Ethereum)に衝突や原像攻撃を可能にする根本的弱点が見つかれば、ブロックチェーンの完全性は脅かされます。しかし数十年の暗号解析でそのような弱点は見つかっておらず、完全破綻前にコミュニティは新しいハッシュ関数へ移行すると考えられます。
身を守る方法
個人ユーザー向け
- seed phraseを安全に管理: secure generation methodを使い、cold storageで複数の安全な場所にバックアップを保管。
- 承認を待つ: 十分な承認が得られるまで取引を確定扱いしない(Bitcoinは6+、Ethereumはファイナライズ)。
- 実績あるプロトコルを使う: 未監査の新規コントラクトより、監査済みで実績あるスマートコントラクトを利用。
- 取引所保有を最小化: 長期保管資産は自己管理ウォレットへ移す。
- MEV保護を有効化: 取引をプライベートチャネル経由で送るウォレットやDEX UIを利用。
- アドレス検証: 受取アドレスは常に再確認。似たアドレスから少額送金して将来コピーミスを狙うアドレスポイズニング攻撃は増加中です。
開発者向け
- セキュリティ監査: デプロイ前に複数の独立監査会社でスマートコントラクトを監査。
- バグ報奨金: 責任ある脆弱性開示に金銭的インセンティブを提供。
- 形式検証: 重要なコントラクトロジックを数学的証明で検証。
- 実績あるライブラリ: 標準機能にはOpenZeppelinなど監査済みライブラリを利用。
- アップグレード機構: ユーザーに対応時間を与えるタイムロック付きアップグレードパターンを実装。
- オラクル多様化: 複数オラクルソースを使い、極端な価格変動に対するサーキットブレーカーを実装。
個人が暗号資産を失う最も一般的な原因は、高度なブロックチェーン攻撃ではなく鍵管理の不備です。seed phraseの漏えい、フィッシング、バックアップ喪失による被害は、すべてのプロトコルレベル攻撃を合計したより多く発生しています。SafeSeed Seed Phrase Generatorを使って暗号学的に安全なseed phraseを作成し、security guideに従って安全に保管してください。鍵を持つ者がコインを持つ。ただし鍵が安全である場合に限ります。
FAQ
Bitcoinはこれまでにハッキングされたことがありますか?
Bitcoinプロトコル自体が攻撃に成功したことはありません。Bitcoinは2009年1月3日以降、メインネットワークで二重支払いやチェーン破損が1件もなく継続稼働しています。ただしBitcoin上に構築されたアプリケーション、たとえば取引所(Mt. Gox)、ウォレット、ブリッジは何度もハッキングされています。この区別は重要です。Bitcoinのブロックチェーンは安全でも、相互作用するサービスやソフトウェアは安全とは限りません。
51%攻撃でBitcoinを破壊できますか?
51%攻撃は二重支払いや取引検閲により一時的な混乱を起こせますが、Bitcoinを破壊することはできません。攻撃者はウォレットからコインを盗めず(取引署名には秘密鍵が必要)、プロトコル規則外で新規コインを作れず、プロトコルコードも変更できません。コミュニティはマイニングアルゴリズム変更(攻撃者ハードウェアを無効化する最終手段)で対抗することも可能です。Bitcoinへの51%攻撃の極端なコスト(ハードウェア約$10B超+継続電力費)は、暗号資産空間で最も起こりにくい攻撃シナリオの1つです。
最も一般的なブロックチェーン攻撃は何ですか?
スマートコントラクト悪用とブリッジハックが、ブロックチェーンエコシステムで最も一般的かつ金銭被害の大きい攻撃ベクトルです。2022年だけでブリッジ悪用による損失は$3B超でした。個人ユーザーでは、フィッシング、seed phrase盗難、アドレスポイズニングが最も一般的です。プロトコルレベル攻撃(51%攻撃、二重支払い)は稀で、主に小規模で防御の弱いチェーンに影響します。
Proof of Stakeブロックチェーンは攻撃に対してより脆弱ですか、それともより強固ですか?
PoSチェーンはPoWチェーンと異なる攻撃ベクトルに直面します。従来の意味での51%攻撃(蓄積すべきハッシュパワー)がない一方、攻撃者が十分なステークを取得すれば同等の脅威は存在します。PoSにはスラッシングなど、攻撃者に直接コストを課す追加防御があります。ただしロングレンジ攻撃やステーク集中といった固有リスクも導入します。どちらのコンセンサスも一概に優劣はなく、脅威モデルが異なります。
DeFiプロトコルが安全かどうかはどう判断すればよいですか?
完全にリスクゼロのDeFiプロトコルはありませんが、次の指標は比較的高い安全性を示します。信頼できる複数社による独立監査、十分なバグ報奨金、タイムロックまたはガバナンス制限付きアップグレード、長期間インシデントなしでの高いTVL、オープンソースで文書化されたコード、多様で活発な開発チーム。これらが揃ってもスマートコントラクトリスクはゼロになりません。失っても許容できる範囲のみ預けてください。
ブロックチェーンが攻撃されたら自分の資金はどうなりますか?
攻撃タイプ次第です。51%攻撃では攻撃期間中の取引のみがリスク対象で、既存ウォレット残高は影響を受けません。スマートコントラクト悪用では侵害コントラクトに預けた資金のみがリスク対象で、個人ウォレット内資金は安全です。取引所ハックでは取引所保管分のみがリスク対象です。だからこそ、自己管理と適切な鍵管理が多くの攻撃への最も有効な防御になります。
量子コンピューティングを心配すべきですか?
近い将来は不要です。ブロックチェーン暗号を破れる実用的量子コンピュータは15-30年以上先と見積もられています。ブロックチェーンコミュニティには耐量子暗号標準を採用する十分な時間があります。取引を一度もブロードキャストしていないBitcoinアドレス(受取専用)は公開鍵が露出していないためさらに耐性があります。量子計算の進展を把握するのは有益ですが、現在の暗号資産保有者にとって最優先のセキュリティ懸念ではありません。