ホットウォレットが侵害されたときの24時間復旧プラン

2026年5月7日

ホットウォレットが侵害されたと気づいた瞬間は、暗号資産ユーザーにとって最も混乱しやすい場面です。資産が目の前で流出しているように見えても、多くの人は「まず何をすべきか」「何ができるのか」を判断できません。焦りは二次被害にもつながります。たとえば、偽の「資産回収」サイトに接続してしまい、攻撃者にさらに資産や署名権限を渡してしまうケースです。

この記事では、ホットウォレットが攻撃された直後から24時間以内に取るべき対応を、時間軸に沿って整理します。目的は、できるだけ早く被害を止め、残った資産を守り、より安全な取引環境を作り直すことです。

第1段階:最初の30分 — 緊急の被害拡大防止

異常に気づいた直後の第一反応は、「残っている資産を急いで送金する」ではありません。まず確認すべきなのは、攻撃がまだ進行中かどうかです。

最初に、そのウォレットと接続しているすべてのDAppを切断します。MetaMaskなどのウォレット設定で「接続済みサイト」や「接続中のサイト」の一覧を開き、すべて解除してください。これにより、すでに接続済みのDAppがウォレットに署名を要求し続けるリスクを下げられます。

次に、Revoke.cashで侵害されたアドレスを入力し、現在有効なトークン承認(Token Approval)を確認します。特に注意すべきなのは、承認額が「Unlimited(無制限)」になっているものです。これは攻撃者に悪用されやすい入口になります。見覚えのない承認、不自然な承認、使い終わったDAppへの承認は順番に取り消してください。

承認の取り消しはオンチェーン取引なので、対象アドレスに少量のETHや各チェーンのネイティブトークンが必要です。Gas代すら残っていない場合は、まず少額だけGas用資金を補充する必要があります。ただし、補充や操作は必ず安全な環境で行ってください。

同時に、現在のウォレット残高、取引履歴、承認一覧をスクリーンショットや記録として保存します。これらは後で攻撃経路を分析する際に役立ちます。

第2段階:1〜4時間 — 残った資産を安全なアドレスへ移す

高リスクな承認を取り消したら、残っている資産を、侵害されたウォレットと一切関係のない新しいアドレスへ移動します。

OneKeyハードウェアウォレットを持っている場合は、このタイミングで使うのが最適です。これまでDAppに接続したことがないハードウェアウォレットのアドレスは、緊急時の避難先として有力です。ハードウェアウォレットがない場合は、完全にクリーンな端末、できれば初期化済みのスマートフォンなどで新しいウォレットを作成し、シードフレーズは紙などの物理媒体に記録してください。スクリーンショット、クラウドメモ、メール保存は避けるべきです。

資産を移す順番は、価値の大きいものからが基本です。まずETHや主要ステーブルコインなどの大口資産を移し、その後に小額トークンを処理します。

ただし、急いでいるからといって、侵害された可能性のある端末で新しいウォレットを作成したり、シードフレーズを入力したりしてはいけません。攻撃者がキーロガーやクリップボード監視型マルウェアを仕込んでいる場合、新しいウォレットまで同時に失う可能性があります。

Chainalysisのdrainerに関する研究でも、攻撃者は初期アクセス後、数分以内に高価値資産を自動的に抜き取ることがあるとされています。スピードは重要ですが、安全でない端末上で慌てて操作することは避けてください。

第3段階:4〜12時間 — 全面監査とクリーンアップ

残った資産の移動が完了したら、次は詳細な監査に入ります。

Revoke.cashで侵害されたアドレスの承認を改めて確認し、不要な承認がすべて取り消されているかを確認します。すでにそのアドレスを放棄する場合でも、承認履歴は攻撃経路の分析に役立ちます。また、同じシードフレーズから派生した別アドレスを使っていた場合、関連するリスク評価にも必要です。

次に、侵害された端末にインストールされているブラウザ拡張機能を確認します。インストール時期、権限、配布元を一つずつ見直してください。見覚えのない拡張機能や、不要に強い権限を持つ拡張機能は削除します。

過去30日間にアクセスしたDAppやWebサイトも振り返り、既知のフィッシングサイト情報と照合します。偽のDEX、偽エアドロップページ、偽ウォレットサポートページなどに接続していなかったかを確認してください。

OSレベルの確認も重要です。見慣れない自動起動プログラム、不審なスケジュールタスク、クリップボードの挙動異常がないかを調べます。クリップボードハイジャックはよくある攻撃で、ユーザーがアドレスをコピーした瞬間に、攻撃者のアドレスへ密かに置き換えます。

第4段階:12〜24時間 — 攻撃経路の特定と新しい運用体制の構築

監査が進むと、攻撃がどの経路で起きたのか、おおよその見当がつくはずです。代表的な攻撃パターンは次のとおりです。

  • フィッシングリンク:偽のDEX、偽エアドロップ、偽サポートページにアクセスし、シードフレーズを入力した、または悪意ある署名をした
  • 悪意ある承認:DApp利用時に、隠れた送金権限を含む承認取引に署名した
  • シードフレーズの漏えい:シードフレーズをスクリーンショット、クラウドメモ、メールなどデジタル形式で保存していた
  • クリップボードハイジャック:端末がマルウェアに感染し、送金先アドレスが攻撃者のアドレスに置き換えられた
  • 悪意ある拡張機能:偽ウォレットや偽ツールの拡張機能を入れてしまい、秘密鍵や署名情報が外部に送信された

攻撃経路がある程度特定できたら、侵害された端末は徹底的にリセットしてください。単なるウイルススキャンだけでは不十分です。高度なマルウェアは検出を回避することがあります。必要に応じて、工場出荷状態への初期化やOSの再インストールを検討します。

新しい運用体制では、アカウント抽象化標準であるEIP-4337と、ハードウェア署名を中心に据えるのが理想です。EIP-4337はより細かな権限管理やソーシャルリカバリーを可能にし、ハードウェア署名は秘密鍵をオンライン環境から切り離します。

また、オンチェーン署名ではEIP-712のような可読性の高い署名内容の確認が重要です。署名前に「何に署名しているのか」を理解できる状態にし、ブラインド署名が再び突破口にならないようにします。

24時間復旧タイムライン

  • 0〜30分:DApp接続を解除し、Revoke.cashで危険な承認を取り消す。残高、取引履歴、承認一覧を記録する
  • 1〜4時間:残った資産を、侵害されたウォレットと無関係の新しい安全なアドレスへ移す
  • 4〜12時間:承認、ブラウザ拡張機能、アクセス履歴、端末の不審な挙動を監査する
  • 12〜24時間:攻撃経路を特定し、端末をリセットし、ハードウェアウォレットを中心とした新しい運用体制を作る

再発を防ぐには

ホットウォレットの侵害は、多くの場合、単発の事故ではありません。小さなセキュリティ習慣の軽視が積み重なって起きます。再発防止のために、次の対策を徹底してください。

主要資産は常にハードウェアウォレットのコールドストレージアドレスに保管し、ホットウォレットにはその時点で操作に必要な最小限の金額だけを入れます。

少なくとも月に1回はRevoke.cashでトークン承認を確認し、使っていないDAppや不要な承認を整理します。特に無制限承認は定期的に見直してください。

シードフレーズの入力を求めるWebサイト、アプリ、サポート担当者には極めて慎重になるべきです。OWASPのフィッシング攻撃に関する文書にも、多数の実例が記録されています。攻撃者は公式サイトに似せた画面や、緊急性を煽る文言を使うのが得意です。正規のウォレットが「確認」や「復旧」のためにシードフレーズ入力を求めることはありません。

OneKeyで安全な基盤を作り直す

ウォレット侵害を経験した後は、以前と同じ環境をそのまま使い続けるのではなく、より高い安全基準のツールに切り替えることが重要です。

OneKeyハードウェアウォレットは、秘密鍵を物理的に隔離して保管し、複数チェーンの資産管理に対応しています。さらにOneKey Perpsを組み合わせることで、KYC不要の環境でデリバティブ取引を継続しながら、署名と資産管理の安全性を高める運用を目指せます。

OneKeyの公式サイトで製品設計やセキュリティ方針を確認し、公開されているGitHubのオープンソースコードも参考にできます。また、WalletConnectのドキュメントを確認すれば、ハードウェアウォレットを使ってDEXフロントエンドに安全に接続する方法を理解しやすくなります。

まずはOneKeyを試す、またはダウンロードして、日常の資産管理をホットウォレット中心からハードウェアウォレット中心へ移行してみてください。Perps取引を行う場合も、OneKey Perpsを使ったワークフローを検討すると、利便性とセキュリティのバランスを取りやすくなります。

FAQ

Q1:ウォレットが盗まれたと気づいたら、最初に何をすべきですか?

最初にやるべきことは、慌てて送金することではありません。まず、そのウォレットとすべてのDAppの接続を解除し、Revoke.cashでトークン承認を取り消します。これにより、攻撃者が既存の承認を使って資産を移動し続けるリスクを下げられます。資金流出が続いている場合は残った資産の移動も検討しますが、必ずクリーンな端末で操作してください。

Q2:盗まれた暗号資産は取り戻せますか?

ほとんどの場合、すでに送金されたオンチェーン資産を取り戻すことは困難です。ブロックチェーン取引は基本的に不可逆です。まれに、攻撃者が規制対象の中央集権型取引所へ資産を移し、金額が大きい場合には、取引所に凍結を申請できることがあります。ただし成功率は高くありません。現実的な目標は、被害を最小化し、残った資産を守り、再発を防ぐことです。

Q3:クリップボードハイジャックとは何ですか?どう確認できますか?

クリップボードハイジャックは、マルウェアがクリップボードの内容を監視し、暗号資産アドレスの形式を検知すると、攻撃者のアドレスに自動で置き換える攻撃です。確認するには、アドレスをコピーしてテキストエディタに貼り付け、元のアドレスと完全に一致するかを確認します。一致しない場合、クリップボードが改ざんされている可能性があります。送金時は、必ずアドレスの先頭5文字と末尾5文字を目視で確認してください。

Q4:シードフレーズが漏えいした場合、新しいアドレスを作れば安全ですか?

同じシードフレーズから派生した新しいアドレスでは意味がありません。攻撃者がシードフレーズを持っていれば、そこから派生するすべてのアドレスを生成できます。必ず完全に新しいランダムなシードフレーズを、クリーンな端末で作成する必要があります。

Q5:HyperliquidやdYdXなどのプラットフォーム側で資産を凍結できますか?

HyperliquidやdYdXは分散型プラットフォームであり、中央集権的な資産凍結の仕組みはありません。スマートコントラクトを通じて資産が移動した後、プラットフォーム側が介入することは基本的にできません。そのため、事後対応よりも、ハードウェアウォレット、承認管理、フィッシング対策といった事前防御が重要です。

まとめ:危機を、より安全な運用へ切り替える機会にする

ホットウォレットの侵害は大きな痛手ですが、同時にセキュリティ体制を根本から見直す機会でもあります。この記事の24時間タイムラインに沿って被害を抑え、残った資産を守り、その後はハードウェアウォレットを中心にした運用へ移行しましょう。

OneKeyを試す、またはダウンロードして、秘密鍵をオンライン環境から切り離すことから始めてください。Perps取引を続ける場合は、OneKey Perpsを使ったより安全なワークフローを検討する価値があります。

リスクに関する注意

この記事は教育目的の情報であり、法律、財務、投資、セキュリティに関する助言ではありません。暗号資産取引には高いリスクがあり、どのような安全対策も100%の保護を保証するものではありません。資産被害に遭った場合は、関連する法執行機関への相談や被害届の提出を検討し、オンチェーン記録などの証拠を保存してください。最終的な判断は、リスクを十分に理解したうえでご自身の責任で行ってください。

OneKeyで暗号化の旅を守る

View details for OneKeyのご購入OneKeyのご購入

OneKeyのご購入

世界最先端のハードウェアウォレット。

View details for アプリをダウンロードアプリをダウンロード

アプリをダウンロード

詐欺アラート。すべてのコインをサポート。

View details for OneKey SifuOneKey Sifu

OneKey Sifu

暗号化の疑問を解消するために、一つの電話で。