報酬ハブ 
2026年3月下旬から4月上旬にかけて、米国シークレットサービス、英国NCA、オンタリオ州警察、オンタリオ証券委員会が30ヵ国以上にまたがる暗号資産詐欺を調査し、合計1,200万ドルの資産凍結、20,000以上の侵害ウォレットの特定、120件の詐欺サイトの閉鎖に成功しました。本作戦「アトランティック」で特定された詐欺被害総額は4,500万ドル超、そのうち3,300万ドルは現在も調査中です。
詐欺の主な手法は「承認フィッシング」というソーシャルエンジニアリング型の攻撃です。これは秘密鍵やシードフレーズを盗むものではなく、見慣れたウォレット承認画面を装い、1回の承認操作で攻撃者にトークンの無制限使用権限を与えてしまう点が特徴です。
本記事ではアトランティック作戦の詳細、承認フィッシングの技術的な仕組み、そして被害予防策を解説します。
アトランティック作戦の実際の活動内容
本作戦は2026年3月下旬から4月上旬に1週間実施され、米国シークレットサービスは公式発表 で、承認フィッシングに特化した初の国際協力大規模作戦と位置付けています。
調査で特定された被害ウォレットは米国・英国・カナダなど30ヵ国以上に分布し、20,000以上にのぼります。作戦期間中には直接3,000人以上の被害者に連絡し、資金が移動する前に凍結措置を行うケースもありました。英国のある被害者は、1件の承認フィッシングで約52,000ポンド相当を失っています。
資産凍結のほか、偽DeFiインターフェースやエアドロップページ、偽ウォレット接続画面などを提供するウェブサイト計120件も閉鎖。残る3,300万ドルについては、The Blockの報道 の通り追跡が継続されています。
Chainalysisは、オンチェーン追跡や被害ウォレット特定、詐欺インフラの分析など、技術面で本作戦に貢献しました。民間のブロックチェーン分析企業が法執行機関と連携する形は、現代の暗号資産捜査で主流となりつつあります。
承認フィッシングの技術的仕組み
承認フィッシングはDeFiの根幹機能を悪用するもので、バグではありません。たとえばDEXでトークンをスワップしたり、AaveのようなプロトコルでレンディングやNFTのミントを行う際、まずスマートコントラクトに対しトークン使用権限(approve)を与える必要があります。ERC-20標準にはapprove()関数があり、使用先アドレスと金額を指定します。
正規プロトコルは「その取引で使う分のみ」を承認させますが、関数自体には上限制約がありません。悪意あるコントラクトが「無制限の権限」を要求すれば、ウォレット内の該当トークンすべてをいつでも移動可能となります。
この手口は、秘密鍵やシードフレーズ、パスワードを盗む必要がありません。1回の署名(承認)さえ得られれば、攻撃者は正規の画面を装い、違和感なく権限を取得できます。
標準的な攻撃手順は三段階です。 詐欺師は信頼できるDeFiプロトコルやエアドロップ申請ページ、ウォレット認証ツールを偽装したサイトを作成。ウォレット接続時に承認トランザクションを発生させ、詳細を確認せずに「承認」すると、そのアドレスへ無制限の使用権限が与えられます。攻撃者は即座に資金を抜き取る必要はなく、数日~数週間後にtransferFrom()で好きなタイミングでトークンを移動できます。
さらに近年は「Permit署名型フィッシング」という手法も登場しています。これはオンチェーンの承認トランザクションではなく、オフチェーンの署名メッセージで権限を与えるため、履歴に残らないのが特徴です。攻撃者は任意のタイミングでこの署名を用い、トークンを移動させます。
承認フィッシングが主流詐欺手法となった理由
Chainalysis 2026 Crypto Crime Report によれば、2024~2025年の承認フィッシングによる損失は10億ドルを超えました。暗号資産セキュリティ研究者の報告では、2026年1月だけで3億ドル以上が詐欺で失われ、その大半が承認型でした。
出典:Chainalysis
従来の暗号資産ハッキング(スマートコントラクトバグ、フラッシュローン攻撃、ブリッジ脆弱性等)は高度な技術や長期の準備が必要ですが、承認フィッシングは説得力のある偽サイト作成とSolidityの基礎知識で開始できます。SNS広告や偽エアドロップ、乗っ取られたDiscord等で誘導し、大量の承認を集めて時間差で資金が抜き取られます。
しかも承認は明示的に解除(revoke)しない限り半永久的に有効です。過去の怪しいプロトコルとのやりとりで発行された無制限承認は、攻撃者にとって価値あるターゲットとなりえます。
| 攻撃タイプ | 攻撃者が必要とする情報 | 被害者の必要操作 | 取り消し可能性 |
|---|---|---|---|
| 秘密鍵の盗難 | シードフレーズまたは秘密鍵 | 初回漏洩以降不要 | 不可 |
| 承認フィッシング | 1回の承認トランザクション署名 | 偽画面で「承認」をクリック | 資金流出前なら可 |
| Permit署名型フィッシング | 1回のオフチェーン署名 | メッセージ署名(履歴残らず) | 資金流出前なら可 |
| スマートコントラクト脆弱性 | プロトコルコード中のバグ | なし(利用者全体が影響) | プロトコルの対応次第 |
トークン承認状況の確認と解除方法
承認フィッシングのメリットは、秘密鍵盗難と異なり、資金が抜かれる前であれば許可を解除することで被害を防げる点です。
Revoke.cashにウォレットを接続すると、EthereumやPolygon、BSC、Arbitrum等EVM系チェーン上でこれまで発行した全承認を一覧表示できます。
見覚えのないコントラクトへの承認、上限なしの承認、心当たりのない日付の承認などは要注意です。信頼できるプロトコル以外への承認は直ちに解除しましょう。
「Revoke」ボタンで承認をゼロに設定するオンチェーントランザクション(少額のガス代が必要)を送信できます。解除すればそのコントラクトはトークン操作ができなくなります。
この点検は月に一度でも継続してください。DeFiアクティブユーザーのウォレットでは、数十件の承認が蓄積していることも珍しくありません。
高額資産ウォレットの最強対策は、ハードウェアウォレット をコールドストレージ用に利用し、DeFi接続には最小資金のホットウォレットを用いることです。どんな承認画面も、銀行パスワードを求めるメールと同じ慎重さで扱いましょう。
アトランティック作戦が示す暗号資産規制の今後
本作戦は一過性でなく、今後のモデルケースです。米国連邦・英国・カナダ州警察・証券規制機関・民間分析企業の協力体制は、今後さらに拡大し、ブロックチェーン分析企業を情報インテリジェンスとして活用する流れが強まるでしょう。
3,000人以上の被害者にリアルタイムで接触できた点も従来金融詐欺捜査と大きく異なります。ブロックチェーンの公開台帳だからこそ、被害発生中に警告を出し、被害拡大を防ぐことが可能となりました。
ただし、凍結されたのは全体被害の27%(1,200万ドル)であり、依然として多くの資金が回収困難です。承認フィッシングの根本的被害防止には今後さらに広域な連携が必要とされます。2026年以降、ユーロポールやINTERPOL、アジアの規制当局も加わる形で類似作戦が展開されると予想されます。
よくある質問
仮想通貨の承認フィッシングとは?
承認フィッシングは、攻撃者にトークンの使用許可を与えるトランザクションへの署名を誘導する詐欺です。秘密鍵やシードフレーズは盗まれませんが、ERC-20の標準機能を悪用して通常のウォレット操作が資金流出のきっかけとなります。
承認フィッシング被害に遭った場合、資金を取り戻せますか?
承認がまだ使われていなければ、直ちに取り消すことで残高を守れます。流出後はアトランティック作戦のような法的措置による回収が期待できますが、迅速な通報(地元当局やIC3(FBIインターネット犯罪センター))が重要です。
自分のウォレットが承認フィッシングの被害に遭っていないか確認する方法は?
Revoke.cashにウォレットを接続し、全承認を確認しましょう。見覚えのないアドレスや無制限の承認があれば注意が必要です。怪しいサイトの利用や不明なエアドロップ時期の承認も確認するとよいでしょう。
取引所に仮想通貨を預けていれば承認フィッシングのリスクはありませんか?
はい、承認フィッシングは自己管理型ウォレットのみが対象です。Phemexのような規制取引所で保管している資産は、取引所がカストディ管理し第三者スマートコントラクトと直接やりとりしないため、この種のリスクはありません。ただし、その場合は取引所のセキュリティ対策に依存することになります。
まとめ
アトランティック作戦は、承認フィッシングが現在最も主要な暗号資産詐欺であること、国際捜査も優先して対応していることを示しました。凍結資産は1,200万ドル、被害総額は4,500万ドル超ですが、2026年1月だけでも3億ドルの被害が発生しており、対策と捜査の拡大が今後の課題です。自分のウォレットで「承認済み」の状態が放置されていないか、5分でRevoke.cashを使って確認し、不要な承認は解除するのが現時点で最も効果的な自己防衛策です。
本記事は情報提供のみを目的としており、投資アドバイスではありません。暗号資産の取引にはリスクが伴うため、ご自身で十分に調査のうえご判断ください。
