Krakenが恐喝被害：犯罪グループが2,000人の顧客データを脅迫

Krakenが2,000人の顧客データを巡る組織的恐喝に直面。CSO Nick Percecoは「支払いも交渉も一切しない」と断言。資産への影響はなく、連邦当局と連携して捜査を進行中。日本の取引所利用者が知るべき人的セキュリティリスクとは。

2026年4月13日、KrakenのCSO（最高セキュリティ責任者）Nick Percecoは、X（旧Twitter）にセキュリティに関する重大な声明を投稿した。暗号資産取引所として世界的な信頼を誇るKrakenが、外部からのシステム侵害ではなく、内部関係者による情報漏洩と、それに続く組織的な恐喝行為に直面していることを明らかにしたのだ。

日本国内でも利用者を持つ大手取引所への脅迫は、業界全体のセキュリティ体制に改めて警鐘を鳴らしている。

Krakenへの恐喝：内部犯行とデータ漏洩の経緯

犯罪グループは、Krakenのサポートチームに勤務していた2名の元従業員を介して内部情報にアクセスした。1人目は2025年2月に発覚し、もう1人はより最近になって特定された。2名はいずれも顧客サポートシステムへの不正アクセスを行い、内部画面を記録。その映像をダークウェブの犯罪フォーラムで流通させた。

Krakenがこれら従業員のアクセス権を剥奪した後、犯罪グループは要求をエスカレートさせた。映像を公開されたくなければ金銭を支払え、という典型的な恐喝手法だ。影響を受けたアカウントは約2,000件で、これはKraken全ユーザーの約0.02%に相当する。対象となったすべての顧客にはすでに個別に連絡が取られている。

技術的なサーバー侵害やスマートコントラクトの脆弱性悪用ではない。攻撃のベクターは「人間」だった。

Nick Percecoの断固たる拒絶声明

Percecoはそのスタンスを明確にした。交渉なし、支払いなし。声明の一部を原文のまま引用する：

Our systems were never breached; funds were never at risk; we will not pay these criminals; we will not ever negotiate with bad actors.

Kraken Security Update

We are currently being extorted by a criminal group threatening to release videos of our internal systems with client data shown if we do not comply with their demands. It's important to start with the most important points: our systems were never…
— Nick Percoco (@c7five) April 13, 2026

Krakenは複数の司法管轄にまたがる連邦法執行機関と連携して捜査を進めており、Percecoは「容疑者を特定し、訴追するに足る十分な証拠がある」と述べた。捜査の進捗に影響を与えないよう、詳細は明かさない方針だ。

この対応は、2025年にCoinbaseが直面した事案と同じ構図を持つ。あのケースでは犯罪者がサポートスタッフを買収し、2,000万ドルの要求を突きつけたが、Coinbaseはこれを拒否して当局に通報した。Krakenも同じ道を選んだ。

取引所セキュリティの新たな脅威：インサイダー恐喝の系統的パターン

Krakenは今回の件が孤立した事案ではないと強調している。同社は業界パートナーと連携し、暗号資産取引所のみならず、ゲーミングや通信業界にも広がるインサイダー採用を専門とする犯罪ネットワークの特定を進めている。

Galaxy Digitalも同時期に、隔離された開発ワークスペース内で類似のインシデントを封じ込めたことを公表。顧客データおよび資産への影響はなかったとしている。

日本国内では、金融庁（FSA）が暗号資産交換業者に対して内部管理体制の強化を継続的に求めており、日本暗号資産取引業協会（JVCEA）も会員業者へのガイドライン整備を進めている。今回のKraken事案は、技術的なセキュリティ投資だけでは不十分であることを改めて示す事例だ。

システムの技術的セキュリティは維持された
顧客資産への直接的なリスクはなかった
脆弱点は人的要素——サポートスタッフのアクセス権管理だった
犯罪グループはダークウェブを通じて映像を流通させた

Kraken事案から読むべき今後のポイント

2026年4月14日時点で、映像は公開されていない。Krakenの運営は通常通り継続されており、顧客資金は安全だ。しかし捜査は継続中であり、業界全体が注視している。

bitFlyer、Coincheck、SBI VC Tradeなど国内取引所を利用する日本の投資家にとって、このケースが示す教訓は明確だ。取引所のセキュリティを評価する際、技術的なハッキング耐性だけでなく、人的管理体制——採用審査、アクセス権の付与・剥奪プロセス、内部監査の仕組み——まで確認することが重要になっている。暗号資産の雑所得課税（最高55%）という税負担を負いながら資産を預ける以上、預け先の内部統制は無視できないリスク要因だ。

Krakenの暗号資産取引所のセキュリティに関する最新動向は引き続き追跡していく。

に

Francesco Campisi

更新日 4月 14, 2026