暗号資産におけるAIエージェントのセキュリティ: リスク、攻撃手法、対策

暗号資産業界は驚異的なペースでAIエージェントを導入してきました。162,000以上のエージェントがオンチェーンに登録され、Coinbaseのx402プロトコルは7,500万件のマシン間取引を処理し、Gartnerは2026年末までにエンタープライズアプリケーションの40%がAIエージェントを搭載すると予測しています。しかし、この急速な普及は、悪意ある攻撃者がすでに悪用している攻撃対象領域の拡大を生み出しています。

暗号資産におけるAIエージェント活動の規模

何が問題になり得るかを検討する前に、AIエージェントが暗号資産市場にどれほど深く浸透しているかを理解する必要があります。

AIを搭載した自動取引ボットは、2026年の暗号資産取引量全体の推定65-80%を占めています。特にSolanaの分散型取引所では、JupiterとJitoの検出データによると、AI駆動のアービトラージボットが全取引量の40-50%を占めています。

これらのエージェントを支えるインフラは大幅に成熟しました。CoinbaseはAgentic Walletsとx402プロトコルをローンチしました。x402は長い間使われていなかったHTTP 402「Payment Required」ステータスコードを、マシン間決済に再活用するものです。AIエージェントが有料リソース（APIコール、コンピューティングパワー、データフィード）を必要とする際、サーバーが支払い指示を返し、エージェントのウォレットが自動的に取引を決済します。

2026年4月時点で、x402はBaseとSolana上で7,500万件以上の取引を処理しています。x402 V2で導入されたセッションサポートにより、すべてのAPIコールに対する完全なオンチェーン決済が不要になり、高頻度のエージェント操作がコスト効率の良いものになっています。

AIエージェントから4,500万ドルが盗まれた経緯

2026年1月、組織的な攻撃がAI取引エージェントインフラの3つの重大な脆弱性を露呈させました。

メモリポイズニング（記憶汚染）。 攻撃者はエージェントの長期記憶ストアを破壊し、取引判断を操作しました。エージェントのコンテキストに偽データを注入することで、即座にアラートを発生させることなく将来の取引に影響を与えることができました。

プロンプトインジェクション攻撃。 巧妙に作成された入力がエージェントの動作を乗っ取り、意図しないアクションを実行させました。利回り最適化用に設計されたエージェントが、突然、攻撃者が管理するアドレスに資金を送信し始めました。

プロトコル権限の悪用。 過度に広範な権限を持つエージェントが、大規模な不正送金を実行しました。ある事例では、エージェントが261,000以上のSOLトークン（2,700万-3,000万ドル相当）を外部ウォレットに転送しました。

これらは特殊な攻撃手法ではありませんでした。自律性が高すぎるエージェント、不十分な入力検証、意思決定層と実行層の分離の欠如という根本的な設計上の欠陥を悪用したものです。

MEVの軍拡競争が激化

標的型の攻撃に加えて、AIエージェントはMEV（Maximal Extractable Value, 最大抽出可能価値）の抽出を高度な軍拡競争に変え、一般的なトレーダーに損害を与えています。

AI搭載ボットは動的にビッド/アスク価格を調整し、最適なガス料金を計算し、複雑なトランザクションバンドルを編成します。協調するボットネットワークが毎日数千回のサンドイッチ攻撃を実行し、DEXでスワップを行う一般ユーザーを標的にしています。その結果、リテールトレーダーはスワップごとに推定1-5%をMEVボットに奪われており、多くの場合それに気づいていません。

より新しい脅威としてLLMルーター攻撃が出現しています。これはユーザーとAIモデルの間に位置し、機密データを傍受して改ざんするサービスです。研究者が428のルーターをテストしたところ、9つが悪意のあるコードを積極的に注入し、17つが無許可で認証情報にアクセスしていました。ある事件では、1つの暗号資産ウォレットから50万ドルが流出しました。

この問題を解決するために何が構築されているか

業界は手をこまねいているわけではありません。3つの主要なインフラプロジェクトが、異なるレイヤーでAIエージェントのセキュリティに取り組んでいます。

ERC-8004: オンチェーンエージェントID

2026年1月29日にEthereumメインネットでローンチされたERC-8004は、AIエージェント向けの標準化されたアイデンティティフレームワークを提供しています。3か月足らずで、登録エージェント数は337から22のネットワークにわたる162,000以上に成長しました。

この標準は3つのコンポーネントで構成されています。

• Identity Registry（IDレジストリ）。 ERC-721ベースの永続的なオンチェーンハンドルで、各エージェントを検証可能なアイデンティティに紐付けます。
• Reputation Registry（レピュテーションレジストリ）。 オンチェーンおよびオフチェーンのフィードバックシグナルにより、各エージェントの信頼スコアを構築します。
• Validation Registry（検証レジストリ）。 独立したバリデーターによるチェックと記録を行い、エージェントの行動を監査可能にします。

貢献者にはMetaMask、Ethereum Foundation、Google、Coinbaseのエンジニアが含まれています。この標準はアカウンタビリティチェーンを構築します。すべてのエージェントのアクションが、登録されたアイデンティティまで追跡可能になります。

KYA（Know Your Agent）フレームワーク

KYAは、人間向けのKYCに相当する、自律型エージェント向けのコンプライアンス標準として台頭しています。このフレームワークは以下を検証します。

• エージェントのアイデンティティ。 エージェントが自称する通りの存在であることを確認します。
• 権限のスコープ。 エージェントが実行を許可されたアクションを定義します。
• ヒューマンスポンサーシップ。 自律型エージェントとその人間のオペレーター間のリンクを確立します。

高リスクシナリオでは、KYAは「ステップアップ」ライブネスチェックを発動し、人間のオーナーからの生体認証確認を要求します。これにより、ルーティン操作における自律実行のスピードの利点を維持しながら、大規模な取引に対するセーフティネットが構築されます。

Coinbase Agentic Walletsとガードレール

CoinbaseのAgentic Walletsは標準的なウォレット機能を超え、プログラマブルなセキュリティ制約をウォレットインフラに直接組み込んでいます。

• セッションキャップ。 セッションごとの最大支出制限により、暴走したエージェントが資金を枯渇させることを防ぎます。
• トランザクションサイズ制限。 個別のトランザクション上限により、単一の大規模な不正送金を阻止します。
• 事前設定された権限。 エージェントはホワイトリストに登録されたプロトコルとアドレスのみと対話できます。

これらのガードレールは、4,500万ドルの侵害につながったまさにその脆弱性、つまりエージェントの過剰で制約のない権限に対処しています。

規制の問題

規制当局も対応を進めていますが、その進度には差があります。英国では、FCAのSenior Managers and Certification Regime（SM&CR）がAI駆動の意思決定にすでに適用されており、エージェントを展開する金融機関がそのアクションに対する全責任を負います。

カリフォルニア州のAB 316は2026年1月から施行されており、自律的な動作を賠償責任の抗弁として使用できないことを明確に定めています。AIエージェントが金銭的損害を引き起こした場合、その責任はあなたにあります。

現在形成されている法的コンセンサスは、本人-代理人（プリンシパル-エージェント）の法理に従っています。AIエージェントを展開する主体が、その自律的なアクションおよび契約に対する全責任を負います。これにより、企業はエージェントを大規模に展開する前に堅牢なガードレールを実装する強いインセンティブが生まれています。

CyberArkの調査によると、推定450億のマシンID（APIキー、サービスアカウント、ボットアカウント）がすでにグローバルで稼働しており、エージェントのアカウンタビリティはこの10年間で最も差し迫った規制上の課題の一つです。

投資の観点

AIエージェントトークンを評価する投資家にとって、セキュリティの状況は二層構造の市場を生み出しています。

セキュリティに注力するインフラトークンは、長期的な価値に向けてより有利なポジションにあります。Bittensor（TAO）やNEAR（IronClawセキュアエージェントランタイム搭載）などのプロトコルは、実際のインフラニーズに対応しています。GrayscaleとBitwiseはスポットTAO ETFの申請を行っており、コンピューティングレイヤーへの機関投資家の関心を示唆しています。

エージェントプラットフォームトークンは、より高い実行リスクに直面しています。Virtuals ProtocolがArbitrumに拡張し、Fetch.ai（FET）がArtificial Superintelligence Allianceの一部である一方、これらのプラットフォームはエージェント操作を大規模に保護できることを実証する必要があります。

注目すべき重要な指標は、取引量やトークン価格ではなく、オンチェーンエージェント活動と攻撃による損失の比率です。正当な活動とセキュリティインシデントの間のギャップが拡大することが、インフラの成熟を示すシグナルとなります。

今後の展望

暗号資産におけるAIエージェント経済は転換点にあります。インフラは存在しています。7,500万件のx402取引と162,000の登録エージェントが実際の普及を証明しています。しかし、セキュリティレイヤーがそのペースに追いついていません。

2026年1月の4,500万ドルの侵害は警告でした。ERC-8004、KYA、ウォレットレベルのガードレールは第一世代のソリューションですが、意味のある効果を発揮するには広範な普及が必要です。エージェントの能力だけでなく、エージェントのセキュリティを大規模に解決するプロトコルが、DeFiの次のフェーズを定義するでしょう。

トレーダーと投資家にとって、実用的な結論は明確です。AIエージェントはなくなりませんが、リスクもなくなりません。プログラマティックなガードレールを備えたエージェントを使用し、権限を確認し、制約のないウォレットアクセスを持つエージェントはセキュリティ上の責任として扱ってください。

免責事項: この記事は情報提供のみを目的としており、金融アドバイスを構成するものではありません。AIエージェントトークンには大きなボラティリティと実行リスクがあります。投資判断を行う前に、必ずご自身で調査を行い、資格のあるファイナンシャルアドバイザーにご相談ください。

関連記事:

• AIエージェント: 暗号資産の2026年ブレイクアウトナラティブ
• AIエージェントがDeFiを支配する
• 2026年のDeFiガバナンスリスク
• Base Layer 2の優位性