なぜ監査は絶対的な安全を意味しないのか？

2026年6月18日

一言で説明すると：スマートコントラクト監査とは、専門機関が特定の時点で提出されたコードに対してセキュリティ検査を行うものです。既知の脆弱性リスクを低減できますが、監査後のコード変更・新しい攻撃手法・経済モデル面のシステミックリスクをカバーすることはできません。

なぜ重要なのか

DeFiコミュニティでは「監査済み」という言葉が安全性の保証として当たり前のように使われています。しかし、監査報告書があるプロトコルでも深刻なセキュリティ事件が発生し、数千万ドルから数億ドルに上る損失をもたらした例があります。監査の限界を理解していなければ、「監査済み」という3文字を見ただけで警戒を緩め、自分の認識を超えたリスクを負ってしまう可能性があります。

監査の価値と限界を理解することは、DeFiプロジェクトを評価する際に欠かせない基本知識です。Revoke.cashのセキュリティ学習ページでも、コントラクト承認リスクは監査が存在しても消えないと指摘しています。

コアメカニズム：監査でできること、できないこと

監査でできること

既知の脆弱性パターンのスキャン：リエントランシー攻撃（Reentrancy）・整数オーバーフロー・アクセス制御の欠如など、古典的な脆弱性は経験豊富な監査者が識別できます。
コードロジックの精査：監査者はコントラクトのロジックを読み込み、関数呼び出しの順序・権限設計などの問題を探します。
修正の提案：発見された脆弱性は深刻度（Critical/High/Medium/Low/Informational）に応じて分類され、修正提案が示されます。

監査でできないこと

監査は提出バージョンのみをカバーする監査は「特定の時点で提出されたコード」の検査です。監査完了後、開発者がコントラクトをアップグレードしたり新しいモジュールを追加したりすると、監査報告書は変更後のコードには適用されなくなります。一部のプロトコルは監査のお墨付きを得た後も継続的に更新を重ねており、アップグレードのたびに新たなリスクの窓口が生じます。
新しい攻撃手法を予見できないセキュリティの攻防は動的な駆け引きです。今日発見されていない攻撃ベクトルが、来年には一般的な攻撃手法になるかもしれません。監査者は現時点で知られているセキュリティ知識に基づいて検査するしかなく、将来現れる新しい悪用方法を予見することはできません。
経済モデルのリスクをカバーできないフラッシュローン攻撃（Flash Loan Attack）・価格オラクル操作などの経済的な攻撃は、コードのバグを利用するのではなく、プロトコルの経済設計のロジック上の抜け穴を突くものです。この種のリスクには専門的な経済的セキュリティ分析が必要であり、標準的なコード監査では対応できません。
監査の品質はまちまち市場には多数の監査機関が存在し、能力と厳格さには大きな差があります。一部の低品質な「速成監査」は表面的な検査しか行わず、結論の信頼性は限られています。「著名機関による深度監査」と「無名の低品質監査」を区別することは、調査において必要な判断です。
アップグレード可能なコントラクトの特殊性多くのプロトコルはプロキシコントラクトパターン（Proxy Pattern）を使用しており、開発者が将来実際のロジックコントラクトを差し替えることができます。これは、あなたが対話するコントラクトのロジック自体が置き換えられる可能性があることを意味し、監査済みの旧ロジックが未監査の新ロジックに取って代わられる可能性があります。コントラクトがアップグレード可能かどうか・アップグレード権限を誰が管理しているかを確認することは、調査においてしばしば見落とされがちな重要なポイントです。

ユーザーシナリオ

シナリオ1：あるDEXアグリゲーターが「2機関の監査をパスした」と主張しているのを発見しました。しかし報告書を調べると、1つの監査は18ヶ月前のもので、しかもプロトコルはレポート公表後に2度の大規模なバージョンアップグレードを行っていることがわかりました。古い報告書は現在のコントラクトバージョンへの参考価値が限られると認識し、新たな監査サイクルの結果を待ってから評価することにしました。

シナリオ2：あるプロトコルの監査報告書に3つのHighレベルの脆弱性が記載されていました。最新バージョンの修正状況を確認すると、2つは修正済みで1つが「既知のリスクとして受け入れ」と記載されています。この情報を受けて、そのプロトコルのリスク評価を引き上げ、参加規模を相応に調整しました。

OneKey App の入口

OneKey App でDeFiプロトコルと対話する際：

組み込みのシグネチャプレビュー機能により、承認前にコントラクトアドレスが公式アドレスと一致しているかを確認でき、フィッシングコントラクトや偽コントラクトとの対話を防ぐ；
OneKey ハードウェアウォレットと組み合わせることで、各トランザクションに物理的な確認が必要となり、フロントエンドが改ざんされていても、デバイスの画面で異常を識別できる；
Revoke.cash を通じて定期的に不要になったコントラクト承認を確認・取り消し、過去の承認による長期的なリスクの露出を減らす。

リスクと注意事項

トップ機関による複数回の監査を経たプロトコルでもセキュリティ事件が発生する可能性があります。
監査報告書は調査の参考であり、安全の保証ではなく、いかなる投資アドバイスも構成しません。
DeFiプロトコルに参加する際は、常に全損しても許容できる資金のみを投入してください。
参加しているプロトコルの公式チャンネルを注視し、コントラクトのアップグレードやセキュリティに関するアナウンスを随時把握してください。

FAQ

Q1：監査報告書の品質はどのように判断するか？監査機関の知名度と実績・報告書の発行日と現在のコントラクトバージョンとの整合性・報告書で発見された脆弱性の数と深刻度・高危険度の脆弱性の修正状況に注目してください。著名機関にはTrail of Bits・ChainSecurity・OpenZeppelin・Certikなどがありますが、著名機関でも完全に見落としがないとは保証できません。

Q2：監査報告書がないプロトコルには参加できないか？これはリスク許容度によります。監査報告書がないということは、より高い未知のリスクがあることを意味します。参加を検討する場合は、通常プロトコルが十分な実戦時間を積んでから、あるいは正式な監査を受けてから判断することを推奨します。

Q3：監査報告書はどこで見つけられるか？通常、プロトコルの公式サイトの「Security」または「Audit」ページで見つかります。GitHubのリポジトリでも確認できます。一部の監査機関は自社の公式サイトにレポート一覧を公開しています。

Q4：アップグレード可能なコントラクトはアップグレード不可能なコントラクトよりリスクが高いか？アップグレード可能なコントラクトは脆弱性を柔軟に修正できる能力を提供しますが、アップグレード権限が乱用されるリスクも生じます。重要なのは、アップグレード権限を誰が管理しているか・マルチシグやタイムロックが必要かどうか・コミュニティがアップグレードを監視する仕組みがあるかどうかです。アップグレード可能なコントラクトが必ずしも危険または安全とは一概に言えません。