2026年5月12日、EthereumはClear Signingを正式に有効化した。これは、ウォレットの署名画面に表示されていた難解な16進数文字列を、誰でも読める自然言語テキストに置き換える標準規格だ。Ledger、Trezor、MetaMaskはいずれも初日から統合を完了している。つまり、ユーザーが「何に署名しているか」を署名前に理解できる環境がはじめて整った。
これは些細な技術更新ではない。Scam Snifferの報告によると、2026年1月から3月にかけて、デジタル署名を悪用したフィッシング詐欺により627万ドルが盗まれ、被害者は4,741人に達した。前四半期比で207%増という数字だ。攻撃の核心は単純で、ユーザーが「理解できないものに署名する」という盲点を突くものだった。Clear Signingはまさにその盲点を標的にしている。
Clear Signing前後で何が変わったか
主要データ
- 2026年Q1 デジタル署名詐欺被害額: Scam Snifferによると627万ドル
- フィッシング被害者数: 4,741人
- 前四半期(2025年Q4)比増加率: 207%増
- Clear Signing統合済みウォレット: Ledger、Trezor、MetaMask
Clear Signing以前、LedgerなどのハードウェアウォレットがEthereumの署名要求を表示する際、画面には「0x095ea7b3000000000000000000000000....」のような16進数文字列が並ぶだけだった。一般ユーザーがこのコードを解読できる可能性はほぼゼロに等しい。フィッシング詐欺師はこの仕組みを熟知していた。Webインターフェース上では無害に見えるトランザクションを提示しつつ、ウォレット画面には判読不能な16進数だけが表示されると知りながら、悪意あるコントラクトへの無制限承認をユーザーに署名させ、後から資産を根こそぎ奪うという手口だ。
Clear Signingの導入後、同じ署名要求に対してウォレットはこう表示する。「Approve USDC spending: unlimited, to contract 0x1a2b...」。プロトコル名は検証済みで、金額は平文で表示される。この一つの変更が、盲目的な承認リスクを大幅に低減させる。詐欺がゼロになるわけではない。攻撃者は手口を変えてくる。だが、注意深いユーザーを騙すための攻撃コストは確実に上がる。
Ethereum Foundationに関連する公式アカウントはX上でこの標準規格をいち早く告知していた。
Ethereal news weekly #24
,Ethereal news (@EtherealnewsHQ) May 22, 2026
🎟 @EFDevcon Devcon 8 early bird tickets
🧑💻 @ApeFramework ApeWorX collective: nonprofit for Python dev tooling
🧪 @ethPandaOps glamsterdam-devnet-4 launchedhttps://t.co/O0HUJ8dGKu
2026年の暗号資産詐欺、攻撃手法の分布
言い換えると、暗号資産詐欺の攻撃手法別分布,2026年Q1(推定%)
出所: Scam Sniffer・Chainalysis・SpazioCrypto集計・2026年5月
暗号資産詐欺の攻撃手法別分布,2026年Q1(推定%)
出所: Scam Sniffer · Chainalysis · SpazioCrypto集計 · 2026年5月
このグラフが示す通り、Clear Signingが優先的な対策となる理由は明確だ。Scam Sniffer・Chainalysisの集計によると、「ブラインド署名・署名フィッシング」は2026年Q1に記録された詐欺の約38%を占める。手口の独創性という点では目立たないが、攻撃者にとっての「効率の良さ」という点では群を抜く。悪意あるコントラクトを仕込んだクローンサイト一つで、何千人ものユーザーが自分が何を承認したか気づかないまま被害を受けられる。第2位はウォレットポイズニング、つまりトランザクション履歴に類似アドレスを紛れ込ませる手口だ。
Clear Signingはブラインド署名問題を本当に解決するか
完全な解決ではない。そう主張する人は単純化しすぎている。Clear Signingが有効な状態でも、具体的な限界が3つ残る。
第一に、この規格はユーザーが使っているdAppが、ウォレット側でトランザクションを明確に解釈するために必要なメタデータを正しく実装している場合にのみ機能する。作りが雑なdAppや急ごしらえのプロトコルでは、依然として不完全な情報しか表示されない可能性がある。第二に、ウォレット画面の表示が正しくても、ユーザーが「正規のアプリを使っている」と信じ込まされている高度なソーシャルエンジニアリングには無力だ。第三に、Ethereum Foundationが標準仕様を公開しているものの、DeFiプロトコル側での採用にはコードの更新と時間が必要だ。
それでも、暗号資産ウォレットガイドが繰り返し伝えてきた基本原則は変わらない。インターフェースがどれだけ信頼できそうに見えても、「理解していないトランザクションには絶対に署名しない」こと。Clear Signingは「何に署名しているか」を理解しやすくしてくれる。判断そのものの代わりにはならない。
最近最も話題を集めた事例は、ZachXBTが記録したものだ。G. Loveは2026年4月11日、MacのApp Storeから偽のLedger Liveアプリをダウンロードし、約42万ドル相当の5.92 BTCを失った。資金はKuCoinに移動したことが確認されている。この事例ではClear Signingは役に立たない。攻撃のベクターはアプリそのものであって、不可解なトランザクションへの署名ではないからだ。ハードウェアウォレットユーザーへのルールはこれからも変わらない。ソフトウェアは必ずメーカーの公式サイトから入手し、App Storeや第三者リンクからは絶対にダウンロードしないこと。
Ledgerは2025年から2026年にかけて2件のデータ侵害を受けている。2025年4月と2026年1月(後者は決済プロセッサのGlobal-e経由)で、約100万人の顧客の氏名や連絡先が流出した。このデータはパーソナライズされたフィッシングキャンペーンに悪用されており、Clear Signingではこうした攻撃を防ぐことはできない。自分の名前、住所、Ledgerから来たように見えるメッセージが届いたとき、最後の防衛線はウォレットではなく、ユーザー自身の警戒心だ。PeckShieldやCertiKの最新アラートをもとに、SpazioCryptoは暗号資産セキュリティ分野の主要な脅威情報を継続的に追っている。
Clear Signingは長年待ち望まれた具体的な改善だ。次の課題は金額を指定した承認(限定承認)の標準化で、これは現時点でもほとんどのDeFiインターフェースに存在しない機能だ。2026年においても「unlimited approve」に署名することは、Clear Signingが有効であっても依然として自己責任のリスクを伴う。日本の暗号資産ユーザーは、金融庁(FSA)と日本暗号資産取引業協会(JVCEA)が推奨するウォレット管理のベストプラクティスに照らしながら、このセキュリティ改善を自分のオンチェーン行動に活かしてほしい。
