2026 年 2 月 10 日,金融廳公佈了《加強加密資產交易產業網路安全措施的政策(草案)》。 2025年12月10日,金融服務理事會「加密資產系統工作小組」編寫了一份報告,從自助、互助、公助三個角度提出了對策。
為了自救,我們將要求所有加密資產交易公司從2026營業年度起進行網路安全自我評估(CSSA),並考慮提高操作指南的標準。在互助方面,我們將加強自律組織體系,並鼓勵參與JPCrypto-ISAC等資訊共享組織。公共援助已著手繼續區塊鏈「國際聯合研究」項目,在整個金融業實施「三角牆」網路安全演習(目標是三年內所有公司都參與),並在2026年對多個組織進行基於威脅的滲透測試(TLPT)。
【編輯部評論】
金融廳目前的政策應該被視為對加密資產產業面臨的「結構性危機」的回應,而不是簡單地加強監管。
2024年,加密資產竊盜金額將達到22億美元,其中13.4億美元,即61%,是由北韓相關駭客造成的。是的。到2025年,情況將更加嚴重,總額將超過34億美元,僅與北韓相關的金額就超過20億美元。其中包括2025年2月史上最大洩密事件Bybit事件(折合14.6億美元),以及2024年5月國內DMM比特幣事件(折合482億日圓)。
特別值得注意的是攻擊方法日益複雜。傳統上“放在冷錢包裡就安全了”然而,這個神話已經被打破了。在Bybit事件中,攻擊者滲透了多重簽章錢包平台「Safe」的開發環境,並將惡意程式碼嵌入到簽章UI中。簽名者認為他們遵循了正確的步驟,而實際上他們正在簽署將資金發送到攻擊者地址的交易。
這是“供應鏈攻擊”這種方法不是直接攻擊系統,而是透過損害外包公司或開發工具提供者來間接達到目標。日本金融廳在其政策草案中強調「加強包括外包公司在內的整個供應鏈的網路安全管理」就反映了這一現實。
自救、互助、公助三級救助的意義也很明確。由於單一公司無法單獨應對日益演變的攻擊方式,透過 JPCrypto-ISAC 等資訊共享組織進行全產業協作變得至關重要。 JPCrypto-ISAC於2025年1月剛成立,旨在將在其他金融業行之有效的ISAC模型應用到加密資產領域,並即時分享威脅資訊。
可能還需要有關 TLPT 的其他資訊。這是金融廳自2018年以來一直向主要金融機構推廣的實用測試方法。從攻擊者的角度識別您的組織的弱點。將於 2026 年針對加密資產交易所實施的 TLPT 示範專案將是一個驗證整個組織彈性的機會,不僅包括技術方面,還包括人員和流程。
本政策建議公眾意見徵求截止日期為 3 月 11 日。最終版本的製定將反映行業利益相關者的意見。金融廳計劃於 2026 年向國會提交的《金融工具和交易法》修正案的關聯性也在考慮之中,在製定將加密資產定位為金融產品的法律框架的同時,還將加強安全基礎設施。
擬議政策背後的背景是「保護我國國民財富」的國家安全視角。日美韓聯合聲明中明確指出了北韓系統性竊取加密資產作為取得外匯手段的事實。有必要超越單純保護經營者的範疇,而從因應國際網路犯罪的角度來看。
對於加密資產產業來說,這項政策短期內意味著合規負擔增加,但從長遠來看,將提高整個產業的信任度,為成長奠定良好的基礎。加強投資人保護,應該創造一個讓更多一般投資人安心參與市場的環境。
【術語解釋】
網路安全自我評估(CSSA)
金融機構自我評估其組織網路安全狀況的工具。目的是直觀地展示您公司在行業中的地位並鼓勵自主改進。金融廳也正在為其他金融業實施這項措施。
自律機構
制定並監督行業組織自願制定的規則和標準的組織。在加密資產領域,日本加密資產交易協會(JVCEA)扮演這個角色。
三角洲牆
金融廳每年進行的網路安全演習,旨在提高整個金融業的事件回應能力。這個名字來自Delta,意思是“自助、互助、公援”,以及Wall,意思是防禦。
基於威脅的滲透測試 (TLPT)
重現真實攻擊者所使用的策略和技術的測試,以實際驗證組織的安全狀況。不僅要識別技術方面的弱點,還要識別整個組織(包括人員和流程)中的弱點。也稱為紅隊測試。
冷錢包
一種在不經常連接到互聯網的電子設備上記錄和管理傳輸加密資產所需的簽署金鑰的方法。據說比網路熱錢包更安全。
供應鏈攻擊
一種不直接攻擊目標系統,而是危害外包公司或開發工具提供者的供應鏈,並以此為立足點間接達到目標的攻擊方式。
多重簽名錢包
需要多個簽署金鑰授權才能轉移加密資產的錢包。即使單一金鑰洩露,也能防止資產被盜的加強安全性的機制。
北韓相關駭客
網路攻擊組織疑似由北韓系統性實施,目的是取得外幣。 Lazarus Group 和 TraderTraitor 等多個組織參與了加密資產竊盜活動。
[參考連結]
金融廳《加強加密資產交易產業等網路安全的政策(草案)》(外部)
2026 年 2 月 10 日公佈的擬議政策的官方頁面。您可以下載本文件和摘要資料的 PDF 版本。
JPCrypto-ISAC(日本加密資產資訊安全推進協會)(外部)
資訊共享組織於2025年1月成立。分享網路攻擊訊息,促進全行業協調應對。
日本加密資產交易協會(JVCEA)(外部)
加密資產交易所的自律機構。自律規則的製定、監督和會員的審核。
金融服務委員會“加密資產系統工作小組”(外部)
討論於2025年7月開始,並於同年12月10日撰寫報告。可以查看會議記錄和講義。
[參考文章]
2024 年加密資產失竊損失將達 22 億美元(外部)
透過 Chainaanalysis 進行分析。在 22 億美元總額中,61% 是與北韓相關的駭客所為。
2025年加密資產竊盜總額將超過34億美元,北韓駭客將是最大(外部)
據悉,2025年損失總額將超過34億美元,其中與北韓相關的損失將達20億美元以上。
《Bybit駭客事件分析:突破冷錢包與多重簽名的巧妙技術》(外部)
史上最大的Bybit事件(14.6億美元)的技術分析以及供應鏈攻擊方法的解釋。
金融機構基於威脅的滲透測試趨勢(外部)
畢馬威 (KPMG) 的 TLPT 評論。金融廳自 2018 年以來推行的實用測試方法的詳細資訊。
成立綜合法人協會JPCrypto-ISAC,旨在加強加密資產產業的安全性(外部)
JPCrypto-ISAC 正式公告,成立於 2025 年 3 月。解釋了成立背景、目的和活動。
2025年北韓相關駭客竊取的加密資產將超過20億美元(外部)
關於北韓系統性利用加密資產竊盜作為取得外幣手段的報告。
金融服務局發布加強加密資產交易所網路安全的政策草案(外部)
擬議倡議政策公佈後,行業媒體進行了報告。詳細講解自助、互助、公助三層辦法。
[編者後記]
對於那些擁有加密資產或正在考慮未來投資加密資產的人來說,金融廳的最新政策不是別人的問題。我們該如何接受冷錢包也不完美的現實呢?
在選擇交易所時,您不僅會檢查費用和所處理的股票,還會檢查安全狀況嗎?從公共資訊中可以收集到的資訊數量驚人,例如 JPCrypto-ISAC 的參與狀況以及第三方是否進行了安全審計。
您想再看看您正在使用的交易所的安全措施嗎?我希望這個消息能幫助我們共同思考這個問題。