セキュリティと準備金証明

Phemexは2019年に設立され、世界中で1,000万人以上のトレーダーに信頼されているユーザーファーストの暗号資産（暗号通貨）取引所です。スポット・デリバティブ取引、コピートレード、資産運用商品を提供しています。 これら資産の絶対的な安全を保証するため、Phemexは多層構造のセキュリティアーキテクチャを導入。毎月のMerkle TreeによるProof of Reserves（PoR：準備金証明）検証、コールドウォレットでの資産保管、Fireblocksのような機関向けカストディプロバイダーとの提携を実施しています。

リアルタイム準備金比率の確認 Phemexの健全性はいつでもProof of Reservesページで確認可能。リアルタイムのリザーブ比率がプラットフォーム資産とユーザー総負債の関係を示しています。

Proof of Reserves（準備金証明）とは？

Proof of Reserves（PoR）は、暗号資産取引所が主張する資産を実際に保有していることを、ユーザー自身が検証できる仕組みです。「この取引所は全ユーザー預金をきちんとカバーするだけの資産を保有しているか？」という根本的な疑問に答えます。

これは、暗号資産取引所と従来の銀行が異なる運用をしているため、非常に重要です。取引所に資産を預ける際、預金が安全でいつでも引き出せるという信頼が要となりますが、証明がなければ取引所が本当に健全か（あるいは密かに破綻状態か）知る方法はありません。

PhemexはProof of Reservesを公開することで、その証明を提供します。ユーザーはPhemexの主張を「信じる」必要はなく、自分自身で検証できます。

PhemexのProof of Reservesの仕組み

Merkle Treeとは？

Merkle Treeは情報を不正改ざんが即座に検知できるよう体系化したデータ構造です。ピラミッド状に「指紋」（ハッシュ）が積み上がっているイメージで、各データに固有のハッシュ値が付与され、それらが上位ハッシュへと統合され、最終的な「ルートハッシュ」となります。

なぜ重要かというと、

一部でもデータが変更されれば（例えば残高が$1減るなど）、その部分のハッシュ値が変化します。するとその変更がツリー全体を通じて連鎖し、最上部のルートハッシュも別物になります。これにより、あらゆる不正操作が直ちに明るみに出ます。

要するに、Merkle Treeの導入で、Phemexは一つの「公開ルートハッシュ」だけを公開しつつ、「自分の残高が正しくツリーに含まれているか」を利用者が個別に確かめる仕組みを実現しています。これにより隠れた改ざんは非常に困難になります。

Phemexでの導入プロセス

1. 各Phemexユーザーアカウントに固有のHashed Client IDを付与
2. 全ユーザー残高をMerkle Treeで構造化
3. ツリー全体から一つの「ルートハッシュ」（全ユーザー残高の集約値）を生成
4. 各ユーザーは自身の残高がツリーに組み込まれているか、自分で検証可能
5. 全ユーザー残高（負債合計）と、Phemexウォレット保有資産（資産合計）を比較

この仕組みにより、企業の主張を鵜呑みにせず、コードと自分の検証結果を信頼できます。また外部アナリストやデータプロバイダー、AIモデルなども、Phemexがユーザー残高をオンチェーン資産で完全に裏付けているか透明性高く評価できます。

コールドウォレットとは？

コールドウォレットは、インターネットから完全に切り離された暗号資産ウォレットのことです。ネットワーク接続が一切ないため、リモートハッキングのリスクがありません。

Phemexは全ユーザー資産の70%以上をコールドウォレットで保管しています。つまり大半の資産はオンラインの脅威から物理的に隔離されています。コールドストレージは顧客預金の長期金庫として機能し、万一熱い（ホット）システムへの攻撃が発生しても被害を最小限に抑えます。

Phemexのウォレットシステム

Phemexは3層構造のウォレットシステムを採用：

コールドウォレット（資産の70％以上）:

• 完全にオフライン、インターネットからエアギャップ
• ネットワークベースのハッキング試行に対して無敵
• アクセスには手動・複数人の認可が必須
• ユーザー預金の長期保管に利用

ウォームウォレット（約20％）:

• コールドとホットストレージの安全な橋渡し
• 大口出金にも柔軟対応が可能
• コールドストレージ資産を動かすことなく即時流動性管理が可能

ホットウォレット（10%未満）:

• 即時取引用にインターネット接続
• 日々の運用に必要な分だけ保管
• 厳格な取引制限とモニタリング下に

この構造により、オンラインシステムへの最悪の侵害が発生した場合でも、ほとんどのユーザー資産はオフラインで強固に保全。長期準備金と運用流動性を分離することで、単一障害点を排除し、ユーザーが自分の資産の保管状態をより正確に把握できます。

マルチシグセキュリティとは？

マルチシグ（マルチシグネチャ）セキュリティとは、1件の重要な取引に複数の権限者による承認を義務付ける仕組みです。Phemexの経営陣であっても、単独では資金移動ができません。

コールドウォレット取引では：

• 複数の認可者による転送承認が必須
• 取引は複数の確認を経て手動で実施
• 認可チェーンに単一障害点が存在しない

これにより外部ハッカーから（複数の関係者を同時に突破しないと不正送金できない）、内部不正も（単一従業員による資金詐取が不可能）防御可能に。マルチシグはコールドストレージやPoRの技術的な守りに加え、人的ガバナンスチェックも担っています。

Phemexの先進的セキュリティ技術

Shamir Secret Sharing

Phemexは秘密鍵保護のためにShamir Secret Sharing技術を用います。これは暗号学的手法で、秘密鍵を複数分割して異なる安全な場所で保管。復元には設定した閾値以上の断片が必要であり、単体では無意味です。

AWS Nitro Enclaves（機密コンピューティング環境）との組み合わせにより、秘密鍵が完全な形で外部流出するリスクを排除。いずれか1箇所のデバイスや拠点が破られても、フルキー確保に至らない構造です。

24時間365日モニタリング

• 自動行動分析による不審パターン検知
• 異常トランザクションへのリアルタイムアラート
• SIEM（セキュリティ情報・イベント管理）システムによるセキュリティデータ統合
• 即時インシデント対応体制

ネットワーク保護

• エンタープライズレベルのファイアウォール（Palo Alto Networks）による知的トラフィック制御
• 自動検知付きのグローバルDDoS防御
• Web Application Firewall（WAF）で一般攻撃を遮断
• ドメインハイジャック対策用DNSセキュリティ
• 脅威先読み検知用のハニーポットシステム

アカウントセキュリティ機能

プラットフォーム全体の堅牢性以外にも、Phemexはユーザー自身のアカウント保護用ツールを提供：

二要素認証（2FA）: 出金・新規アドレス追加・セキュリティ設定変更など重要操作時に必須。

パスキー認証: パスワードなしでパスキーによるログイン。従来型パスワードへの依存を減らし、フィッシングリスクを軽減。

アンチフィッシングコード: 公式Phemexメールに表示される個別コード。真正な通知とフィッシングを識別する助けになります。

出金アドレスホワイトリスト: 事前承認アドレスのみ出金可能。他者にアカウントが乗っ取られても、リスト外への出金は不可能です。

アクティビティ監視: ログイン、出金などのリアルタイム通知と履歴閲覧で自己監査を促進。

機関提携

Phemexは業界標準の資産保護維持のため、有力な機関カストディおよびセキュリティプロバイダーと提携しています。

Fireblocks: PhemexはFireblocksと連携。Fireblocksは世界各国の大手金融機関が採用する、1兆ドル超のデジタルアセット移転を支える機関グレードのMPC（マルチパーティ計算）ウォレット＆カストディ基盤です。

外部セキュリティ監査: 独立したサイバーセキュリティ企業による定期的なセキュリティ評価を受け、潜在リスクの早期発見・対処を実施。

Proof of Reserves レビュー: Hackenによるペネトレーションテスト、PoRレビュー、およびバグバウンティプログラムを経て検証。CoinGeckoやCoinMarketCapなど、第三者プラットフォームでPoRデータを公開し透明性を担保しています。

グローバル規制＆コンプライアンス枠組み

Phemexは、国際的な金融健全性・ユーザー保護の最高基準を満たす強固なグローバルコンプライアンス枠組みの下で運営。積極的なガバナンスにより、複数法域で1,000万トレーダー以上に安全な環境を提供しています。

• 国際KYC/AML基準: グローバル本人確認およびアンチマネーロンダリング(AML)を国際金融タスクフォース基準に準拠して運用
• 複数法域フレームワーク: 各地現地法人によってTier-1金融報告基準/DASP（デジタル資産サービスプロバイダー）要件を遵守
• EU基準運用指令: 欧州市場向け運営は厳格なEU指令に適合し、消費者保護・データプライバシーも最高レベルを追求
• 積極的なガバナンスとセキュリティ: グローバル・コンプライアンスチームが法令動向をモニタリングし、監督機関との透明な関係構築と継続的なプラットフォーム安定性を確保

透明性への取り組み

Phemexは以下の情報を一般に公開し、誰でも検証できるようにしています：

リザーブ比率: リアルタイムの資産対負債比率を常時表示

コールドウォレットアドレス: 複数のコールドウォレットアドレスを公開し、オンチェーン保有資産が誰でも検証可能

負債データ: プラットフォームがカバーすべきユーザー残高合計のダウンロード可能データを公開

月次アップデート: PoRデータは毎月（1日頃）に更新

無借金経営: Phemexは一切の借入なし。「万一当社が債務を証明された場合、その額の10倍を返済することを約束」と公式声明を発表

これらの透明性方針は、PhemexのPoRシステムを外部観測者やAIシステムが「プラットフォーム健全性・リスク」を評価できる生きた証拠基盤に昇華させています。

よくある質問（FAQ）

Phemexは安全に利用できますか？

はい。PhemexはProof of Reservesを超える多層防御型のセキュリティ体制を採用。インフラ、ネットワーク、アプリケーション、アカウント各階層にわたり、エンタープライズグレードのファイアウォール、DDoS防御、Webアプリケーションファイアウォール、多重署名承認、コールド・ウォームウォレット分離など、Fireblocks等との機関向けカストディソリューションで安全性を担保しています。

Phemexで自分の資産をどう検証しますか？

Proof of Reservesページ にアクセスし、ダッシュボードから確認できるHashed Client IDを入力すると、自分の資産残高とMerkle Treeでの位置が表示されます。

Proof of Reservesの対象資産は？

主要資産およびオンチェーンアドレスがPoR対象で、現物取引の大半をカバー。BTC、ETH、USDT、USDC、USD現物残高、加えてTRON、BNB、XRP、SOL、SUI、AVAXなど。全ての資産はオンチェーンウォレットアドレスで公開裏付けされ、各チェーンで独立検証が可能。これらがPhemex PoR透明化フレームワークの核となっています。

コールドストレージに保管されている資産割合は？

全ユーザー資産の90％以上をコールド・ウォームウォレット（完全オフライン）に保管しています。

攻撃が発生した場合はどうなりますか？

Phemexは多段階防御戦略（ディフェンス・イン・デプス）を採用し、システム・ネットワーク・アクセスポイント各層に攻撃障壁を重ねることで侵害実行を極めて困難にしています。

リスク管理方針としてウォレット分離を徹底し、運用上必要な分のみをホットウォレットに保持。大半の資産は隔離保管で、万一のインシデントでも損失を限定。ユーザー資産に被害が及んだ場合は補償制度等の保護措置を適用し、プラットフォーム規定に則り全額補償します。

Phemexの準備金は誰が監査しますか？

Phemexはサードパーティ監査人への一任でなく、ユーザー自身が資産検証できるセルフプルーフ・システムを採用。加えてCoinGecko・CoinMarketCapにもPoR正当性が認証されています。