Phemexセキュリティレビュー2026：最も透明性の高いCEXを目指して

FTXの事例により、暗号資産取引所が顧客資産の健全性を主張しながら裏で貸し付けを行うリスクが顕在化しました。その結果、業界での信頼基準は大きく変化し、単なる約束ではなく検証可能性が重視されるようになりました。取引所が保持している資産を暗号学的に証明し、誰もが確認できる形で公開すること、そして顧客資産を運営リスクから明確に切り離したインフラが必要です。

Phemexは毎月マークルツリーによるProof of Reserves（準備金証明）を公開しています。2026年4月のレポートでは、主要資産で131%の超過担保率となり、ユーザーの預かり資産1ドルあたり1.31ドルを保有していることが確認できます。カストディには、世界中の銀行やETFカストディアンも利用するFireblocksのMPCプラットフォームを採用。Phemexは顧客資産の貸出・借入・再担保化を行わない方針を明示しており、これはFTXで約80億ドルが失われた要因と同じリスクを排除するものです。

本記事では、Phemexによる資産保護の仕組み、ユーザーご自身での検証方法、そして業界の他社と異なるセキュリティモデルの特徴を解説します。

Proof of Reserves：131%の裏付けとユーザーによる検証

現在最も重要なのは、第三者の言葉に頼らず、ユーザー自身が好きなタイミングで検証できる仕組みです。

Phemexは毎月マークルツリーによるProof of Reservesを公開しており、2026年4月レポートでは一対一を大きく上回る水準を示しています。

これらの数値は、Phemexがユーザーへの負債額より31%多く資産を保有していることを意味します。超過担保分が、市場変動や運用リスクのバッファとなります。公開データは細かく分かれているため、誰でも個別に確認できます。

ご自身で確認する方法： Proof of Reservesページでアカウントダッシュボードに表示の「Hashed Client ID」を入力すると、ご自身の残高とマークルツリー上の位置が確認できます。これはスクリーンショットやPDFではなく、プラットフォーム全体の負債に含まれていることを暗号学的に証明する仕組みです。対象資産はBTC、ETH、USDT、USDC、USD、TRON、BNB、XRP、SOL、SUI、AVAXで、データは毎月25日頃に更新されます。

Phemexが顧客資産に対して行っていないこと： Phemexは顧客資産の貸出・借入・再担保化を行わないことを明示しています。法人向けの貸付もありません。預かり資産は最低でも一対一で裏付けされており、現在はそれを超える超過担保状態です。たとえば1BTC預けた場合、1BTCがそのままリザーブされ、ヘッジファンドへの貸付や、同意のない運用、他の担保利用等はありません。

Fireblocksによる機関投資家向けカストディ

秘密鍵の保護インフラこそが、取引所のセキュリティの根幹です。PhemexはFireblocksの機関投資家向けカストディを採用。2,400以上の金融機関・資産運用会社が利用し、120以上のブロックチェーンで10兆ドル超のデジタル資産取引を保護しています。

Fireblocksの基盤はマルチパーティ計算（MPC）です。MPCでは、秘密鍵が一台のデバイスや個人の手に渡ることはありません。鍵の断片が別々の安全な環境に分散され、所定数の断片が揃うことでのみ署名が可能となります。仮に一部環境が侵害されても、鍵全体の再構成は不可能です。これにより、過去の大規模流出事件で多発した「単一障害点リスク」を排除しています。

Phemexユーザーにとっては、これは機関投資家が数十億ドル規模の規制商品を管理するのと同等の水準で資産が保護されていることを意味します。Fireblocksの技術はすでに金融業界で信頼されているインフラです。

Phemexの資産管理体制

Phemexは三層型ウォレットシステムを導入し、万が一ホットウォレットが侵害されても、ユーザー資産の大半が守られる設計です。

コールドウォレットに全資産の70%以上を保管。 これらは完全にオフラインで、ネットワークから物理的に隔離されています。移動にはマルチシグ承認と手動確認が必要で、個人単独でのアクセスは不可能です。

ウォームウォレットは中間的な役割。 オペレーション用に限定された残高のみを保持し、コールドウォレットとホットウォレットの中間に位置します。

ホットウォレットには全体の8%未満。 入出金処理用でアクセス性が高い一方、資産割合は限定されており、仮にホットウォレットが侵害されても、92%以上のユーザー資産は安全に保管されています。

この三層構造によって、利便性と安全性を両立。ホットウォレットによる迅速な出金と、インターネット未接続・多重承認が必要な安全保管を実現しています。

鍵管理：秘密鍵の多層防御

カストディ以外でも、Phemexは暗号レベルで複数の独立した保護層を導入しています。

Shamir Secret Sharingは、秘密鍵を複数の断片に分割し、異なる安全な場所に保管。所定数の断片がなければ鍵の復元は不可能で、ひとつの断片だけでは意味がありません。

AWS Nitro Enclavesは、機密コンピューティング環境を提供し、鍵操作が隔離された状態で実行されます。完全な秘密鍵がPhemex内部担当者にすら見えない設計です。FireblocksのMPCと組み合わせることで、単一障害点の排除と多層的な鍵保護を実現しています。

マルチシグ承認は、コールド・ウォームウォレットからの資金移動の際に複数の独立した承認を必須とすることで、外部攻撃や内部不正のリスクを低減しています。コールドストレージが最も安全な構造である理由です。

見えないセキュリティレイヤー

カストディ、鍵管理、準備金は目に見えるセキュリティインフラですが、その背後にPhemexはプラットフォームレベルで多層防御システムを持ち、アカウント単位でも各種コントロールを提供しています。

プラットフォームレベルでは： エンタープライズファイアウォール、DDoS対策、Webアプリケーションファイアウォールが悪意あるトラフィックを遮断。暗号化や厳格なアクセス制御で、侵害が他システムへ波及しないよう分離。コードはOWASP基準のセキュリティレビューと自動脆弱性スキャンを経て本番環境へ。内部レッドチームが模擬攻撃を行い、外部監査人による検証も実施。全ウォレット階層でリアルタイムの異常検知も行っています。

アカウントレベルでは： すべてのアカウントで二要素認証（2FA）が必須。Google、Microsoft、LastPass、Yubico製の認証アプリに対応。出金アドレスのホワイトリスト設定により、万一アカウント侵害時も未知のウォレットへの出金は不可能。新規アドレス追加には待機期間が設けられているため、不正変更の検出・キャンセルも可能です。フィッシング防止コードも設定でき、正規メールの識別が容易になります。これらは一度設定すれば継続的にユーザーを保護します。

Phemexと他社の比較

よくある質問

資産が裏付けされていることをどのように検証できますか？

phemex.com/ja/proof-of-reserves にアクセスし、アカウントダッシュボードのHashed Client IDを入力すると、マークルツリーによるアカウント残高と全体準備金への組み入れ状況を確認できます。これは暗号学的証明であり、信頼に基づく主張ではありません。データは毎月25日前後に更新されます。

Phemexはユーザーの預かり資産を貸し出していますか？

いいえ。Phemexは顧客資産の貸出・借入・再担保化を行わないことを公表しています。法人向け貸付もありません。預かり資産は最低でも一対一で裏付けされており、現時点での合計準備金比率は131%です。

Phemexのカストディプロバイダはどこですか？

PhemexはFireblocksを採用しています。Fireblocksは2,400以上の組織が利用するデジタル資産管理プラットフォームで、MPC方式により、秘密鍵を一台のデバイスや個人が単独で保持することはありません。

まとめ

「この取引所は安全か？」という問いに、かつては誰かの言葉を信じるしかありませんでしたが、2026年では証明を確認することが重要です。Phemexはすべての主要資産について、131%の超過担保を証明するマークルツリー型のProof of Reservesを毎月公開しています。カストディは機関投資家も利用するFireblocksを通じて行われ、70%以上の資産は多重承認と手動確認が必要なコールドストレージで管理。秘密鍵はShamir Secret SharingとAWS Nitro Enclavesで分散・保護されています。貸出、再担保化、顧客預かり資産に対する社債等の行為は一切ありません。

透明性はマーケティングの主張ではなく、誰でも確認できるマークルツリーによって実現されています。

本記事は教育・情報提供を目的としたものであり、金融や投資のアドバイスではありません。Phemexでは高度なセキュリティ対策を実施していますが、すべてのリスクを排除することはできません。ユーザーの皆様は2FAや出金ホワイトリストなどの個人アカウント保護機能も必ずご活用ください。過去のセキュリティ実績が将来の安全性を保証するものではありません。