位置×時刻×デバイスで不正送金を数値化するGeoRiskβ
ベストカレンダー編集部
2026年4月13日 11:57
GeoRisk β版提供開始
開催日:4月13日
📅 カレンダーに追加:Google|iPhone/Outlook
位置と時刻、デバイスを組み合わせて不正送金リスクを数値化する新潮流
2026年4月13日、Vlightup株式会社は暗号資産取引所およびステーブルコイン決済事業者向けのリスクスコアリングエンジン「GeoRisk」β版の提供開始を発表した。GeoRiskは取引のたびに0から100までのスコアでリスクを即時判定し、ブロックした不正送金の推定被害額を経営ダッシュボードに表示することで、セキュリティ投資の効果を可視化する点が最大の特徴である。
同時にPoCパートナーの募集を2026年7月頃まで行うことが明らかにされた。β版は無償提供で、PoC実施期間は2026年4月から2027年1月までを想定している。金商法改正により内部統制の強化が求められる局面で、位置情報や時刻、端末という物理的コンテキストを用いて不正を防ぐアプローチは、既存の認証方式の盲点を補い得る取り組みだ。
なぜ今、位置×時刻×デバイスなのか:業界が直面する二つの課題
暗号資産業界は近年、重大なハッキング被害を繰り返している。特に2025年2月に発生したByBitからの流出は約15億ドル、円換算で約2,250億円に上り、当該事件の手口は従来のパスワードや二段階認証を破るものではなく、管理者が正規のUIと思い込んで承認ボタンを押した瞬間に不正送金が行われるという新種のものだった。
Chainalysisの調査に基づく被害推移は以下の通りで、2025年の年間被害総額は約5,100億円に達している。これらの事例に共通する点は、暗号そのものが破られたのではなく、正規の人物が正規の操作をした瞬間に不正が実行されたことであり、従来の認証方式が「誰が操作したか」は確認できるものの、「どこで、その時に、どのデバイスから」行われたかを組み合わせて検証する仕組みが不足していた点にある。
| 年度 | 被害総額(円換算) | 主な特徴・事件 |
|---|---|---|
| 2022年 | 約5,700億円(約38億ドル) | DeFiブリッジへの集中攻撃。Ronin Bridge約930億円等 |
| 2023年 | 約2,550億円(約17億ドル) | 前年比54%減。ただしDeFiへの攻撃は継続 |
| 2024年 | 約3,300億円(約22億ドル) | 秘密鍵漏洩・運用リスク起因が過半数。前年比21%増 |
| 2025年 | 約5,100億円(約34億ドル) | ByBitから約2,250億円流出(史上最大) |
もう一つの重大な課題は規制面である。金融庁は2026年通常国会に金融商品取引法の改正案を提出する方針を固めており、改正後は暗号資産取引所に対して第一種金融商品取引業者と同等の内部統制および監督が適用される見通しだ。具体的には技術的安全管理措置の実装義務、内部統制体制の文書化・証跡保存、実地調査対応などが求められる可能性が高い。
現状の課題としては、技術的安全管理措置の程度の基準が不明瞭である点や、「誰が・いつ・どこで・何を」を暗号学的に証明する手段が整っていない点、監査や規制対応のためにセキュリティ対策の効果を定量的に説明できない点などが挙げられる。GeoRiskはこれら二つの危機に同時に対応するために設計されたソリューションである。
GeoRisk β版の機能と技術的仕組み
GeoRiskは取引毎に0から100のスコアでリスクを即時判定し、スコアに基づいて自動承認・追加認証・自動ブロックを行う。ブロックした取引の推定被害額は累積され、ダッシュボード上で月次単位などに集計されるため、経営層がセキュリティの効果をROIとして直感的に把握できる点が特徴だ。
判定は位置(GPS/IP)、時刻(行動時間帯)、デバイス(端末・ブラウザの識別)という三つのシグナルを組み合わせて行われる。これにより、ByBit型の正規UIを偽る攻撃や、セッショントークン窃取などの手口に対しても有効な検知が期待される。
主な検知シグナルの例
- 場所の異常:通常の操作地域と大きく異なるIPやGPS情報を検出
- 時刻・行動の異常:普段と異なる時間帯や金額・送金先への突発的な操作を検出
- デバイスの異常:未知の端末やブラウザ、セッション情報の不一致を検出
主な機能一覧
| 機能 | 内容・効果 |
|---|---|
| 損害額ダッシュボード | ブロックした不正出金の推定被害額を累積・月次で表示。セキュリティROIを可視化 |
| GeoRiskスコア(0〜100) | 送金・出金・ウォレット操作ごとにリアルタイム判定。応答は200ミリ秒以内を想定 |
| 攻撃パターン分析 | 地理的異常・時間帯異常・デバイス不一致を可視化し、過去の攻撃履歴を蓄積・分類 |
| コスト対効果レポート | 防止した推定損害額÷セキュリティ投資額でROIを自動算出。監査法人向けレポート対応 |
| 内部統制ログ | 「誰が・いつ・どこで・何を」を暗号学的に記録し、改ざん防止済みの監査証跡を生成 |
| API統合 | 既存取引システムへ統合するためのAPIを提供。認証成功率99.5%以上・レイテンシ200ms以内を目標 |
技術的基盤は、同社が提供するセキュリティ基盤TRUSTAUTHYと、そのコア技術であるGeoAuthにある。GeoAuthは位置・時刻・デバイスという物理的コンテキストを暗号学的に組み合わせ、正規の値と一致する場合のみ取引を許可する。従来型の多要素認証が「正しいコード」を基に認証を行うのに対し、GeoAuthは物理的なコンテキストの一致を要件に加える点で差異がある。
さらにGeoRiskはルールベース評価と機械学習によるハイブリッドモデルでリスクスコアリングを行う計画で、将来的には個々のユーザーの行動パターンを学習し前例のない攻撃手口も「行動の異常」として検知可能にする方針である。
PoCパートナー募集と実証評価の項目
GeoRisk β版は無償提供のもと、複数社を対象にPoC(概念実証)を実施する。募集期間は2026年4月から2026年7月頃まで、実施期間は2026年4月から2027年1月までのおおむね6か月を想定している。対象は暗号資産取引所、ステーブルコイン決済事業者、カストディアンやウォレット事業者、監査法人・コンサルティングファームなどである。
PoCで提供される内容にはGeoRiskのAPIアクセス、導入支援、専任エンジニアによる技術サポート、効果測定レポートが含まれる。費用はβ版提供期間中は無償とされ、実環境での有効性や運用負荷、監査対応性などが評価対象となる。
PoCで検証する主な項目
- 損害額可視化の経営インパクト:ダッシュボードがセキュリティ投資判断に与える影響の定量評価
- リスクスコアの検知精度:誤検知率5%以下、異常検知率95%以上を目標
- API統合性:既存取引システムへのシームレス統合とレイテンシ影響(200ms以内)の検証
- ByBit型攻撃への耐性:セッショントークン窃取やUI改ざん型攻撃に対する位置認証の有効性
- 金商法対応への活用:技術的安全管理措置の実装証跡や監査ログとしての有用性
募集社数は複数社であり、PoC期間中の利用料は不要である。PoCの成果に基づき、2027年度の正式版リリースとエンタープライズ向け提供開始を目指すロードマップが提示されている。
背景の整理と今後の展開スケジュール
業界の被害規模と規制の強化という二つの圧力が同時に存在する現在、技術的に実証可能な内部統制手段の導入が急務になっている。GeoRiskは位置・時刻・デバイスを鍵にした新しい検知・証跡生成の仕組みとして位置づけられる。
同社が示したロードマップは段階的であり、まずβ版とPoCを通じた実環境検証を行い、2027年度に正式版をリリース、エンタープライズ向けに展開するとしている。2028年度以降はAIによる行動プロファイリングの高度化や国際規格対応の拡張も視野に入れている。
ロードマップ(主なマイルストーン)
| 時期 | マイルストーン |
|---|---|
| 2026年4月 | GeoRisk β版提供開始・PoCパートナー募集開始 |
| 2026年4月〜2027年1月 | PoC実施。取引所・決済事業者2社以上との実環境検証を想定 |
| 2027年度 | GeoRisk正式版リリース。エンタープライズ向け提供開始 |
| 2028年度以降 | AIによる行動プロファイリング高度化・グローバル展開、国際標準連携の検討 |
代表取締役 皆本祥男氏は、報道発表に際してGeoRiskの意義を説明している。発言では2025年の被害総額を示しつつ、これまで経営層が把握しにくかったセキュリティ投資の効果を可視化する点を強調している。具体的には損害額ダッシュボードにより、セキュリティを単なるコストではなく経営上の投資として評価できるようになるという趣旨である。
会社情報と問い合わせ、記事の要点整理
GeoRiskを提供するVlightup株式会社は本社を東京都千代田区に置き、代表取締役は皆本祥男氏である。事業内容はブロックチェーンとGNSSを活用したセキュリティプラットフォームTRUSTAUTHYの開発・提供であり、URLはhttps://trustauthy.jp/ である。広報窓口の連絡先はEmail: connect@vlightup.jp としている。
以下に本記事で触れた主要な情報を表形式で整理する。
| 項目 | 内容 |
|---|---|
| 製品名 | GeoRisk(リスクスコアリングエンジン)β版 |
| 提供開始日 | 2026年4月13日 |
| 主な機能 | 位置・時刻・デバイスを組み合わせたリアルタイムリスク判定(0〜100)/損害額ダッシュボード/内部統制ログ生成/API統合 |
| 応答性能目標 | 200ミリ秒以内、認証成功率99.5%目標 |
| PoC募集期間 | 2026年4月〜2026年7月頃 |
| PoC実施期間 | 2026年4月〜2027年1月(約6ヶ月) |
| PoC費用 | 無償(β版提供期間中) |
| PoCの検証目標 | 誤検知率5%以下/異常検知率95%以上/レイテンシ200ms以内等 |
| 対応想定ユースケース | 取引所の出金承認、ホットウォレット保護、ステーブルコイン決済の不正検知、内部統制ログ生成 |
| 会社名・代表者 | Vlightup株式会社・代表取締役 皆本祥男 |
| 本社所在地 | 東京都千代田区丸の内1-11-1 パシフィックセンチュリープレイス丸の内 13F |
| 問い合わせ | Email: connect@vlightup.jp |
位置情報と時刻、デバイスという物理的コンテキストを暗号学的に組み合わせるアプローチは、不正送金の新たな手口に対する実務的な解となる可能性がある。GeoRiskはこうした検知と同時に、被害の推定金額を経営ダッシュボードへ提示することで、セキュリティの投資判断と規制対応の双方に資するツールとして位置づけられている。
