OpenAIの新サイバーセキュリティ戦略「Daybreak」が示す、暗号資産業界の課題と解決策

AI研究企業のOpenAIは5月11日、新たなサイバーセキュリティイニシアチブ「Daybreak」を発表した。この取り組みは、ソフトウェアの脆弱性を攻撃前に発見し、検証・修正を支援することを目的としている。同社はこれを「resilient by design（設計段階からの耐性強化）」と呼び、AIを活用したコードレビューや脅威モデリング、パッチ検証、依存関係分析を通じて、セキュリティをソフトウェア開発の早期段階から組み込むアプローチを提唱している。

暗号資産業界にとって、この動きは重要な示唆を与える。暗号資産では、わずか1ブロックの脆弱性が即座に資金損失につながる可能性があるため、従来のセキュリティ対策の限界が浮き彫りになっているからだ。

暗号資産業界の現状：監査中心のセキュリティモデルの限界

暗号資産業界のセキュリティ対策は、これまで主に以下のような流れで行われてきた。

• 事前監査（pre-launch audit）
• 展開後のモニタリング
• 資金移動時の対応
• 事後検証（post-mortem）
• 脆弱性パッチの適用
• 補償交渉
• ガバナンス議論

しかし、このモデルには重大な欠陥がある。脆弱性が明るみになるのは、すでに資金が移動した後であり、展開から攻撃までの「窓」が最もリスクが高く、防御が手薄な期間となっているのだ。

TRM Labsの「2026 Crypto Crime Report」によると、2025年には150件近いハッキングや悪用により、28億7,000万ドル（約4,300億円）が不正に流出。そのうち22億ドル（約3,300億円）は、インフラ攻撃によるものだった。具体的には、鍵の漏洩、ウォレット基盤の侵害、特権アクセス、フロントエンドの脆弱性、コントロールプレーンの侵害などが主な攻撃経路となっている。

一方、コード自体の脆弱性を狙った攻撃は3億5,000万ドル（約520億円）で、全体の12.1%にとどまった。このデータは、従来の監査中心のセキュリティ対策が、必ずしもすべてのリスクをカバーできていないことを示唆している。

監査済みプロトコルでも被害は止まらず

Hackenのデータによると、2026年の第1四半期だけで、Web3業界では44件のインシデントにより4億8,200万ドル（約720億円）が失われた。このうち6件は監査済みのプロトコルが対象であり、そのうちの1件は18回もの監査を受けていたにもかかわらず、2億8,200万ドル（約420億円）の被害に見舞われた。この事例では、攻撃者はコントラクト層を迂回し、運用・人的インフラを直接狙ったことが明らかになっている。

CertiKの最新レポート「Wrench Attack Report」によると、2026年1月から4月にかけて、世界で34件の物理的強要攻撃（wrench attacks）が発生し、前年同期比41%増を記録した。推定損失額は1億100万ドル（約150億円）に上り、このままのペースで推移すれば2026年は年間130件に達する可能性があるという。

CertiKは、攻撃対象が鍵を保持する人間、マルチシグの署名者、クラウドコンソールへのアクセス権を持つエンジニアへとシフトしていると指摘する。これは、攻撃ベクトルがスマートコントラクトのレベルをはるかに超えていることを示している。

「resilient by design」が暗号資産に求めるもの

Daybreakのアプローチを暗号資産に適用すると、セキュリティ対策はプロトコルのライフサイクル全体を通じて継続的に行われる必要がある。OpenAIは、AIがコードベース全体を横断的に分析し、微細な脆弱性を特定・修正の検証を行う機能を、日常的な開発・展開ワークフローに組み込むことを目指している。

暗号資産においては、特に以下の領域でAI支援型の恒常的なセキュリティ対策が必要となる。

• AI支援型セキュアコードレビュー：展開前・展開中を通じて実施され、ロジックエラーやアクセスコントロールの不備、安全でない前提条件をメインネットに到達する前に検出
• 継続的な脅威モデリング：プロトコルアップグレードやオラクル依存関係、ブリッジ設計、ガバナンスメカニズムの変更が新たな攻撃面を生まないかを評価
• 依存関係・オラクルリスク分析：サードパーティのライブラリやオラクルがもたらすリスクを常に監視し、脆弱性が発見された際には即座に対応

これらの取り組みにより、暗号資産業界は、展開から攻撃までの「窓」を最小化し、被害を未然に防ぐ体制を整えることができる。従来の監査中心のモデルではカバーしきれなかった人的・運用面のリスクにも対応し、より包括的なセキュリティ体制を構築することが可能となる。