金融庁、暗号資産取引所「サイバー対策指針」公表｜コールドウォレット限界に言及

この記事の要点

金融庁が2026年4月3日、暗号資産の新たなサイバー対策方針を公表
コールドウォレットだけでは安全確保できないと当局が初めて明記
全取引所にセキュリティ自己評価（CSSA）の実施を義務化へ
脅威ベースの実践テスト（TLPT）を2026年中に複数事業者で実施予定

「コールドウォレットだけでは不十分」金融庁が対策指針
攻撃手法の巧妙化と「自助・共助・公助」の3本柱
1. 署名鍵盗難から間接攻撃へ、手口の変化
2. 国家関与・利用者保護・国富流出、3つの観点で対応
官民一体の対応体制が始動、ガイドライン改定が次の節目

「コールドウォレットだけでは不十分」金融庁が対策指針

金融庁は2026年4月3日、暗号資産（仮想通貨）交換業等における「サイバーセキュリティ強化に向けた取組方針」を策定・公表しました。

コールドウォレットによる管理だけでは利用者資産を守れない時代に入ったとして、暗号資産交換業者のセキュリティ水準を当局の監督のもとで引き上げていく方向性を打ち出しています。

背景には、暗号資産交換業者を標的としたサイバー攻撃が世界的に多発している現状があり、個別事業者だけでは対応しきれない脅威に対し、官民一体で取り組むための指針として位置づけられています。

方針の策定にあたっては2026年2月10日から3月11日にかけてパブリックコメントを実施し、18件の意見を踏まえて内容が修正されました。

同方針は「個別事業者の自助の取組」「業界全体の共助の枠組み」「当局による公助」の3本柱で構成されており、国内の暗号資産交換業者はもとより、自主規制機関や情報共有機関も対象に含まれています。

金融庁は2026事務年度以降、暗号資産交換業者全社を対象に「サイバーセキュリティセルフアセスメント（CSSA）」の実施を求めるほか、脅威ベースのペネトレーションテスト（TLPT）を2026年中に複数事業者へ実施する予定です。

PIP第3弾：実証実験を支援

金融庁「トークン化預金・ステーブルコイン決済」実証実験を支援｜PIP第3弾

攻撃手法の巧妙化と「自助・共助・公助」の3本柱

署名鍵盗難から間接攻撃へ、手口の変化

金融庁は方針の冒頭で、近年の暗号資産流出事案の特徴を整理しました。

従来は署名鍵（秘密鍵）の盗難が主因とされてきましたが、現在はソーシャルエンジニアリング（なりすましや偽装メールによる認証情報の不正取得）や外部委託先のネットワーク侵害など、間接的な攻撃手法が主流になっていると説明しています。

2025年9月には、広く利用されるJavaScriptライブラリへの悪意あるコード混入事案も発生しており、OSS開発者を侵害して依存ライブラリを汚染するサプライチェーン攻撃にも警戒が必要だと指摘しています。

国家関与・利用者保護・国富流出、3つの観点で対応

画像：金融庁資料

さらに、外貨獲得を目的とする国家関与が疑われるサイバー攻撃の発生も確認されており、暗号資産の保護は利用者財産の保全にとどまらず、国富流出防止の観点からも対応が求められる問題として位置づけています。

こうした脅威に対し、金融庁は自助・共助・公助の3本柱で対応策を整理しています。

柱	主な取組
自助	全社CSSA実施・事務ガイドライン水準引上げ
共助	JPCrypto-ISAC参加促進・JVCEA等体制強化
公助	TLPT実証事業・Delta Wall演習・国際共同研究

自助：全社CSSAと事務ガイドラインの水準引上げ

自助の取組では、2026事務年度以降に暗号資産交換業者全社へのCSSAの実施が求められます。

同アセスメントは「金融分野におけるサイバーセキュリティに関するガイドライン」と整合した設問による自己評価を軸に、業界内での自組織の位置づけを可視化し、自律的な改善を促す取組として位置づけられています。

事務ガイドラインの水準引上げについては、サイバーセキュリティ責任者の権限基準を含む人的構成要件、外部監査の在り方、外部委託先に求めるセキュリティ要件の3点を中心に検討が進められます。

共助：JPCrypto-ISACと自主規制機関の体制強化

共助の枠組みでは、情報共有機関「JPCrypto-ISAC」への積極的な参加を促すとともに、金融庁が実効的な情報共有機関の在り方について意見交換を続けていくとしています。

自主規制機関（JVCEA等）に対しては、専門人材の確保・育成を通じたセキュリティ委員会機能の強化と、各事業者への定期的なオンサイト・オフサイトのモニタリング体制の整備を求めていく方針です。

公助：TLPTの実証事業とDelta Wall演習の継続

公助の取組として、金融庁は2026年中に暗号資産交換業者のうち数組織に対して実運用環境へのTLPTを実施し、その有用性を検証する予定です。

TLPTは攻撃者が採用する戦術・手法を再現して疑似的な攻撃を仕掛け、侵入・改ざんの可否や検知能力、対応の迅速性を確認する実践的なテストで、レッドチームテストとも呼ばれます。技術面だけでなく人・プロセスを含む組織全体の弱点を把握することを目的としています。

こうした実践的な検証と並行して、金融業界横断的なサイバーセキュリティ演習「Delta Wall」についても、2025年度に暗号資産交換業者向けの専用シナリオと評価基準を新たに設定しており、3年以内に全社の参加を目指すとしています。

さらに、2025年度に実施したブロックチェーン「国際共同研究」プロジェクトでは、国内外の代表的なサイバー攻撃事例の分析調査を進めており、その結果を暗号資産交換業者や情報共有機関へ還元することで、自助・共助の取組強化にもつなげていく方針です。

無登録販売業者へ「罰則3倍超」

金融庁、仮想通貨の無登録販売業者へ「罰則3倍超」｜犯則調査の導入も視野に

官民一体の対応体制が始動、ガイドライン改定が次の節目

金融庁は取組方針の中で「単にコールドウォレットを用いれば安全に管理できていると言える状況ではなくなっている」と明記しました。

攻撃手法の高度化を受け、外部委託先を含むサプライチェーン全体を対象にしたセキュリティ管理態勢の強化が不可欠だとしています。

その上で金融庁は、CSSA・TLPT・Delta Wall演習を通じて各事業者が自社の弱点を把握し、改善につなげられる体制を整えるとしており、なかでもTLPT実証の対象事業者の選定と結果の業界還元がどのような形で行われるかが当面の焦点となります。

事務ガイドラインの水準引上げに向けた具体的な要件の公表時期とあわせ、今後の動向が注目されます。

>>最新の仮想通貨ニュースはこちら

金融庁関連の注目記事はこちら

金融庁がKuCoinなど4社に警告、無登録でOTCデリバティブ取引に勧誘

金融庁「サナエトークン」無登録疑惑で調査検討へ｜高市総理は関与を全面否定

金融庁、申告分離課税・暗号資産ETF解禁などを明記｜改正大綱主要項目を公表

Source：金融庁発表資料① / 金融庁発表資料②
サムネイル：Shutterstockのライセンス許諾により使用