不正送金リスクを「位置×時刻×デバイス」でリアルタイムに数値化ーーリスクスコアリングエンジン「GeoRisk」β版 提供開始
Vlightup株式会社
暗号資産取引所・ステーブルコイン決済事業者向け セキュリティROI可視化ソリューション― 防いだ損害額を経営ダッシュボードで表示、金商法改正対応の内部統制証跡も自動生成 PoC企業を同時募集 ―
【ポイント】
・ 2025年、暗号資産ハッキング被害は年間約5,100億円(約34億ドル)に達し、史上最大のByBit事件(約2,250億円)が発生
・ 金融庁は2026年通常国会に金商法改正案を提出。暗号資産取引所に第一種金融商品取引業者相当の内部統制を義務化する見通し
・ GeoRiskは「今日、セキュリティがいくらの損害を防いだか」をダッシュボードで即時可視化し、セキュリティをコストから投資へ転換
・ 位置・時刻・デバイスの3要素でリアルタイムにリスク判定。ByBit型の「正規UIを偽った不正送金」にも対応
・ β版は無償提供。PoCパートナー企業複数社を2026年7月頃まで募集中
Vlightup株式会社(本社:東京都千代田区、代表取締役:皆本祥男、以下「当社」)は、暗号資産取引所およびステーブルコイン決済事業者向けに、リスクスコアリングエンジン「GeoRisk」β版の提供を2026年4月13日より開始しました。GeoRiskは、不正送金を検知・ブロックするだけでなく、「防いだ損害の推定金額」を経営ダッシュボードに表示することで、セキュリティ投資のROIを経営層が直感的に把握できる初のソリューションです。
[画像:
https://prcdn.freetls.fastly.net/release_image/143485/16/143485-16-f47b9d9bacacc0b036f23fe7b3812472-1280x720.png?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
あわせて、本機能の実環境での有効性を検証するPoC(概念実証)パートナー企業の募集を開始します。金商法改正を見据えた内部統制強化を急務とされている事業者様のご参加をお待ちしております。
危機1. 史上最大のハッキング被害と「防ぎきれなかった」認証方式
2025年2月、海外大手暗号資産取引所のByBitから約15億ドル(約2,250億円)が流出しました。FBIの調査によれば、攻撃者はウォレット管理ソフトウェアの開発者をだまし、画面に表示されるUIを密かに書き換え、担当者が「正しい送金先」と信じて承認ボタンを押した瞬間に不正送金を実行しました。パスワードも二段階認証も突破されたのではなく、「正規の手順を踏んだままだまされた」という前例のない攻撃手法でした。
Chainalysis社の調査によれば、暗号資産ハッキングの年間被害額は以下のとおり推移しています。
[表1:
https://prtimes.jp/data/corp/143485/table/16_1_715ed284692f8a1ffa14f63a52dcb89b.jpg?v=202604131015 ]
これらの被害の共通点は、暗号が破られたのではなく、正規の人物が正規のデバイスで正規の操作をした瞬間に不正が行われたという点です。従来の認証方式は誰が操作したかは確認できても、今どこにいる誰が正規の環境から操作しているかを確認できない構造的な盲点を持ちます。
危機2. 金商法改正による内部統制強化の義務化
こうしたハッキング被害の深刻化を背景に、金融庁は2026年の通常国会に金融商品取引法(金商法)の改正案を提出する方針を固めました。改正後は暗号資産取引所に対し、第一種金融商品取引業者と同等水準の内部統制と、証券取引等監視委員会による公的監督が適用される見通しです。
[表2:
https://prtimes.jp/data/corp/143485/table/16_2_fd04a9386cf8c69aa62517c20c31e963.jpg?v=202604131015 ]
GeoRiskは、まさにこの2つの危機に同時に対応するソリューションとして開発されました。
GeoRiskは、取引のたびに「今この取引は危険か?」を0~100のスコアで即時判定するエンジンです。スコアに応じて取引を自動承認・追加認証・自動ブロックし、ブロックした不正送金の推定被害額を累積でダッシュボードに表示します。
GeoRiskが「危険」と判断する3つのシグナル(例)
1. 場所の異常:「いつもは東京から操作するのに、今日は海外のIPアドレス」などGPS・IPの位置が通常と大きく乖離
2. 時刻・行動の異常:「深夜2時に普段の300倍の金額を初めての送金先へ」など行動パターンの突然の変化
3. デバイスの異常:「見たことのない端末・ブラウザから突然ログイン」など機器の不一致
これら3要素を組み合わせることで、「正しいパスワードを入力した」だけでは検知できないByBit型の攻撃を捉えます。
主な機能一覧
[表3:
https://prtimes.jp/data/corp/143485/table/16_3_de136054de4526dba1468ce59763a14b.jpg?v=202604131015 ]
想定ユースケース
- 【取引所の出金・送金承認】高額出金時に位置・デバイス・時刻の異常を検知し、リスクスコアに応じた多段階承認を自動発動- 【ホットウォレット保護】ByBit型の「正規UIを偽った不正送金」に対し、「正規の場所・正規のデバイス」からの操作かを暗号学的に検証- 【ステーブルコイン決済の不正検知】大口決済・クロスボーダー送金時のリスクスコアリングで異常トランザクションをブロック- 【金商法対応の内部統制整備】技術的安全管理措置の実装証跡・監査ログを自動生成し、規制当局への報告資料として活用
GeoRiskは、当社のセキュリティ基盤「TRUSTAUTHY」のコア技術「GeoAuth(位置認証)」の上に構築されています。GeoAuthは、ユーザーが「今どこにいるか」「今何時か」「どのデバイスを使っているか」の3情報を暗号学的に組み合わせ、それらが正規の値と一致した場合のみ取引を認証します。
従来の認証との違い(わかりやすく言うと)
従来型MFA: 「正しいパスワード+正しいワンタイムコード」を入力した人を認証する
→ コードが盗まれたら防げない
TRUSTAUTHY:「正しい場所に・正しい時刻に・正しいデバイスで」いる人を認証する
→ コードが盗まれても、場所・時刻・デバイスが揃わなければ不正送金はできない
GeoRiskはこのGeoAuthによる物理的コンテキスト検証に加え、今後、機械学習(AI)とルールベース評価のハイブリッドモデルでリスクをスコアリングします。将来的にAIがユーザーごとの過去の行動パターンを学習し、「このユーザーにとって今回の取引が不自然かどうか」を判定することを目指します。これにより、既知の攻撃パターンだけでなく、前例のない新手口も「行動の異常」として検知できます。
当社は、GeoRisk β版の実環境での有効性を検証するPoCパートナー企業を募集しています。金商法改正を見据えた内部統制整備を急務としている事業者様のご参加をお待ちしております。β版提供期間中の利用料は無償です。
[表4:
https://prtimes.jp/data/corp/143485/table/16_4_31f8aa338de015b0a82269ac40ff0406.jpg?v=202604131015 ]
PoCで検証する主な項目
- 損害額可視化の経営インパクト:ダッシュボードがセキュリティ投資判断に与える影響の定量評価- リスクスコアの検知精度:誤検知率5%以下 / 異常検知率95%以上を目標- API統合性:既存取引システムへのシームレス統合・レイテンシ影響(200ms以内)の検証- ByBit型攻撃への耐性:セッショントークン窃取・UI改ざん型攻撃に対する位置認証の有効性- 金商法対応への活用:技術的安全管理措置の実装証跡・監査ログとしての有用性、規制当局報告への活用可能性
[表5:
https://prtimes.jp/data/corp/143485/table/16_5_2330dd693388cd5a268e6e67163bb6b4.jpg?v=202604131015 ]
「2025年にはByBitから約2,250億円が流出し、暗号資産ハッキングの年間被害総額は約5,100億円に達しました。この数字が示しているのは、セキュリティは単なるコストではなく投資である、という厳然たる事実です。
しかし、取引所や決済事業者の経営層にとって、その投資効果はこれまで数字で見えませんでした。GeoRiskの損害額ダッシュボードはこの構造的課題を解決します。同時に、2026年の金商法改正が求める内部統制強化に、技術面と証跡面の両方から応えるソリューションです。
PoCを通じて、取引所や決済事業者の皆様とともに、セキュリティの新たな価値を実証していきたいと考えています。」
― Vlightup株式会社 代表取締役 皆本 祥男(公認会計士・公認不正検査士)
Vlightup株式会社
代表者:代表取締役 皆本 祥男
所在地:東京都千代田区丸の内1-11-1 パシフィックセンチュリープレイス丸の内 13F
事業内容:ブロックチェーンとGNSSを活用したセキュリティプラットフォーム「TRUSTAUTHY」の開発・提供
URL:
https://trustauthy.jp/
本件に関するお問い合わせ先
Vlightup株式会社 広報担当
Email: connect@vlightup.jp
プレスリリース提供:PR TIMES
記事提供:PRTimes
