Binanceを脅かす大規模セキュリティ脆弱性

世界最大の暗号資産取引所Binanceは、2026年初頭から深刻な矛盾を抱えた状況に直面している。一方では機関投資家向けビジネスの強化に成功しつつある一方、他方では個人投資家のデータセキュリティに関する警告が高まり、Richard Teng CEOが率いる企業の長期的な目標に影を落とすリスクが生じている。日本においてもbitFlyer、Coincheck、SBI VC Tradeといった国内取引所が充実しているものの、Binanceを利用する日本人投資家は依然として多く、今回の事態は国内ユーザーにとっても無視できない問題だ。

機関投資家トレーディングとOTC取引の爆発的成長

今年の最初の数カ月で、BinanceのOTC（店頭取引）部門は前例のない勢いを見せた。1月と2月の2カ月間だけで、プラットフォームは2025年通年のOTC取引総量の25%に相当する取引高を記録した。

この急速な成長は市場の成熟を反映している。大口投資家や機関投資家は、大規模な取引を処理するためにプライベートな執行チャネルをますます求めるようになっている。Richard Teng CEOの説明によれば、こうした機関はスリッページを防ぎ、公開板に急激な変動をもたらさないよう、OTCデスクが提供する"ディープ・リクイディティ"（深い流動性）を好む。これにより自社の運用戦略を保護できるという。

サイバーセキュリティ警告：150万ユーザーのデータが標的に

しかし、この完璧に見える機関投資家向けの外観の裏で、懸念すべき運営上の問題が浮上している。3月28日、サイバーセキュリティプラットフォームVECERTは警告を発した。PexRatというハンドルネームを使用するサイバー犯罪者が、Binanceユーザー150万人の個人情報を含む非公開データベースを販売に出したというのだ。

流出したデータには、顧客を深刻なリスクにさらす機密情報が含まれている：

• 氏名、メールアドレス、電話番号。
• KYC（本人確認）の認証状態。
• 最終ログイン時のIPアドレスおよび使用デバイスの"ユーザーエージェント"情報。
• 二段階認証（2FA）の状態 — SMS、メール、専用認証アプリのいずれを使用しているかの情報を含む。

これらの情報が流出すると、SIMスワップ攻撃や高度なフィッシングキャンペーンにユーザーが晒されるリスクがある。金融庁（FSA）が暗号資産取引所に対して厳格なセキュリティ基準を求めている日本では、海外取引所のセキュリティ管理への目線が一層厳しくなっている。

スクレイピングとCAPTCHAバイパス：攻撃の技術的手法

VECERTの技術分析によると、今回の事案はBinanceの内部サーバーへの直接的な侵害ではなかった。代わりに、高度なクレデンシャルスタッフィングとスクレイピング作戦の結果だったという。

当社のAnalyzerプラットフォームは、今年の暗号資産セクターにおける最も重大な脅威の一つを検知しました。脅威アクターPexRatが、Binanceユーザー約150万人に影響を与える非公開データベースを販売に出したと、VECERT AnalyzerがXで発表した。

攻撃者はログインインターフェースや一部のプラットフォームAPIにおけるCAPTCHAシステムなどのセキュリティ機構を回避または悪用することに成功したとみられる。これにより、Binanceの防御システムにブロックされることなく、継続的な自動リクエストの流れが可能となった。

この事案は、セキュリティ研究者Jeremiah Fowlerが1月に発表した別の重大報告に続くものだ。同報告では、"インフォスティーラー"型マルウェアを通じてBinanceに関連する約42万件の認証情報が露出していたことが明らかにされていた。日本の暗号資産業界では、JVCEA（日本暗号資産取引業協会）がセキュリティガイドラインの遵守を求めており、こうした海外取引所でのインシデントは国内規制議論にも影響を与える可能性がある。

Binanceのセキュリティに突きつけられた真の試練

結論として、今回の一連の出来事はBinanceのセキュリティ体制に対する重要な試験台となっている。取引所が機関投資家の資本を引き付け続ける一方、グローバルシステムの流動性を支える個人投資家の信頼は、ますます巧妙化する自動化攻撃の重圧のもとで揺らいでいる。雑所得として最大55%の税率が課される日本では、暗号資産への信頼性確保は法制度上の整備だけでなく、取引所のセキュリティ水準にも強く依存している。データスクレイピングを食い止めるBinanceの能力が、2026年の戦略的成功を左右する鍵となるだろう。