このサイトのすべての情報は、Mubiteが教育目的のみで提供しており、特に金融市場取引に関連しています。投資推奨、事業アドバイス、投資機会分析、または取引投資商品に関する一般的なガイダンスとして意図されていません。金融市場での取引には重大なリスクが伴い、失う余裕のない以上の投資をすべきではありません。Mubiteは資本市場事業法第256/2004号で定義されている投資サービスを提供していません。このサイトのコンテンツは、そのような情報や使用が現地の法律や規制に違反する国や管轄区域の居住者を対象としていません。Mubiteは証券会社ではなく、預金を受け入れません。
Mubite s.r.o., Školská 660/3, Nové Město, Praha 1, 110 00, Czech Republic | Copyright Ⓒ 2025 Mubite. All Rights Reserved.
トレーダーが自己勘定取引におけるリスクについて考えるとき、レバレッジ、ドローダウン、清算といった点を思い浮かべます。しかし、ほとんどのトレーダーが考慮していないのは、報酬を受け取るために記入したKYCフォームに潜むリスクです。2025年後半にTopstepに対して発生した2件のサイバー攻撃により、トレーダーの名前、社会保障番号、政府発行の身分証明書データが流出しました。
集団訴訟が提起され始めている。そして、この話は、本人確認済みの口座を持つ資金提供を受けたトレーダー全員が今すぐに自問すべき疑問を提起している。
二つの異なる事件があり、両方を理解することが重要である。
最初の事例は、2025年9月8日に発生したDDoS攻撃でした。Topstepは徹底的な内部調査の結果、2025年12月3日、9月8日から10月16日の間に、個人を特定できる情報を含む一部のファイルが不正アクセスを受けた可能性があることを発見しました。影響を受けたトレーダーには、2026年1月初旬に、氏名と社会保障番号が漏洩した可能性があることを確認する通知が送付されました。
2件目は、2025年12月14日に発生した認証情報漏洩攻撃で、翌日に発覚した。Topstepは当初、この事件の原因を、トレーダーが他の情報漏洩サイトでパスワードを再利用したことにあると公式に発表したが、この説明はトレーディング業界から大きな批判を浴び、現在進行中の訴訟につながった。
Topstepは、不審なIPトラフィックの遮断、パスワードのリセット強制、これまで任意だった多要素認証の義務化、影響を受けたユーザーへの無料の個人情報盗難防止サービスの提供といった対応をとった。現在、集団訴訟が積極的に提起されている。
私たちは、この事件に関するほとんどの報道が避けてきた点について、率直に述べたいと思います。
Topstepだけが特別に過失があったわけではない。たまたま摘発された会社に過ぎない。より根本的な問題は構造的なものだ。KYC(顧客確認)認証を必要とするすべての個人資産運用会社は、少なくとも政府発行の身分証明書、そして多くの場合、社会保障番号や納税者番号を含むデータセットを保有している。そのデータはサーバー上に存在し、そのサーバーが攻撃の標的となるのだ。
プロップトレーディング業界は、データセキュリティインフラに対する監視が比較的少ないまま急速に成長してきました。業界全体を見渡すと、ほとんどの企業は規制された金融機関ではなく、セキュリティ基準が義務付けられているわけではありません。それらは、技術的なセキュリティ対策への投資レベルが異なる民間企業です。決済処理要件を満たすために本人確認書類を収集する際、トレーダーが提出前にそのリスクを評価することをほとんど考えないまま、リスクを生み出しているのです。
問題は、Topstepがもっとうまくやるべきだったかどうかではない。資金提供を受けているトレーダーが次回の本人確認(KYC)提出前に自問すべき質問は、「この会社は私に関してどのようなデータを保有しているのか、どこに保管されているのか、そしてそのデータが適切に保護されているという証拠はあるのか」ということだ。
我々が分析した事例から判断すると、暗号資産のプロップトレーダーは、先物や外国為替のプロップトレーダーよりも、このリスクのより深刻な側面に直面している。その理由は2つある。
まず、暗号資産プロップファームは国際的に事業を展開しており、規制監督は限定的です。決済処理業者向けのPCI-DSSのような強制的なセキュリティ基準や、登録先物取引業者向けのCFTCのサイバーセキュリティ基準は存在しません。適切なデータ保護とは何かという基準は、事実上、各企業の独自の判断によって定められています。
第二に、暗号資産プロップトレーディングにおける支払い構造では、登録時ではなく出金時に本人確認が求められることが多い。つまり、トレーダーは既に取引を終え、利益を得た後に本人確認書類を提出することがある。この時期はモチベーションが高く、企業のセキュリティ対策を精査することなど考えもしないため、こうした書類提出は後回しになりがちだ。
Mubiteのチャレンジルールでは、登録時やチャレンジフェーズ中に本人確認(KYC)は不要です。本人確認は出金段階でのみ必要となるため、機密性の高い個人情報は、登録者全員から事前に収集するのではなく、チャレンジに合格して出金申請を行ったトレーダーという、ごく少数のグループからのみ収集されます。このように情報開示期間が短いことは、トレーダーが一度も取引を行う前に書類を収集する企業とは構造的に大きく異なる点です。
もしあなたがプロップファームにKYC書類を提出済みであれば、そのファームがセキュリティインシデントを開示したかどうかに関わらず、以下の手順を踏むことをお勧めします。
個人資産運用会社に社会保障番号(SSN)を提出した場合は、信用情報監視サービスに登録してください。無料の選択肢としては、信用情報機関が提供する監視ツールなどがあり、米国に拠点を置く多くの企業は、情報漏洩後にこうしたサービスを提供することが法律で義務付けられています。
取引プラットフォーム、決済処理業者、または取引活動に使用されるメールアドレスに接続されているすべてのアカウントで、多要素認証を有効にしてください。クレデンシャルスタッフィング攻撃が成功するのは、トレーダーが複数のプラットフォームでパスワードを使い回しているためです。
あなたのデータを保有している企業が、身分証明書の保管方法、暗号化方法、アクセス方法を説明するセキュリティポリシーまたはプライバシーポリシーを公開しているかどうかを確認してください。そのような情報が公開されていない場合は、書類を提出する前に直接問い合わせてください。
KYC(顧客確認)を義務付けているプロップファームのアカウントについては、特に支払い請求やアカウント設定の変更など、不審な動きがないか監視してください。
資金を投入した取引口座を保護するリスク管理原則は、その口座の資金となる個人データにも同様に適用されます。ストップロス注文なしで取引を行うことはないでしょう。身分証明書類は、その背後にある保護措置を理解せずに提出しないでください。
Share it with your community
