2011年初頭にリリースされ、この種のウォレットとしては初めて登場した「StrongCoin」ハイブリッドウォレットについてご紹介します。
更新日:2026年6月 · 暗号資産回収編集チーム
簡単に言えば:StrongCoinの暗号化バックアップ機能は、古いウォレットを保護することはできますが、2026年現在、StrongCoinにビットコインを保管するのは賢明ではありません。同社は2026年4月28日、ウォレットサービスの終了を発表しました。もしまだそこに資金が残っている場合は、バックアップを保存し、安全に可能な限り早急に現在のウォレットへ移すようにしてください。
これは、StrongCoinが偽のウォレットだったとか、その暗号化機能が突然動作しなくなったという意味ではありません。つまり、最大のリスクが変化したということです。もはや稼働中の製品を評価しているわけではないのです。現在はサービス終了中の旧式のウェブウォレットを扱っているため、継続的なアクセスやサポート、ホストされている記録が利用できなくなる可能性があります。
ここでは、StrongCoinが秘密鍵をどのように保護していたか、そのウェブデザインの課題、インシデントの経緯、そしてユーザーが今取るべき対応について検討します。
StrongCoinは2011年、ブラウザベースのビットコインウォレットとしてサービスを開始しました。同サービスは、当時としては珍しいハイブリッド型カストディモデルを採用していました。具体的には、StrongCoinがユーザーの秘密鍵の暗号化されたコピーを自社のサーバーに保管し、ブラウザ上のJavaScriptがユーザーから提供されたパスワードを用いてそれらの鍵を復号するという仕組みでした。よりよく知られているBlockchain.comも、基本的に同じハイブリッドモデルを採用していますが、サービス開始は2011年末になってからでした。
StrongCoinは、その暗号化パスワードを受け取っておらず、リセットすることもできないと述べた。しかし、ユーザーは暗号化された秘密鍵が記載されたPDFをダウンロードするか、紙のバックアップを印刷することができた。このバックアップは、ファイルが無傷で、パスワードが判明しているか復元可能な限り、StrongCoinのウェブサイトに依存することなく資金を回復できるため、現在重要な意味を持っている。
StrongCoinはビットコインに対応していました。このウォレットは、現代のウォレットで見られる12語または24語のBIP39リカバリーフレーズを採用していませんでした。その文書化されたリカバリーモデルは、代わりに暗号化された秘密鍵に依存していました。
StrongCoinの設計は、初期のホスティング型ビットコインウォレットが抱えていた主要な問題の一つを解決しました。このサービスでは、攻撃者が即座に利用可能な読み取り可能な秘密鍵を保存する必要がなかったのです。
StrongCoinの過去のセキュリティに関するFAQによると、サービスが秘密鍵を保存する前に、ブラウザが各秘密鍵を暗号化していた。StrongCoinの復号手順には、OpenSSLおよびGibberish AES JavaScriptライブラリと互換性のあるAES-256-CBC暗号化が記載されていた。
そのモデルには、次のような有用な特性がありました:
• 盗まれたStrongCoinのデータベースには、すぐに使用可能な秘密鍵ではなく、暗号化された鍵が含まれているはずです。
• ユーザーによるパスワード制御の復号化。
• ダウンロードしたPDFや紙のバックアップがあれば、秘密鍵への独立したアクセス手段を確保できる。
しかし、これは鍵を完全に別のデバイスやハードウェアセキュリティエレメントに保管するウォレットとは異なっていた。StrongCoinはウェブサイトと、各ブラウザに送信されるJavaScriptを管理していた。その配信システムを侵害した者は誰でも、コードを変更してパスワードや復号化された鍵を盗み出すことができた。2013年のOzCoin事件は、StrongCoinが特定のアカウントに配信されるコードを改変し得ることを後に明らかにした。
もう一つ懸念される点がある。StrongCoinは、従来のOpenSSL互換のパスワード暗号化方式を検証した。AES-256-CBCは依然として堅牢な暗号方式だが、そのパスワード導出の設計は、scryptやArgon2といった現代のメモリ負荷型システムが登場する以前に策定されたものである。そのため、脆弱なパスワードは、「AES-256」というラベルが示唆するよりもはるかに容易にオフラインで総当たり攻撃を受けやすい。
StrongCoinウォレットアプリケーションに関する、公表済みの独立した監査報告書は見つかりませんでした。StrongCoinの旧FAQに記載されているHerokuのセキュリティ対策に関する記述は、ホスティングプロバイダーに関するものであり、ウォレットの完全なコードや暗号化の実装については言及されていません。
本記事のために調査した公式資料、信頼できる報道、CVEデータベース、および公開されているセキュリティ監査記録において、プロトコルレベルまたはプラットフォーム全体にわたるStrongCoinのセキュリティ侵害に関する記録は確認されなかった。
個人ユーザーからは、アカウントがハッキングされた、資金がすべて奪われた、あるいはアクセスできなくなったといった報告が寄せられています。こうした報告は実際の被害を反映している可能性がありますが、攻撃者がStrongCoinのシステムに侵入したことを証明するものではありません。パスワードの流用、マルウェア、フィッシング、メールアカウントの乗っ取り、あるいは秘密鍵の流出なども、同様の被害を引き起こす原因となり得ます。
したがって、フォーラムの苦情だけに基づいて「StrongCoinがハッキングされた」と断言するのは正確ではありません。また、StrongCoinのユーザーが資金を失ったことは一度もないと断言するのも正確ではありません。
StrongCoinをめぐる最も重大なセキュリティ上の問題点は、StrongCoin自体の侵害ではなかった。それは、2013年4月にOzCoinマイニングプールが923 BTCを失った後の介入であった。
『Bitcoin Magazine』の報道によると、盗まれたビットコインの半分以上がStrongCoinを経由していた。StrongCoinは、容疑者のアカウントに送信されるJavaScriptを変更することで、その資金の一部を差し押さえ、返還するのに貢献した。アカウント所有者がパスワードを入力すると、変更されたコードによって資金が転送された。
盗まれたビットコインを返還したことは、OzCoinにとってプラスとなった。しかし、この手法は依然としてStrongCoinの保管に関する主張の弱点を露呈していた。ブラウザのコードを管理する企業は、たとえパスワードを保存していなかったとしても、ユーザーがパスワードを入力した後の処理に影響を及ぼす可能性があるからだ。
この件はプライバシー上の問題も引き起こした。報道によると、StrongCoinは共通の手数料アドレスを使用しており、そのサービスからの支払いがオンチェーン上で特定されやすくなっていたという。
私たちが調査した情報源によると、この件に関してStrongCoinに対して不利な判決を下した裁判所や規制当局は存在しなかった。その重要性はアーキテクチャ的な点にある。すなわち、ブラウザベースのモデルでは、マーケティングの表現が示唆していた以上に、運営者に対する信頼が必要とされていたのである。
2026年4月28日、StrongCoinは事業終了を発表し、ビットコインウォレットサービスの提供を終了すると明らかにした。同社は、まだ残高があると思われるユーザーに対し、サポートに連絡するよう呼びかけた。
また、この通知では、StrongCoinが1年後の2027年4月28日より、資金を引き出していないユーザーに対して2%の手数料を課し始めることも明記されていた。ただし、ウェブサイトやアカウントへのアクセス、およびホストされている暗号鍵の記録の停止に関する最終期限については言及されていなかった。
この不確実性が、現在最も大きなセキュリティ上の課題となっています。サイトの継続的な利用可能性を、バックアップ計画として捉えてはいけません。ホストされている暗号化キーは、エクスポートする前にサービスが終了してしまうと、アクセスできなくなる可能性があります。
次の手順に従ってください:
1. 公式ドメインを確認してください。メールやダイレクトメッセージ内のリンクをクリックするのではなく、ご自身で「strongcoin.com」と入力してアクセスしてください。
2. アカウントに残高が残っていると思われる場合は、StrongCoinの公式サポートページからお問い合わせください。
3. 何かを変更する前に、すべてのバックアップを保存しておいてください。元のPDF、エクスポートした暗号化されたテキスト、過去のメール、パスワードの手がかり、およびすでに所持している復号済みの秘密鍵のコピーを保存してください。
4. 暗号化されたテキストを編集したり、書式を変更したりしないでください。元のファイルはそのままにしておいてください。
5. 利用可能なビットコインを現在のウォレットに移動します。そのウォレットは公式ソースから作成し、送金前に受取アドレスを確認してください。
6. 旧StrongCoinの資料は非公開にしてください。復号された秘密鍵があれば、その資金を直接管理できるようになります。
復元作業を行う前に、必ずバックアップを作成してください。そのバックアップは、オフラインで、かつ別々の安全な場所に保管してください。暗号化されていない秘密鍵を、クラウドストレージ、オンラインコンバーター、あるいは見知らぬ「ウォレット復元」サイトにアップロードしないでください。
サービス停止は、詐欺師にとって格好の口実となります。「今すぐ行動しないと、ビットコインを失うことになる」といった具合です。実際のサービスが終了する以上、その切迫感はもっともに思えてしまうのです。
注目すべき点:
• 偽のStrongCoinサポートアカウントから先に連絡が来る
• 残高確認や強制移行を提示する類似ドメイン
• パスワードや復号化された秘密鍵の入力を求めるフォーム
• チャット上で秘密鍵の開示を要求する「復旧の専門家」
• 確実な成果を保証した前払いの仮想通貨決済
• 見知らぬ人からのリモートアクセス依頼
StrongCoinの閉鎖通知によると、暗号化キーのパスワードを忘れたユーザーは、同社に連絡して復旧サービスの紹介を受けることができるとのことです。その方法を利用する場合は、必ずStrongCoinの公式サイトから手続きを開始してください。ソーシャルメディアの投稿、メールの返信、または広告に貼られた紹介リンクについては、自身で内容を確認せずに信用しないでください。
すでに誰かがあなたのビットコインを移動させてしまった場合、パスワードの復旧を行ってもその取引は取り消されません。
多くの古参のStrongCoinユーザーにとって、差し迫った問題は盗難ではありません。それは、目には見えるものの、もはや思い出せないパスワードと、手元にある紙のバックアップなのです。
その件については、賠償が認められる可能性があります。
StrongCoinのPDFファイルやエクスポートデータには、1つ以上の暗号化された秘密鍵が含まれている場合があります。暗号化されたデータと妥当なパスワード候補があれば、専門家はStrongCoinに繰り返しログインすることなく、オフラインでパスワードの推測を試すことができます。各鍵には独自のパスワードが設定されている可能性があるため、記憶しているアカウントのパスワード1つでバックアップ内のすべてのブロックが解除されるとは考えないでください。
まずは、StrongCoinのペーパーウォレットのバックアップを復元する方法に関するガイドをお読みください。パスワードの候補を推測する必要がある場合は、古いパスワードを特定するための手順をご利用ください。
StrongCoinでは、一般的なニーモニック回復フレーズは使用されていません。12語または24語のフレーズをお探しの場合は、公式のウォレット設計では作成されていないものを探すのに時間を費やす前に、当社のStrongCoin回復フレーズガイドをご一読ください。
古いStrongCoinのバックアップにアクセスできなくなってしまいましたか?暗号化されたPDF、紙のバックアップ、またはエクスポートした鍵データをお持ちであれば、まさにそれが私たちの専門分野です。「Crypto Asset Recovery」では、StrongCoinのウェブサイトに推測値を送信することなく、安全なオフラインでのパスワード検証を行い、アクセスを回復させます。成功した場合のみ、料金をお支払いいただきます。
StrongCoinウォレットをお持ちであるにもかかわらず、PDF形式のバックアップがない場合は、弊社までご連絡ください。復旧が可能かどうかを確認いたします。
• ツールを試す前に、元の暗号化バックアップを必ず保存しておいてください。
• 作業の際は必ずコピーを使用し、原本や印刷物だけを使用しないでください。
• アーティファクトの出所、およびそれがどのアカウントまたはアドレスに属するかを記録してください。
• ウォレット作成時に使用した単語やパターンから、候補となるパスワードを生成します。
• 復号済みの秘密鍵を、メールやチャットで送信してはいけません。
• 資金を送金する前に、ウォレットのダウンロード状況と送金先アドレスを確認してください。
• 「必ず治る」と約束する人は、要注意だ。
今すぐ資金を引き出せるのであれば、閉鎖の詳細が明らかになるのを待つよりも、資金を移動させたほうが安全です。最終的な閉鎖日や、StrongCoinがホストする暗号化記録の今後については、依然として不明なままです。
StrongCoinは、よく考えられた暗号鍵のバックアップモデルを備えた、初期の正規のビットコインウォレットでした。その設計は、読み取り可能な秘密鍵を保持していた従来のホスト型ウォレットよりも堅牢でした。StrongCoinの完全なペーパーバックアップがあれば、今でも所有者はビットコインにアクセスすることができます。
しかし、StrongCoinのセキュリティモデルは、同社が提供するブラウザコードへの信頼を前提としていました。同サービスは旧式のパスワード暗号化方式を採用しており、公開されたウォレット監査報告書も存在せず、現在はサービスを終了しています。こうした事実から、2026年においてビットコインを保管し続ける手段としては不適切であると言えます。
私たちの結論は単純です:
• 新しいウォレットを開設したり、新しい資金を保管したりする場合:いいえ。管理されたウォレットを選択してください。
• 既存のStrongCoinウォレットを復元する場合:暗号化されたバックアップは引き続き有効ですが、大切に保管し、早急に対応してください。
• すでに利用可能な資金については、バックアップと送金先を確認した上で、現在のウォレットに移してください。
StrongCoinの復旧は技術的な作業であり、アカウントのリセットではありません。必要なのは暗号化されたバックアップであり、お客様のビットコインの管理権限ではありません。
Crypto Asset Recoveryでは、オフラインでパスワードのテストを行い、お客様が覚えている手がかりをもとに、的を絞った推測を行います。これまでに数千件の復旧事例を手がけており、元のデータを保護し、作業開始前に制限事項を説明し、復旧に成功した場合のみ料金を頂戴しています。当社の取り組みは、BBC、フォーブス、バイスなどで取り上げられています。
ビットコインのアドレスだけでは、秘密鍵を復元することはできません。また、盗難の被害を元に戻したり、結果を保証したりすることもできません。ただし、暗号化されたバックアップが残っている場合、パスワードを忘れてしまったからといって、必ずしもビットコインが失われたわけではありません。
成功した場合のみお支払いいただきます。リスクは一切ありません。
はい。StrongCoinは2011年に開始された本物のビットコインウォレットサービスです。ただし、現在はサービスを終了する予定ですので、既存ユーザーの方は、このウォレットを現役のウォレットとして使用するのではなく、バックアップを保存し、利用可能な資金を引き出すようにしてください。
どのウェブウォレットも、サーバー、ブラウザのコード、フィッシング、マルウェア、パスワードに関するリスクにさらされる可能性があります。StrongCoin全体にわたる情報漏洩の事例は確認されていませんが、そのサーバーから配信されるJavaScriptは、完全にローカルなウォレットには存在しない「信頼ポイント」を生み出しています。
いいえ、2026年ではありません。StrongCoinはサービスを終了すると発表しました。多額の保有分や長期保有分は、受取アドレスとバックアップ手順を確認した上で、信頼できるハードウェアウォレットなどの管理されたウォレットに移すべきです。
StrongCoinによる保険やFDIC(連邦預金保険公社)のような保護制度は、文書上確認されていません。ビットコインウォレットは銀行の預金口座ではありませんので、ユーザーはプロバイダーが損失を補償してくれると想定すべきではありません。
StrongCoinは、最終的な締め切り日を公表しておらず、ホストされている暗号化記録の取り扱いについても言及していない。2026年4月28日付の通知では、残高を持つユーザーに対しサポートへ連絡するよう求めており、2027年4月28日以降、引き出されていない資金に対して2%の手数料が課されるとしている。
StrongCoinはこれまで、秘密鍵の暗号化に使用されたパスワードを復元することはできないと述べてきました。ただし、暗号化されたPDFファイルや鍵のエクスポートデータをお持ちの場合は、オフラインでのパスワード復元が可能な場合があります。
報告されているStrongCoinウォレットは、標準的なBIP39シードフレーズを使用していませんでした。このウォレットは、個別に暗号化されたビットコインの秘密鍵をバックアップしており、通常はダウンロード可能なPDFファイルや紙のバックアップとして保存されていました。
古いStrongCoinのバックアップは、行き止まりのように見えるかもしれません。暗号化されたテキストの塊、忘れてしまったパスワード、そしてサービス終了が迫っているウォレットサービス……。
復旧に必要なものはすべて含まれている可能性があります。
成功した場合のみお支払いいただきます。リスクは一切ありません。
