賄賂一つで7万人分流出｜取引所KYCが抱えるセキュリティの死角

取引所に登録したとき、あなたは名前・住所・顔写真・政府発行の身分証をアップロードしたはずです。そのデータが今日、どこにあるか——考えたことはありますか？

「内部の人間が売った」という現実

2025年、Coinbaseで約7万件のKYCデータが流出しました。原因はサイバー攻撃でも、システムの脆弱性でもありません。海外のサポートスタッフが賄賂を受け取り、顧客の個人情報を外部に横流ししていたのです。

流出したのは氏名、住所、そして政府発行IDの画像——つまり「あなたが確かにビットコインを保有している」と証明できる情報一式です。取引所のサーバーがどれほど堅固であっても、アクセス権を持つ人間が売れば、情報は外に出ます。

これは特定の取引所だけの問題ではありません。KYC対応が義務付けられているすべての取引所が、同じ構造的リスクを抱えています。

「ビットコインを持っていること」が知られる怖さ

個人情報の流出を「パスワード漏洩と同じ程度のリスク」と感じているなら、認識を改める必要があります。

KYCデータには住所が含まれています。取引所のアカウント情報には、ある程度の保有残高も紐づいています。この二つが組み合わさると何が起きるか。「あの住所に住む人間は、それなりのビットコインを持っている」という情報が犯罪者の手に渡ることになります。

海外では、ビットコイン保有者を自宅で襲い、強制的に送金させる「$5レンチ攻撃」と呼ばれる物理的犯罪が実際に発生しています。デジタル資産のリスクは、画面の中だけで完結しません。住所と資産規模が結びつけば、それはリアルな脅威になります。

分散型であるはずのビットコインが、集中管理されている逆説

ビットコインが革新的なのは、中央管理者なしに価値を移転できる点です。しかし取引所にビットコインを預けたままにしておくと、その秘密鍵は取引所が保有しています。あなたが持っているのは「取引所に対する引き出し請求権」です。

取引所が正常に稼働しているうちは問題に見えます。しかしKYCデータが流出し、内部スタッフが買収され、オペレーション上の不正が起きた瞬間——あなたのビットコインへのアクセスが脅かされるリスクが現実になります。FTXの破綻、マウントゴックスの凍結も、同じ構造から生まれました。

アルトコインを扱う取引所はさらに脆弱です。プロジェクト自体が中央集権的な運営体制を持ち、創設者が資産を持ち逃げするリスクすらあります。分散型を標榜しながら実態は特定の組織が管理しているトークンは、ビットコインとは根本的に異なります。真に中央集権的な管理から切り離されているのは、ビットコインだけです。

取引所は「入口と出口」として使う

では取引所を使うな、ということでしょうか。そうではありません。取引所は法定通貨とビットコインを交換する場として機能します。問題は、購入したビットコインをそのまま取引所に置き続けることです。

考え方を変えてください。取引所は「両替所」であり、「金庫」ではありません。購入したら、自分が秘密鍵を管理するウォレットに移す。これだけで、KYCデータが流出しても、取引所の内部で不正が起きても、あなたのビットコインへのアクセスは守られます。

ハードウェアウォレットに移したビットコインは、誰かが賄賂を受け取っても動きません。内部犯行の影響範囲の外に、最初から置いておくことが唯一の対策です。

あなたの番は、いつ来るかわからない

今回流出した約7万件は、Coinbaseの全ユーザーのごく一部です。しかし「自分は対象外だった」という事実は、次の流出でも同じとは限りません。取引所を使い続ける限り、あなたのKYCデータは常に誰かのデスクトップに存在しています。

取引所に残しているビットコインがあるなら、今日のうちに自分のウォレットへの移送を検討してください。情報は一度流れると、取り返せません。

※本記事は一般的な情報提供を目的としており、投資助言ではありません。