Vlightup、不正送金リスクを「位置×時刻×デバイス」で数値化する「GeoRisk」β版を提供開始

Vlightup株式会社は、暗号資産取引所やステーブルコイン決済事業者向けに、不正送金リスクをリアルタイムでスコアリングするエンジン「GeoRisk」β版の提供を開始しました。防いだ損害額を可視化することで、セキュリティ投資のROIを明確にし、金融商品取引法改正への対応も支援します。

暗号資産業界が直面する二つの課題

見出し

1 暗号資産業界が直面する二つの課題
- 1.1 史上最大のハッキング被害と認証方式の限界
- 1.2 金融商品取引法改正で義務化される内部統制強化
2 セキュリティを「コスト」から「投資」へ転換する「GeoRisk」β版
- 2.1 主な機能
3 技術的基盤と今後の展開
- 3.1 PoCパートナー企業を募集
- 3.2 ロードマップ
4 Vlightup株式会社会社概要
- 4.1 ソース元

暗号資産業界は現在、大規模なハッキング被害と法改正による内部統制強化の義務化という二つの大きな課題に直面しています。

史上最大のハッキング被害と認証方式の限界

2025年2月には、海外大手暗号資産取引所のByBitから約2,250億円（約15億ドル）が流出する事件が発生しました。米連邦捜査局（FBI）の調査によると、攻撃者はウォレット管理ソフトウェアの開発者を欺き、正規のUIを書き換えることで、担当者が正しい送金先と信じて承認した瞬間に不正送金を実行したとされています。これは、パスワードや二段階認証を突破するのではなく、「正規の手順を踏んだままだまされた」前例のない攻撃手法でした。

Chainalysis社の調査では、暗号資産ハッキングの年間被害額は2025年に約5,100億円（約34億ドル）に達し、ByBit事件が史上最大規模であったことが報告されています。これらの被害は、暗号が破られたのではなく、正規の人物が正規のデバイスで正規の操作をした瞬間に不正が行われたという共通点を持ちます。従来の認証方式では、操作者の確認はできても、その操作が「今どこにいる誰が正規の環境から行っているか」までは確認できない構造的な盲点がありました。

金融商品取引法改正で義務化される内部統制強化

金融庁は、こうしたハッキング被害の深刻化を受け、2026年の通常国会に金商法改正案を提出する方針を固めました。改正後は、暗号資産取引所に対し、第一種金融商品取引業者と同等水準の内部統制と、証券取引等監視委員会による公的監督が適用される見通しです。

改正によって求められる主な対応としては、技術的安全管理措置の実装義務や内部統制体制の文書化・証跡保存、証券取引等監視委員会による実地調査への対応などが挙げられます。GeoRiskは、これらの二つの危機に同時に対応するソリューションとして開発されたものです。

セキュリティを「コスト」から「投資」へ転換する「GeoRisk」β版

GeoRiskは、取引のたびに「この取引は危険か」を0〜100のスコアで即時判定するエンジンです。スコアに応じて取引を自動承認、追加認証、または自動ブロックし、ブロックした不正送金の推定被害額を累積でダッシュボードに表示します。これにより、経営層はセキュリティ投資の費用対効果（ROI）を直感的に把握することが可能となります。

GeoRiskが「危険」と判断する主なシグナルは以下の3点です。

場所の異常: 普段の操作場所とGPS・IPの位置が大きく異なる場合（例：いつもは東京から操作するのに、今日は海外のIPアドレス）。
時刻・行動の異常: 行動パターンが突然変化した場合（例：深夜2時に普段の300倍の金額を初めての送金先へ送金）。
デバイスの異常: 見慣れない端末やブラウザからのログインなど、機器の不一致。

これらの要素を組み合わせることで、正しいパスワードが入力された場合でも検知が困難であったByBit型の攻撃を捉えることができるとされています。

主な機能

GeoRiskの主な機能は以下の通りです。

損害額ダッシュボード: ブロックした不正出金・不正送金の推定被害額を累積・月次で表示し、セキュリティROIを経営層が一目で把握できるようにします。
GeoRiskスコア（0〜100）: 送金・出金・ウォレット操作ごとにリアルタイムで判定し、200ミリ秒以内に応答します。
攻撃パターン分析: 地理的異常、時間帯異常、デバイス不一致を可視化し、過去の攻撃履歴を蓄積・分類します。
コスト対効果レポート: 「防止した推定損害額÷セキュリティ投資額」をROI指標として自動算出します。監査法人向けレポートにも対応しています。
内部統制ログ: 「誰が・いつ・どこで・何を」を暗号学的に証明可能な形で自動記録し、改ざん防止済みの監査証跡として活用できます。
API統合: 既存取引システムへの統合が可能で、認証成功率99.5%以上、レイテンシ200ms以内を目標としています。

技術的基盤と今後の展開

GeoRiskは、Vlightupが提供するセキュリティ基盤「TRUSTAUTHY」のコア技術である「GeoAuth（位置認証）」の上に構築されています。GeoAuthは、ユーザーの「今どこにいるか」「今何時か」「どのデバイスを使っているか」の3情報を暗号学的に組み合わせ、それらが正規の値と一致した場合のみ取引を認証するシステムです。これにより、たとえ認証コードが盗まれたとしても、場所・時刻・デバイスが揃わなければ不正送金はできないとされています。

今後は、機械学習（AI）とルールベース評価のハイブリッドモデルでリスクをスコアリングし、AIがユーザーごとの過去の行動パターンを学習することで、既知の攻撃パターンだけでなく、前例のない新手口も「行動の異常」として検知することを目指しています。

PoCパートナー企業を募集

Vlightupは、GeoRisk β版の実環境での有効性を検証するPoCパートナー企業を複数社募集しています。募集期間は2026年4月から同年7月頃まで、PoC実施期間は2026年4月から2027年1月までの約6ヶ月間です。対象企業は暗号資産取引所、ステーブルコイン決済事業者、カストディアン・ウォレット事業者、監査法人・コンサルティングファームなどです。β版提供期間中の利用料は無償となっています。

ロードマップ

同社は、2027年度にGeoRiskの正式版をリリースし、エンタープライズ向けに金商法改正施行に対応した内部統制パッケージとして展開する計画です。2028年度以降は、AIによる行動プロファイリングのさらなる高度化とグローバル展開、FATFトラベルルール対応の国際標準SBT連携を目指すとしています。

皆本祥男代表取締役は、「セキュリティは単なるコストではなく投資であるという厳然たる事実が、2025年の約5,100億円に達した暗号資産ハッキング被害総額によって示されました。GeoRiskの損害額ダッシュボードは、これまで数字で見えなかったセキュリティ投資の効果を可視化し、2026年の金商法改正が求める内部統制強化に応えるソリューションです。PoCを通じて、取引所や決済事業者の皆様とともに、セキュリティの新たな価値を実証していきたい」とコメントしています。