
香港証券先物取引委員会がサイバーセキュリティ報告を発表、Web3 許可業者は必見
TechFlow厳選深潮セレクト

香港証券先物取引委員会がサイバーセキュリティ報告を発表、Web3 許可業者は必見
Web3のライセンスを持つ企業は、どのようにサイバーセキュリティ問題に対処すべきか?
執筆:Iris
サイバーセキュリティは、Web3業界において「骨身にしみる課題」です。
スローフォグ・セキュリティチームのデータによると、2025年1月だけでも、セキュリティ事故やフィッシング事件により約1億米ドルの損失が発生しており、これは業界全体の損失のごく一部にすぎません。毎年、サイバーセキュリティ問題によってプロジェクトや個人ユーザーが被る損失は、多いときで数十億ドル、少ないときでも十数億ドルに上ります。
このため、Web3プロジェクトにおけるサイバーセキュリティは常に最重要事項です。

2025年2月6日、香港証券先物取引委員会(SFC)は『2023/24年度ライセンス保有法人のネットワークセキュリティに関するテーマ別監査報告』を発表しました。同報告では、ライセンス保有企業にとって、サイバーセキュリティが単なる情報技術部門の責任ではなく、経営陣が強固なサイバーセキュリティ対策の監督および実施において重要な役割を果たす必要があると明言しています。これにより組織が変化し続ける脅威から守られるのです。
それでは、Web3ライセンス保有企業はどのようにサイバーセキュリティ問題に対処すべきでしょうか?
本稿では、マンキン法律事務所が香港証券先物取引委員会のこの報告書を解説し、ポイントを整理するとともに、いくつかの参考戦略を提供します。
経営陣が第一責任者
従来、プロジェクト/製品のセキュリティ問題は、企業のITチームに帰属されることが多く、彼らが主な責任者であると考えられてきました。
しかし、香港証券先物取引委員会(SFC)の規制枠組み下では、ライセンス保有企業の経営陣は企業戦略の意思決定の中核であるだけでなく、サイバーセキュリティコンプライアンスの第一責任者でもあり、サイバーセキュリティの失敗によって生じる可能性のある法的責任に対して最終的な責任を負います。SFCは明確に、以下のすべての人物が経営陣に該当し、サイバーセキュリティ監督の職責を負うと指摘しています:
-
責任役員(Responsible Officers, RO)
-
執行役員および非執行役員(Executive & Non-Executive Directors)
-
主要機能部門責任者(Managers-in-Charge, MIC)
香港SFCは、サイバーセキュリティはIT部門の責任にとどまらず、企業ガバナンスの重要な構成要素であると強調しています。したがって、経営陣は企業が堅牢なサイバーセキュリティ管理体制を構築・維持することを保証し、戦略的レベルでセキュリティ対策の実行を監督しなければなりません。この責任は、経営陣がサイバーセキュリティリスクを認識するだけでなく、これらのリスクを軽減する適切な措置を講じ、SFCの規制要件を満たすことを確保することが求められます。
さらに、サイバーセキュリティのコンプライアンス要件は技術的管理に限らず、企業文化の形成にも関わります。経営陣はセキュリティ意識トレーニングの推進、セキュリティ責任制度の構築を通じて、「サイバーセキュリティ最優先」の企業文化を醸成すべきです。経営陣が真にサイバーセキュリティを企業リスク管理の重要な部分と捉えることで、Web3ライセンス保有企業は複雑かつ変化し続けるサイバー脅威環境の中で安全かつ安定した運営を維持できるのです。
最も見過ごされやすい内部セキュリティの脆弱性
Web3業界におけるセキュリティインシデントは後を絶ちません。しかし、その多くはハッカーの高度な手口によるものではなく、ライセンス保有企業自身の安全管理上の欠陥に起因しています。
香港証券先物取引委員会(SFC)の報告書によれば、多くのライセンス保有企業は依然として2つの重大なセキュリティの穴を抱えており、これらがハッカー攻撃の突破口となり、顧客データや取引の安全性に直接的な脅威を与え、コンプライアンスリスクを引き起こす可能性があります。
期限切れソフトウェアの使用
Web3ライセンス保有企業が期限切れのソフトウェアを継続的に使用することは、香港証券先物取引委員会の報告書で重点的に取り上げられた大きなサイバーセキュリティの脆弱性です。
こうしたソフトウェアはサプライヤーからのセキュリティアップデート、パッチ、技術サポートを受けられず、新たに発見された脆弱性も修正されないため、サイバー犯罪者はこれらの弱点を悪用してマルウェア攻撃を行い、データ漏洩やシステム侵入を引き起こすことができます。
このリスクを低減するためには、Web3企業は体系的なソフトウェアライフサイクル管理プロセスを導入し、経営陣がソフトウェア資産のリスク評価を直接担当する必要があります。適用可能な場合、企業は以下のような措置を業務運営に導入することを検討できます:
-
ソフトウェア更新メカニズムを構築する。社内のすべてのソフトウェアおよびオペレーティングシステムの更新リストを維持し、期限切れが近いソフトウェアを事前に特定し、定期的な評価プロセスを設定する。
-
アップグレード計画を事前に立案する。サプライヤーが正式にサポートを終了する前に、アップグレードまたは交換を積極的に計画し、業務の継続性を確保し、一時的な中断を回避する。
-
一時的な緩和措置を実施する。一時的にアップグレードできないシステムについては、アクセス権限の制限、ネットワーク分離などのセキュリティ対策を講じる。
-
定期的に脆弱性評価を行う。ライセンス保有企業は継続的なセキュリティ監視メカニズムを構築し、ソフトウェアリスクが迅速に特定・対処されることを保証する。
また、Web3企業の上級経営陣は、ITチームがソフトウェアライフサイクルを効果的に管理できる十分なリソースを確保する必要があります。これにより、重要システムのアップグレードが行われず、顧客データや金融資産が不必要なリスクにさらされることを防ぎます。
暗号アルゴリズムの脆弱性
暗号アルゴリズムは、顧客データの保護、取引の安全性の確保、規制遵守のための核心的な防御線です。しかし、香港証券先物取引委員会(SFC)の報告書では、一部のライセンス保有企業が時代遅れまたは弱い暗号アルゴリズムに依存しており、機微な財務情報や個人データが極めて高いサイバーセキュリティリスク、例えばデータ漏洩や不正アクセスの危険にさらされていると指摘されています。
SFCが挙げている主な暗号の脆弱性は以下の通りです:
-
MD5、SHA-1、または旧式のRSA実装など、時代遅れのアルゴリズムを使用している。これらは現代の暗号攻撃に対して脆弱である。
-
鍵長が不十分。たとえば、RSA鍵が2048ビット未満、AES鍵が128ビット未満の場合、ブルートフォース攻撃が現実的になる。
-
鍵管理が不適切。複数の環境で同じ鍵を再利用したり、鍵の定期的なローテーションを行わなかったり、安全でない場所に暗号鍵を保存したりしている。
これらのリスクを低減するため、Web3ライセンス保有企業は業界標準に準拠した暗号プロトコルを導入し、データ保護能力を強化するとともに、SFCの規制要件を満たすことができます。具体的には:
-
強力な暗号アルゴリズムを採用する。高強度暗号標準AES-256などを採用し、静止時および伝送中のデータを高いレベルで保護する。
-
より安全な鍵体系への移行。RSAの代替として楕円曲線暗号(ECC)を利用することで、より高いセキュリティを提供しつつ、鍵長の要求を下げ、計算効率を向上させる。
-
エンドツーエンド暗号化(E2EE)。データが伝送中も常に暗号化状態を保ち、中間者攻撃や不正アクセスを防止する。
-
鍵管理メカニズムの強化。複数の環境で同一の鍵を使用しないこと、鍵の定期的な交換、鍵の保管を最高水準のセキュリティ基準(ハードウェアセキュリティモジュールHSMなど)に適合させること。
-
定期的な暗号監査。少なくとも年に1回、暗号関連のコンプライアンス審査を実施し、すべての暗号対策が最新の業界基準および規制要件に合致していることを確認する。
コンプライアンスの観点から見ると、弱い暗号化は技術管理の疎漏にとどまらず、深刻な規制リスクを引き起こす可能性もあります。香港では、「個人データ(プライバシー)条例」などの法令が金融機関のデータ保護責任に対して厳しい要求を課しており、世界的なデータセキュリティ基準(ISO 27001、NISTなど)も暗号技術のコンプライアンス基準を不断に引き上げています。
したがって、Web3ライセンス保有企業が十分な強度の暗号化対策を実施していない場合、データ漏洩や不正アクセスが発生すれば、法的責任、顧客信頼の喪失、さらには規制当局の制裁に直面する可能性があります。同時に、企業の上級経営陣は、暗号セキュリティを企業の核心的なコンプライアンス業務の一部と捉え、暗号戦略が業界のセキュリティ基準や新たなサイバー脅威に応じて継続的に最適化され、効果的に実行されることを保証し、顧客データの安全と企業の長期的なコンプライアンス運営を守らなければなりません。
外部サイバーセキュリティ脅威と対策
自らの脆弱性に加え、Web3における外部のセキュリティ脅威も頻繁に発生しており、最も一般的なのはフィッシングサイトとエアドロップ詐欺です。
そのため、香港証券先物取引委員会(SFC)の報告書では、ライセンス保有企業がより能動的なセキュリティ戦略を採用し、エスカレートするサイバー攻撃の脅威に対処する必要があると強調しています。特にWeb3ビジネス環境では、資金、契約、デジタル資産の高度なデジタル化により、従来の金融機関が直面するサイバーセキュリティの課題がWeb3企業においてさらに拡大されています。
以下は、証券会が注目するいくつかの高リスク領域と、それに対する防御戦略です:
フィッシング攻撃
これはWeb3業界で最も一般的かつ成功率が高い詐欺手法の一つです。
Web3企業にとって、フィッシングは単なる簡単な詐欺行為ではなく、ハッカーがより大規模な攻撃を仕掛ける入り口となる可能性があります。特にWeb3分野では、フィッシングは資金の盗難、スマートコントラクトの脆弱性の悪用、悪意ある承認、さらには秘密鍵の漏洩の前触れとなることが多いです。ハッカーは偽の取引サイトを作成したり、詐欺的なdAppリンクを送信したり、公式チームを装ったりすることで、ユーザーが気づかないうちに機密情報を漏らさせ、結果として重大な資金損失とセキュリティ危機を引き起こします。
これらの脅威を緩和するため、Web3企業は基本的な意識啓発を超えて、多層的な防御戦略を採用することを推奨します。具体的には:
高度な電子メールセキュリティゲートウェイ(SEG)
従来のメールフィルタでは、ますます複雑化するフィッシング攻撃に対応できません。SFCは、ライセンス保有企業が高度な電子メールセキュリティゲートウェイ(SEG)を導入し、フィッシングメール攻撃を検知・遮断することを指摘しています。たとえば、AI駆動型のメールセキュリティソリューションを導入し、偽造ドメイン、疑わしい添付ファイル、悪意あるリンクを検出することを推奨します。これらのツールはリアルタイムの脅威インテリジェンスと統合され、新興のフィッシング活動を阻止すべきです。
強力な本人認証メカニズムの実施
フィッシング攻撃は主にログイン資格情報が標的となるため、Web3企業はすべてのキーシステムにおいて多要素認証(MFA)を強制すべきです。特に取引プラットフォーム、秘密鍵管理、ホットウォレットアクセス、コンプライアンスシステムに関わる環境では必須です。また、ユーザーのアカウント権限を最小限に抑え、最小権限の原則(PoLP)を採用し、フィッシング攻撃が及ぼす影響を制限すべきです。
定期的な従業員トレーニングと模擬フィッシングテスト
従業員は第一の防衛ラインですが、単なるセキュリティトレーニングだけでは、従業員の習慣的な行動を変えることは難しいのが現実です。そのため、Web3企業は以下の2段階を推奨します。(1)金融サービスおよびデジタル資産に特有のリスクに焦点を当てた継続的なサイバーセキュリティ意識トレーニングを実施し、従業員が複雑なフィッシング試行を識別・報告できるようにする。(2)定期的に模擬フィッシング演習を実施し、その結果を分析・評価して従業員のセキュリティ意識と反応を把握し、インシデント対応プロトコルを改善する。
迅速な対応と緊急対応体制の構築
Web3企業は、フィッシング試行を報告する標準化された手続きを確立し、迅速に調査・脅威緩和措置を講じ、事態の悪化を防ぐ必要があります。たとえば、フィッシング事件が発生した場合、企業は速やかに影響を受けたアカウントまたはシステムを分離し、緊急対応プロセスを直ちに開始するべきです。これには、悪意あるコントラクト承認の取り消し、影響を受けた資金の凍結、関係する規制当局および顧客への通知などが含まれます。また、成功したフィッシング侵害は、フォレンジック調査および内部セキュリティポリシーの見直しを必ずトリガーすべきです。
取引および署名のセキュリティ通知
Web3のシナリオでは、悪意あるウェブサイトやdApp(分散型アプリケーション)がユーザーを誘導して悪意あるスマートコントラクトに署名させる可能性があります。このため、企業は安全な取引確認メカニズムを導入すべきです。たとえば、ウォレットの取引画面で詳細なスマートコントラクト権限の説明を提供し、ユーザーが承認前にシミュレーションツールを使って取引内容を検証することを促すことです。
仮想資産取引、トークン化資産、DeFiタイプのWeb3企業にとって、フィッシングのリスクは従来のメール詐欺をはるかに超えています。ハッカーは悪意あるメールやフィッシングサイトを送信するだけでなく、より巧妙な社会工学的手法を用いて、公式通信の偽装、ユーザーによる悪意あるスマートコントラクトの承認誘導、さらにはウォレット署名リクエストの偽装などを行い、通常のセキュリティ対策を迂回して、ユーザーの仮想資産の支配権を直接得ようとしています。
このため、Web3企業のフィッシング対策は基礎的なセキュリティ意識トレーニングに留まるべきではなく、ウォレットの安全管理、スマートコントラクトとのやり取りの審査、厳格な取引検証メカニズムを含めるべきであり、潜在的なリスクを最大限に低減する必要があります。
リモートアクセスのセキュリティ
リモートワークはWeb3企業において日常的な働き方となっていますが、同時にサイバー攻撃の攻撃面も増加しています。リモートアクセスの管理が不適切であれば、ハッカーは弱い認証情報、暗号化されていない接続、あるいは侵害されたデバイスを通じてコアシステムにアクセスでき、重大なセキュリティリスクを引き起こします。
リモートアクセスの安全性を確保するため、Web3企業は以下の対策を講じることを推奨します:
-
多要素認証(MFA)を強制する。特に管理パネル、秘密鍵保管システム、金融取引バックエンドへのアクセス時。
-
ゼロトラストアーキテクチャ(ZTA)を導入し、IPホワイトリストやVPNに頼るだけでなく、すべてのアクセス要求を厳格に検証する。
-
リモートアクセスログを監視し、異常なアクセスパターン(不自然な時間帯、地理的位置、デバイスでのログインなど)を特定する。
-
すべてのリモート接続を暗号化し、エンドツーエンド暗号化(E2EE)およびエンタープライズレベルのVPNを使用して、中間者攻撃を防止する。
第三者ITサービスプロバイダーの潜在的セキュリティリスク
第三者ITサービスプロバイダーの利用は、追加のサイバーセキュリティ上の検討事項をもたらします。企業は、サプライヤーのセキュリティ態勢を評価するために徹底的なデュー・ディリジェンスを行う必要があります。これには、サプライヤーのセキュリティポリシーの確認、インシデント対応手順の理解、関連する規制要件への遵守の確保が含まれます。データ保護に関する明確な契約上の義務を設け、定期的なセキュリティ評価を行うことで、第三者プロバイダーに伴うリスクをさらに軽減できます。
多くのWeb3企業は、クラウドストレージ、認証、スマートコントラクト監査、決済処理などのサービスを第三者プロバイダーに依存しています。しかし、サプライヤー自身にセキュリティの脆弱性があれば、それがハッカー攻撃の突破口となる可能性があります。
サプライチェーン攻撃のリスクを低減するため、Web3ライセンス保有企業は以下を行うことができます:
-
セキュリティデュー・ディリジェンスを実施する。サプライヤーのサイバーセキュリティレベル、データ処理ポリシー、インシデント対応手順、コンプライアンス認証(ISO 27001やSOC 2など)を評価する。
-
契約上の義務を明確にする。サプライヤーがデータ保護、インシデント対応、セキュリティ監査の面で責任を負うことを保証する。
-
定期的にサプライヤーのセキュリティ評価を行う。最新のセキュリティレポートの提出を求めたり、ペネトレーションテストを実施したりして、インフラに重大な脆弱性がないことを確認する。
クラウドセキュリティの脅威
クラウドコンピューティングはWeb3企業のコアインフラとなりましたが、誤った設定のクラウドストレージ、暗号化されていないデータ、過度に開放されたアクセス権限は、ハッカーが容易に機密情報を盗むチャンスを与えてしまいます。
クラウドの安全性を確保するため、Web3企業は以下を推奨します:
-
厳格なアクセス制御を実施する。ロールベースのアクセス制御(RBAC)を活用し、機密データへのアクセス権限を制限する。
-
静止時および伝送中のデータを暗号化する。クラウドに保存されるすべての顧客データをAES-256で暗号化し、データ漏洩を防止する。
-
定期的にクラウドセキュリティ監査を実施し、設定ミスや潜在的リスクを特定し、S3 Bucketの公開アクセスなど一般的な問題を回避する。
同時に、Web3企業はクラウドセキュリティの共有責任モデルを理解し、どのセキュリティ面がクラウドプロバイダーによって管理され、どの部分が企業自身の責任であるかを明確にする必要があります。
マンキン法律事務所のまとめ
SFCの報告書は改めて、サイバーセキュリティが技術的問題にとどまらず、ライセンス保有企業のコンプライアンス運営の核心的環節であることを強調しています。経営陣の直接的な責任であろうと、内部セキュリティ対策や外部脅威への対応であろうと、Web3ライセンス保有企業は規制要件を満たし、顧客資産の安全を守るために、長期的かつ堅固なサイバーセキュリティ戦略を構築しなければなりません。
さらに注目すべきは、2月7日にSFCが、2025年に既存のサイバーセキュリティ要件および期待基準を全面的に見直し、すべてのWeb3ライセンス保有企業に明確なコンプライアンスガイドラインを提供する業界全体のサイバーセキュリティフレームワークを策定する計画を発表したことです。これにより、企業はサイバーセキュリティリスクをより効果的に管理できるようになります。
したがって、Web3ライセンス保有企業は事前に準備を進め、規制要件の強化時に迅速に対応できるようにすべきです。同時に、マンキン法律事務所は、ライセンスの有無にかかわらず、Web3企業すべてが現在のサイバーセキュリティ体制を主動的に評価し、内部ガバナンスメカニズムを整備し、コンプライアンス対応を強化することで、将来のコンプライアンス調整に伴う運用リスクを低減し、市場競争力を高めることを推奨します。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News














