仮想通貨流出の恐れ？コインベースの秘密鍵要求に批判

コインベースが一部の利用者に対し秘密鍵（シードフレーズ）の入力を求める移行手順を案内しており、セキュリティ専門家から強い懸念の声が上がっています。同社は「コマース（Commerce）」の旧式ウォレットの閉鎖に伴い、2026年3月31日までに資産を引き出すよう求めています。

対象となる利用者は、ビットコイン（BTC）などの資産を移動させるため12単語の復元フレーズを表示させ同社の専用サイトに入力する必要があります。コインベースはこのウォレットが自己管理型であり、同社側でフレーズや資金にアクセスできないため利用者が自ら復元を行う必要があると説明しています。

しかし、この手法に対しブロックチェーンセキュリティ企業スローミスト（SlowMist）の創設者は、公式サイトが秘密鍵をプレーンテキストで入力させることの危うさを指摘。同社のCISO（最高情報セキュリティ責任者）も、ユーザーに秘密鍵の送信を促す行為は極めて不適切であると批判しています。

我很疑惑 Coinbase 为什么会有这样的页面，直接让用户输入明文助记词做资产恢复？如此不安全的行为，匪夷所思…@coinbase 我都差点以为子域名被黑了…cc @im23pds https://t.co/NsBd223xWY pic.twitter.com/oBrp5UGQ8U

— Cos(余弦)😶‍🌫️ (@evilcos) March 19, 2026

著名な調査家ZachXBT氏は、公式がこのような手順を導入することで攻撃者が同様の手口を模倣したフィッシング詐欺やソーシャルエンジニアリングを行いやすくなると警告しました。

So basically Coinbase has an official page live threat actors can use to target Coinbase users via seed phrase social engineering if they wanted? pic.twitter.com/oLfBNrMrhp

— ZachXBT (@zachxbt) March 19, 2026

同氏の調査によると、同社の利用者はソーシャルエンジニアリング詐欺により年間3億ドル以上の損失を出しています。

コインベースは過去2025年5に従業員が賄賂を受け取り顧客データを流出させた事件や2021年の不正アクセス被害を報告しています。セキュリティの教訓として「秘密鍵は誰にも教えず、サイトに入力しない」ことが周知されている中で、公式の対応が仮想通貨業界の防犯意識を低下させるリスクが懸念されています。