KuCoin(クーコイン)は2020年9月に約2億8,500万ドル(約300億円)の大規模ハッキング被害を受けた過去があります。しかし、その後ユーザーへの全額補償を完了し、SOC II Type II・ISO 27001・ISO 27701・CCSSの4冠認証取得、準備金証明の業界トップ透明性スコア獲得など、大幅なセキュリティ強化を実現しました。本記事では、漫画投資部がハッキング事件の詳細から現在のセキュリティ対策、規制面の最新動向まで客観的データに基づいて徹底検証します。
KuCoinは2020年ハッキング事件後に抜本的な改革を断行しました。SOC II Type II・ISO 27001:2022・ISO 27701・CCSSの業界唯一の4冠認証を取得し、CER.liveでAAA・100%セキュリティスコアを獲得。準備金証明ではCryptoQuant年次レポートで透明性スコア96.7(A+)と業界トップを記録しています。一方、米国DOJへの約3億ドル罰金支払いと2年間の米国市場撤退、日本の金融庁未登録という規制面の課題は無視できません。技術的安全性と規制リスクの両面を理解したうえで利用を判断してください。
リラKuCoinってハッキングされた過去があるって聞いたけど、今でも安全に使えるの?
サトシ教授2020年に大規模なハッキング事件があったのは事実だよ。ただ重要なのはその後の対応なんだ。全額補償を実現して、セキュリティ認証も業界で唯一4冠を達成している。ただ規制面では課題があるから、両面をしっかり確認しておこう。
2020年ハッキング事件の公式発表・Chainalysis分析レポート・第三者検証を精査
SOC II・ISO・CCSS各認証の取得状況と内容を公式資料で確認
Hacken監査済みの準備金証明とCryptoQuantスコアを検証
米国DOJ・日本金融庁・EU MiCAの最新動向を整理
2020年ハッキング事件の全容
事件の経緯と被害の全体像
2020年9月25日、KuCoinのホットウォレットを管理する秘密鍵が流出しました。攻撃者はこの鍵を使って、ビットコイン・イーサリアム・ERC-20トークン・XRP・XLMなど複数の暗号資産を不正送金しました。被害総額は約2億8,500万ドル(当時約300億円)に達し、当時の暗号通貨取引所ハッキング事件としては最大規模の一つです。
| 発生日時 | 2020年9月25日 |
|---|---|
| 被害総額 | 約2億8,500万ドル(約300億円) |
| 原因 | ホットウォレットの秘密鍵流出 |
| 犯行グループ | 北朝鮮系Lazarus Group(Chainalysis分析) |
| 被害対象 | BTC・BSV・LTC・ETH・ERC-20・XRP・XLM等 |
| 最終的なユーザー被害 | ゼロ(全額補償完了) |
ハッキングの手口と犯行グループ
セキュリティ分析会社Chainalysisの調査によると、この攻撃は北朝鮮政府と関係するLazarus Groupによるものとされています。犯行グループの特定には、資金洗浄の手口が根拠となりました。具体的には、盗んだ資産をミキサーに分割送金するという、Lazarus Groupが過去に繰り返し使用したパターンと一致していました。
さらに、KuCoin事件ではLazarus Groupがはじめて分散型金融(DeFi)プラットフォームを資金洗浄に活用したことが確認されています。DeFiはKYC不要のプラットフォームが多く、匿名性を高める手段として利用されました。北朝鮮のハッカー集団が国家ぐるみでこうした攻撃を行う目的は、核・ミサイル開発資金の調達にあると専門家は指摘しています。
リラ北朝鮮の国家ハッカーによる攻撃だったの?それは個人では防げないね…
サトシ教授そうなんだ。Lazarus Groupは世界最高レベルのサイバー攻撃能力を持つ国家支援のハッカー集団だよ。個々の取引所が単独で防ぐのは非常に難しい相手だったというのが実情なんだ。
資金回収と全額補償の経緯
KuCoinは事件発覚直後から迅速に対応しました。他の主要取引所・プロジェクトと連携してアドレスを凍結し、法執行機関とも協力して資産の追跡・回収を進めました。事件発覚からわずか3時間以内に不正送金アドレスの凍結措置が取られたことも、被害拡大を防いだ重要な要因の一つです。
KuCoinの迅速な対応と業界横断での連携が奏功した背景には、仮想通貨業界特有の透明性という特徴があります。ブロックチェーン上の取引は全て公開されているため、不正送金アドレスの特定と凍結要請を素早く複数の取引所に行える仕組みがあります。この特性を活かした対応が、被害回収率84%という異例の高い数字につながりました。その結果、盗まれた資産の約84%にあたる約2億3,945万ドルを回収することに成功しました。
盗まれた約2億8,500万ドルのうち、84%(約2億3,945万ドル)を回収しました。回収できなかった約16%(約4,555万ドル)はKuCoin独自の保険基金から全額補填されました。その結果、ユーザーの資産に永続的な損失は一切発生しませんでした。
| 補償方法 | 金額 | 割合 |
|---|---|---|
| 取引所・プロジェクトパートナーとの協力による回収 | 約2億2,200万ドル | 78% |
| 法執行機関・セキュリティ機関による追跡・回収 | 約1,745万ドル | 6% |
| KuCoin保険基金による補填(未回収分) | 約4,555万ドル | 16% |
現在のセキュリティ対策
業界唯一のセキュリティ4冠認証
KuCoinは2025年を通じて、暗号通貨取引所として業界で唯一、4つの主要なセキュリティ・プライバシー認証をすべて取得しました。これは主要取引所の中でKuCoinだけが達成している実績です。
| 認証名 | 取得時期 | 認証内容 |
|---|---|---|
| SOC 2 Type II | 2025年4月 | Decrypt Compliance社による12ヶ月にわたる継続的セキュリティ有効性の監査 |
| ISO 27001:2022 | 2025年5月 | 国際的に最も認知された情報セキュリティマネジメント規格の最新版 |
| ISO 27701 | 2025年9月 | プライバシー情報マネジメントに特化した国際規格 |
| CCSS(暗号通貨セキュリティ標準) | 2025年10月 | 暗号通貨業界専用のセキュリティ規格、主要取引所初取得 |
独立した取引所セキュリティ評価機関CER.liveは、KuCoinにAAA評価と100%のセキュリティスコアを付与しています。これは世界でもトップクラスの取引所としての認定であり、第三者評価機関からも安全性が客観的に証明されています。
具体的なセキュリティ機能
編集部が確認したKuCoinのセキュリティ機能は以下のとおりです。
- コールドウォレット保管 — 顧客資産の大部分をオフライン環境のコールドウォレットで厳重管理
- マルチシグ(複数署名) — 資金の移動に複数の承認者の署名を必要とする仕組みを導入
- マイクロウォレット分散管理 — 資産を複数のウォレットに分散してリスクを最小化
- 多層暗号化通信 — Web・アプリ・APIの全チャネルで最新の暗号化プロトコルを実施
- 2段階認証(2FA) — Google Authenticatorを中心とした多要素認証
- 専用取引パスワード — ログインパスワードとは独立した取引・出金専用パスワード
- アンチフィッシングコード — 公式メールに固有コードを表示してフィッシング詐欺を防止
- 出金ホワイトリスト — 事前登録したアドレスにのみ出金を許可する制限機能
- APIのIPホワイトリスト — 外部ツール連携時に許可IPを限定する不正アクセス防止機能
- バグバウンティプログラム — 最大100万ドルの報奨金で脆弱性発見を外部から促進
リラこれだけセキュリティ対策をしてるなら、2020年のような事件は繰り返さないんじゃない?
サトシ教授対策が大幅に強化されているのは確かだよ。ただ、どんな取引所でも100%安全とは言い切れない。だからこそユーザー側でも2FAの設定や出金ホワイトリストの活用など、自分でできる対策を積み重ねることが重要なんだ。
準備金証明(Proof of Reserves)の透明性
KuCoinは毎月、第三者監査法人Hackenによる検証済みの準備金証明を公開しています。2026年3月時点で、39ヶ月連続の公開記録を継続中です。
| 証明方式 | Merkleツリーベース(個別アカウントの検証が可能) |
|---|---|
| 監査機関 | Hacken(第三者独立監査法人) |
| 最新更新日 | 2026年2月6日(第39回) |
| 公開頻度 | 毎月公開 |
| 準備金比率 | 100%以上を継続維持(BTC・ETHなど主要資産は105%超) |
| 透明性スコア | 96.7点(A+)— CryptoQuant年次レポートで業界1位 |
2026年3月4日、CryptoQuantの年次取引所レポートにてKuCoinは透明性スコア96.7(A+)を獲得し、Binance・Coinbase・Gate.ioを上回って業界トップとなりました。このスコアは公開ウォレット情報、Merkleツリー証明の品質、ユーザー側での個別検証の可否、第三者監査の独立性という4つの評価軸に基づいています。
規制面の課題と最新動向
米国DOJへの約3億ドル罰金と市場撤退
2025年1月28日、KuCoinは米国司法省(DOJ)との和解に合意しました。無免許の資金送金業務運営という罪状で有罪答弁を行い、合計約2億9,740万ドルの罰金・資産没収に同意しました。
| 刑事罰金 | 1億1,290万ドル(約175億円) |
|---|---|
| 資産没収額 | 1億8,450万ドル(約287億円) |
| 合計制裁額 | 約2億9,740万ドル(約462億円) |
| 市場撤退条件 | 米国市場から最低2年間撤退 |
| 創業者の対応 | 2名がそれぞれ270万ドル没収、経営関与を放棄 |
罰金の主な根拠は、KYCプログラムの不備とAMLポリシーの欠如です。DOJは、KuCoinが長年にわたってKYCを実施せず、ダークウェブ市場の収益やランサムウェアの収益を含む数十億ドル規模の不審な取引を処理していたと指摘しています。なお、KuCoinは2023年8月にKYCを導入しましたが、既存ユーザーへの適用が遅れていたことも問題視されました。
日本の金融庁からの警告と現状
2024年11月28日、金融庁は無登録で暗号資産交換業を行っているとして、KuCoin・Bybit・MEXC・Bitget・Bitcastleの5社に警告書を発出しました。さらに2026年3月26日には、金融庁がKuCoinを含む複数社に対し、無登録でのOTC(店頭)デリバティブ取引への勧誘を行っているとして、再度警告書を発出しています。
- KuCoinは日本の金融庁に暗号資産交換業者として未登録
- 2024年11月・2026年3月の2度にわたり金融庁から警告書を受領
- 2025年2月には日本のApp Store・Google PlayからKuCoinアプリが削除
- 日本人がKuCoinを利用すること自体は現時点で違法ではない
- ただし万一のトラブル時に日本法による保護を受けられない可能性が高い
KuCoinは日本の金融庁に暗号資産交換業者として登録されておらず、2024年11月と2026年3月の2度にわたり警告を受けています。日本人がKuCoinを利用すること自体は現時点で直ちに違法とはなりませんが、出金停止・資産凍結などのトラブルが発生した場合、日本の消費者保護法や金融庁の調停制度による保護を受けられない可能性があります。アプリも国内のストアから削除されており、利用継続には自己責任の認識が不可欠です。
EU MiCA認証と世界各地の規制状況
米国・日本での規制問題がある一方、KuCoinはEUでの規制対応を大きく前進させました。2025年11月28日、KuCoin EU Exchange GmbHがオーストリア金融市場庁(FMA)からMiCAR(暗号資産市場規制)ライセンスを取得し、欧州経済領域(EEA)の29カ国で規制準拠サービスの提供が可能になりました。
| 地域 | 規制状況 | 詳細 |
|---|---|---|
| 日本 | 金融庁未登録(警告2回) | 2024年11月・2026年3月に警告書発出・アプリ削除 |
| 米国 | 2年間撤退中 | 2025年1月に約3億ドルの罰金・和解 |
| EU(EEA29カ国) | MiCAR認証取得済み | 2025年11月にオーストリアで認証 |
| オーストラリア | AUSTRAC登録済み | デジタル通貨交換業者として正式登録 |
| その他 | 多数の国で運営 | セーシェル本社、グローバル展開 |
リラ米国で約3億ドルの罰金を払って、日本でも2度警告されて…それでも使い続けて大丈夫?
サトシ教授規制問題は確かに深刻だよ。ただ、罰金を支払い和解したことでDOJとの法的問題は決着している。EUではMiCA認証も取得していて、規制対応の方向性は見えてきている。日本では自己責任での利用という点は変わらないけど、セキュリティと規制を分けて考えることが大切だね。
Trust Project:20億ドルの安全投資計画
2026〜2028年の安全強化ロードマップ
KuCoinは2025年4月にドバイで開催されたTOKEN2049カンファレンスで「Trust Project」を発表しました。3年間(2025〜2027年)で20億ドル(約3,000億円)をセキュリティ・コンプライアンス・透明性の強化に投資する計画です。
- コールドストレージのアップグレード — 保管体制の高度化とハードウェアセキュリティの強化
- AIを活用した不正検知システム — リアルタイムの取引監視と異常検知の精度向上
- グローバルコンプライアンス体制 — 各国規制への対応を担う専門チームの拡充
- BitGoとの機関投資家向け決済連携 — オフエクスチェンジ決済の提供でリスク管理を高度化
- 準備金証明の継続・拡充 — 月次公開と対象資産の拡大
2025年はKuCoinのセキュリティ史上、最も変革の大きな1年でした。4冠認証の達成、CER.liveのAAA評価取得、CryptoQuant透明性スコア業界1位の獲得、EU MiCAR認証取得、そして米国DOJとの和解完了。これらはすべて同じ年に起きた出来事です。
CEO・BCウォン氏のコメント
「私たちの20億ドルのTrust Projectは、開示と規制整合の最高水準を満たす、レジリエントでセキュリティファーストのプラットフォームを構築するという私たちのコミットメントを体現しています。」— KuCoin CEO、BC Wong氏(2026年)
ユーザーが実践すべきセキュリティ対策
自分でできる7つの安全対策
取引所側のセキュリティがどれだけ高くても、ユーザー側の対策が不十分では意味がありません。編集部が推奨する7つの対策を優先度順に紹介します。
Google Authenticatorを設定し、ログイン・取引・出金すべてで認証を要求。SMSよりもアプリ認証のほうが安全性が高い。
ログインパスワードとは別の取引専用パスワードを設定。異なる文字列を使い、使い回しは厳禁。
KuCoin公式メールに固有のコードが表示されるようになり、フィッシング詐欺メールを即座に見分けられる。
事前に登録したウォレットアドレスにのみ出金を許可。万が一アカウントが侵害されても資金の流出を防止できる。
長期保有する資産はハードウェアウォレットに移す。KuCoinには取引に使う分だけを置くのが安全な運用方法。
検索エンジンからアクセスするとフィッシングサイトに誘導されるリスクがある。公式URLをブックマーク登録して常にそこからアクセスしよう。
外部ツールとAPI連携する場合は、接続を許可するIPアドレスを制限して不正アクセスを防止する。
リラこれって全部やったほうがいいの?難しそうだけど…
サトシ教授少なくともランク1と2は絶対にやっておいて。2FAと取引パスワードだけで、フィッシングやパスワード漏洩による被害のほとんどが防げるよ。10分もあれば設定できるから、今日中にやっておこう。
他の主要取引所とのセキュリティ比較
主要取引所のセキュリティ実績比較
KuCoinのセキュリティを他の主要取引所と比較することで、相対的な位置づけを理解できます。
| 比較項目 | KuCoin | Binance | Coinbase | Bybit |
|---|---|---|---|---|
| ハッキング被害の補償実績 | 全額補償済み(2020年) | 全額補償済み(2019年) | なし | なし(2022年被害あり) |
| セキュリティ認証数 | 4冠(業界唯一) | ISO 27001のみ | SOC 2のみ | ISO 27001のみ |
| CER.live評価 | AAA(100%) | 非公開 | AA | AA |
| 準備金証明スコア | 96.7(A+・業界1位) | 非公開 | 非公開 | 非公開 |
| 日本金融庁登録 | 未登録(警告2回) | 未登録(警告あり) | 未登録 | 未登録(警告あり) |
セキュリティ認証の充実度と準備金証明の透明性という観点では、KuCoinは主要取引所の中でも最高水準にあります。一方で、日本の金融庁への未登録という点は、同様に未登録の海外取引所と共通する課題です。2024年以降は国内取引所との距離感が広がっている点を踏まえて、保有資産の一部は国内登録取引所に置く分散管理が賢明です。
ハッキングリスクとしての技術的安全性という観点では、KuCoinは他社を上回る取り組みをしています。セキュリティ認証4冠や準備金証明の透明性を考えると、単純な技術的信頼性という意味ではむしろ業界最高水準といえます。しかし、「法的なリスク」という観点では日本居住者にとって不利な環境が続いており、この2点を切り離して考えることが冷静な利用判断には欠かせません。
KuCoinの安全性まとめと利用判断の基準
KuCoinの安全性を「技術的セキュリティ」と「規制リスク」の2軸で整理すると、非常に対照的な結果が見えます。技術面は業界トップを誇る一方、規制面は日本においても主要海外取引所の中でも厳しい状況下にあります。
KuCoinを使う際のメリットとデメリット
- SOC II Type II・ISO 27001・ISO 27701・CCSSの4冠認証は業界唯一の実績
- CER.liveでAAA・100%セキュリティスコア、第三者評価で最高水準
- 準備金証明39ヶ月連続100%以上・透明性スコア業界1位(96.7点)
- 2020年ハッキング被害でユーザー損失ゼロを達成した補償実績
- 日本の金融庁に未登録で2024年・2026年の2度警告を受けている
- 米国市場から2年間撤退中(2025年1月DOJ和解による)
- 国内アプリストアから削除済みのためウェブアクセスが前提
- 2020年ハッキング被害2.85億ドルは全額ユーザーへ補償完了
- SOC II Type II・ISO 27001・ISO 27701・CCSSの4冠認証は業界唯一
- 準備金証明は39ヶ月連続100%以上、CryptoQuantで業界1位(96.7点)
- 米国DOJとの和解(約3億ドル)は成立、EU MiCAR認証も取得
- 日本の金融庁には未登録で2度警告、利用は自己責任