ビットコインの取引は、設計上透明である。活動は可視化される一方、本人の身元は本質的に開示されないという、仮名性のもとで稼働している。だがユーザーに紐づく本人特定データが蓄積されるにつれ、その透明性は個人のセキュリティリスクへと変わりつつある。
データ露出
規制当局によるデータ収集、KYC要件、繰り返される大規模なデータ侵害、そしてソーシャルエンジニアリングが重なり、暗号資産保有者に対する物理的攻撃の増加に寄与している。しばしば「レンチ攻撃」と呼ばれるこれらの事件は、脅迫や身体的暴力によって秘密鍵を入手したり、取引を強要したりするものだ。この傾向は、業界の規制のされ方に潜む脆弱性を浮き彫りにしており、とりわけフランスが焦点として浮上している。
GART Researchが2014年から2026年2月までに公的に記録された暗号資産を標的とする物理的攻撃309件を分析したところ、急激な増加が確認された。2025年だけでも世界で76件が記録され、2024年から77%増加した。少なくとも47.2%の事案で拷問または身体的暴力が確認され、51.5%で武器が使用されており、強要は例外ではなく常態となっている。死亡に至った事件は19件で、データセット全体では24人が死亡し、全体の致死率は6.2%だった。記録された事案数で見ると、2025年は記録上最も暴力的な年であり、研究者は、過小報告により実際の件数はさらに多い可能性が高いと警告している。
すべての数値は、報道時点で入手可能な公的記録に基づく。
ビットコイン保有者は、他にないほど深刻なリスク特性に直面している。強要下で秘密鍵が渡された瞬間、取引は取り消せない。チャージバックも、口座凍結も、組織的な回収メカニズムも存在しない。プロトコルの称賛される特性であるこの「最終性」は、現実世界での強要と結びつくことで負債へと転じる。
早期警戒シグナルとしてのフランス
フランスは、このリスクがいかに速く拡大し得るかを示している。2025年にフランスで記録されたビットコイン関連の物理的攻撃は20件で、2017年から2024年までの合計4件と比べて大幅に増えた。2026年2月上旬の時点で、すでに追加で8件が記録されており、増加が沈静化ではなく継続していることを示唆する。世界全体に占める欧州の比率は約40%へ上昇し、2024年の約22%から増加した。
いくつかの事案は特に残虐だった。2025年1月には、ハードウェアウォレット企業Ledgerの共同創業者デイビッド・バランドと妻が誘拐され、身代金を引き出すために指を切断されたと報じられている。別の事件では、主たる保有者ではなく、パートナーや親、年配の親族が標的とされた。単一のデータソースは特定されていないものの、この事例は、複数の個人情報露出の接点から標的化のための情報が組み上げられ得ることを示している。
家族を狙う
Wizardsardineの共同創業者で、被害者の何人かを個人的に知るケビン・ロアエックはForbesにこう語った。
「これらの攻撃は機会的なものではない。被害者は無作為に選ばれておらず、複数の事例で加害者が本来入手できないはずの個人情報にアクセスしていたように見える。たとえその一部が古かったり誤っていたりしてもだ。腐敗した当局者が機微情報を売ったことは分かっているし、その一方で、当局がさらなるデータを求め続けるなか、フランスではデータベースが漏えいしている。創業者とその家族は、比較的知名度の低い人物でさえ標的にされているため恐怖を感じている。誘拐は家族や同僚にまで及ぶことが多く、防御は極めて難しい。これは組織犯罪だ」
フランスで起きたGhalia C事件は、当局者が機微な個人データにアクセスし販売したとの疑惑を受けて、監視の目を強めた。集約された本人確認・金融データセットは、リスクを軽減するどころか内部者脅威を持ち込み得るという懸念を一段と強めている。
アナリストは、ビットコイン価格の上昇と物理的攻撃頻度の間に相関があることを観測している。価格上昇は犯罪者にとっての報酬を増大させるためだ。2025年には、世界の確認事例全体で推定4000万ドルが失われた。組織化されたグループは、機会的な暴力よりも情報に依存する傾向を強めており、影響力を最大化するために保有者に関係する人物を狙うことが多い。
2026年初頭のデータでは、最初の6週間だけで12件の記録がある。2025年高値から大きく価格が調整したにもかかわらずだ。セキュリティ研究者は、価格調整後も攻撃が続くことは、暗号資産を標的とする物理犯罪が、価格依存の現象にとどまらず犯罪パターンへ移行しつつあることを示唆すると述べている。
知名度の低い起業家をめぐる別の事案では、狙われた人物が不在だったため、攻撃者は公開情報と漏えいデータを用いて家族を標的にした。進行中の刑事手続きと安全上の懸念を理由に匿名を求めた関係者は、こう語る。
「誘拐犯が来たとき、狙われた人物は自宅にいなかった。そこで彼らは押し入って、代わりにパートナーとパートナーの母親を連れ去った。写真を撮り、その画像を使って身代金を要求した。ほぼ30時間にわたり拘束し、圧力と威嚇を加えようとしていた。彼らが頼った情報は、公的記録と漏えいデータベースを突き合わせたものに見えたが、その多くは古いか不正確だった。公的な可視性が限られた人物でさえ、いまや標的にされており、恐怖が高まっている」
この事案は、不完全あるいは古いデータであっても暴力的な標的化を可能にし得ることを示しており、データ収集が脅威モデルの中心になることを物語る。
インテリジェンスとしてのデータ
2026年1月、フランスの暗号資産税プラットフォームWaltioで起きた侵害により、メールアドレスや納税記録を含む、数万人のユーザーの個人情報および金融データが流出した。フランス当局は、こうした漏えいが、集約された本人確認および資産情報を攻撃者に提供することで、なりすまし、恐喝、物理的標的化を助長し得ると警告した。
同じ頃、ダークウェブのマーケットプレイスで、フランスの暗号資産保有者数千人に関連するとされるデータセットが提供されていると報じられた。Ghalia Cのような事例で提起された、機微情報が許可された経路を超えて流通し得るという懸念を補強するものだ。
これらの事件は孤立したものではなく、大規模プラットフォームにおける類似の侵害では、現実世界の身分証明書類がブロックチェーンに紐づく金融活動と結び付けられてきた。ひとたびこうしたデータセットが流通すれば、それは標的リストとして機能する。
規制とリスク
規制枠組みは、この問題を増幅させるリスクを抱える。OECDの暗号資産報告フレームワークは、数十の法域にまたがるサービス提供者に対し、ユーザーの取引、残高、本人識別情報を税務当局へ報告することを求めている。
英国では近時、政策担当者と業界の専門家の議論において、詐欺対策のためのより強固な本人確認、KYC枠組みの拡大、国境を越えた連携強化が重視される傾向が強まっている。同時に、回復支援の実務家は、管轄の制約が根強く、取引が追跡可能であっても被害者が直面する困難が大きいことを指摘した。この対比は、中心的な緊張関係を示している。監督と回復の改善を意図した措置は、露出・集約・悪用され得る機微データの量を増やす可能性もあるのだ。これは極めて機微なデータを集中させ、税務執行を超えるリスク特性を生み出す。
Forbesで以前論じたとおり、業界参加者は、不可逆でパーミッションレスな資産の強制報告が、規制の意図とユーザー安全の間にミスマッチを生むと警告してきた。部分的または不正確なデータでも監視の引き金になり得る一方、完全なデータセットは単一障害点となる。
個人の安全
Gart Researchは、これを独立した物理的セキュリティの脅威モデルだと説明する。データセット全体では、記録された事案の少なくとも58.4%で拘束が確認されており、被害者は縛られる、監禁される、あるいは外出を妨げられた。「住宅侵入」や「ソーシャルエンジニアリング」に分類される事件の多くは、運用上は誘拐のシナリオである。シナリオのラベルは攻撃の開始方法を示すにすぎず、その法的・機能的性質を示すものではない。伝統的金融では詐欺保護や口座回復が存在するのに対し、ビットコインでは最終的な責任が個人に置かれる。このリスクは保管形態によって異なる。カストディアルな保有は機関のカウンターパーティーリスクを持ち込む一方、詐欺保護や回復メカニズムを含み得る。自己保管のビットコインは仲介者を排し、コントロールと強要のリスクの双方を個人に集中させる。
ソーシャルエンジニアリングはリスクを増幅させる。多くの攻撃は暴力の前に欺瞞に依存し、偽の取引、緊急性を装ったメッセージ、信頼できる仲介者などを利用する。法執行機関の報告とコミュニティ分析は、主流のメッセージングプラットフォームを通じて、若年層が区分された役割にリクルートされることが多いと示唆しており、組織犯罪への参入障壁を下げている。正確なリクルートの仕組みは事案により異なるが、このパターンはデジタル連携で動く犯罪活動に関する欧州の傾向と整合する。
ビットコイン保有者にとって、緩和策は法的保護よりも運用上のセキュリティに依存する傾向を強めている。具体的には、データ露出の最小化、保有状況の不用意な開示の回避、オンチェーンの透明性がオフチェーンの身元情報とどう相互作用するかの理解が含まれる。ハードウェアウォレットと自己保管は引き続き不可欠だが、規律あるプライバシー慣行なしには、それだけでは十分ではない。
個人が支払う代償
政策レベルでの教訓は、不快だが明確である。ビットコインを、保有者資産としての性質を考慮せずにデータ豊富な金融商品として扱えば、意図せぬ帰結を生む。不可逆な資産の周辺に機微情報を集中させてもリスクは消えず、むしろ機関から個人へと再配分される。その変化は、強要を伴う物理的攻撃の増加に反映されている。監督の名のもとにプライバシーが侵食され続けるなら、コストは規制効率ではなく個人の安全という形で、ますます支払われることになる。
