何が起きたか

世界25,000台以上のビットコインATMを運営するBitcoin Depot(2025年売上6億1,500万ドル)が、2026年3月23日にサイバー攻撃を受けたことを米SEC(証券取引委員会)への開示で明らかにした。攻撃者は社内ITシステムへの不正アクセスに成功し、デジタル資産決済アカウントの認証情報(クレデンシャル)を窃取。その後、会社が管理するウォレットから約50.9 BTC(報告時点の評価額で約366万ドル、日本円で5億円超)を無断移送した。

同社は不審なアクティビティを検知後、即座にインシデントレスポンスを起動し、外部のサイバーセキュリティ専門家と法執行機関へ通知。被害は「コーポレート環境」に限定されており、顧客プラットフォーム・顧客データへの影響はないとしている。

なお、Bitcoin Depotはこれが初の被害ではない。2024年にも個人情報を狙った侵害を受けており、約26,000人に通知している。米国では同じくビットコインATM運営会社のByte Federalが2024年12月に58,000人規模のデータ漏洩を公表しており、業界全体が標的にされているという構図が浮かび上がる。

攻撃の構造:「クレデンシャル窃取→資産持ち出し」パターン

今回の事件で注目すべきは、攻撃のシーケンスだ。

  • 初期侵害 — 社内ITシステムへの不正アクセス成功
  • クレデンシャル窃取 — デジタル資産決済アカウントの認証情報を入手
  • 資産移送 — 窃取した認証情報を使いビットコインを外部ウォレットへ

ランサムウェアや大規模なデータ漏洩ではなく、認証情報を手に入れたら即座に換金できる資産を抜くという、効率的で検知が難しい手法だ。仮想通貨ビジネスならではのリスクではあるが、「特権的なアクセス権を持つアカウントの認証情報が奪われた瞬間にゲームオーバー」という構造は、一般企業のAzureやM365環境でも全く同じである。

実務への影響:日本のIT管理者が今日から確認すべきこと

仮想通貨ATM企業の話だからといって「うちには関係ない」で終わらせてはいけない。以下のチェックポイントは、どの業界の組織にも当てはまる。

1. 特権アカウントのJust-In-Time(JIT)アクセスを実装しているか

常時アクセス権を付与したままの特権アカウントは、クレデンシャルが漏洩した瞬間に攻撃者へ渡る。Microsoft Entra IDのPIM(Privileged Identity Management)を使えば、「必要なときだけ、承認を経て、時間制限付きで権限を昇格」というJITアクセスが実現できる。これが基本中の基本だが、日本の多くの企業でまだ未導入のまま運用されているのが現実だ。

2. 決済・送金系システムの多要素認証は「フィッシング耐性あり」か

SMSやTOTPベースのMFAは、フィッシングやSIMスワップで突破される。特に高価値の操作(送金・ウォレット操作・大量データエクスポートなど)は、FIDO2/パスキー等のフィッシング耐性のある認証方式に切り替えるべき時期に来ている。

3. 横展開を防ぐネットワークセグメンテーションは機能しているか

「コーポレート環境」と「顧客プラットフォーム」が切り離されていたことで、被害が一定範囲に抑えられた点は評価できる。一方で、コーポレート環境内での横展開は許してしまった可能性が高い。ゼロトラストアーキテクチャの観点から、同一ネットワーク内でも「誰が・何のリソースに・なぜアクセスしているか」を継続的に検証する仕組みが求められる。

4. サイバー保険の補償範囲を今すぐ確認する

Bitcoin Depotは「保険で全損失をカバーできる保証はない」と開示している。日本企業でもサイバー保険に加入しているケースが増えているが、補償範囲・上限・除外事項を事前に精査していない組織は多い。有事になってから初めて確認するのでは遅い。

筆者の見解

正直に言えば、セキュリティ分野は得意なジャンルではない。細かい議論が多く、どうしても腰が重くなる。ただ、技術的な構造に関する興味は本物で、今回の事件はその意味で非常に「わかりやすい」事例だった。

攻撃者は特別な新技術を使ったわけではない。「認証情報を盗み、その認証情報で正規ユーザーとして操作する」という、何年も前から語られている手法が今も通用し続けている。

日本の大企業の多くは、昔からのセキュリティモデルと、部分的に導入されたゼロトラストの仕組みが混在した奇妙な状態にある。それ自体がリスクだ。中途半端な導入は、運用の複雑さを増やしながらも実質的なセキュリティ向上にはつながらない最悪のパターンを生む。「今動いているから大丈夫」という感覚は、今回のBitcoin Depotのような事案が発生するまで表に出てこない。

VPNで境界を守る時代はもう終わりに向かっている。「正しい人が、正しい理由で、正しい時間だけアクセスできる」仕組み——つまりJust-In-Timeと継続的な検証の組み合わせ——こそが、同種の被害を防ぐ現実的な答えだ。今回の事件を、自社の特権アカウント管理を見直す契機にしてほしい。

出典: この記事は Hackers steal $3.6 million from crypto ATM giant Bitcoin Depot の内容をもとに、筆者の見解を加えて独自に執筆したものです。