ハッカーが届かないエアギャップ型暗号資産ウォレットトップ5選

リモートハック、フィッシング攻撃、取引所の破綻からデジタル資産を守ろうとする暗号資産保有者が増える中、インターネット、USB ケーブル、Bluetooth、WiFi と一切接続しないエアギャップ型ウォレットは、もっとも安全な自己カストディ手段として台頭している。

Keystone 3 Pro、COLDCARD Mk5、NGRAVE ZERO、ELLIPAL Titan 2.0、Tangem Wallet は、2026年において Bitcoin (BTC) をはじめとする暗号資産を保管するための、最有力な5つの選択肢として存在感を示している。

エアギャップ型ウォレットとは何か、その仕組み

「エアギャップ」という用語は、本来は軍事機関や政府機関の IT セキュリティ分野に由来し、機密情報を扱うコンピュータを、物理的な空間（文字どおりの空気の層）によってあらゆるネットワークから隔離することを意味する。暗号資産の文脈では、エアギャップ型ウォレットとは、ハードウェアデバイス、あるいは専用のオフラインスマートフォンであり、ネットワークに接続されたあらゆる機器と電子的な接点を持つことなく、秘密鍵を生成・保管・使用する仕組みを指す。

取引署名のワークフローは、どのエアギャップ型ウォレットでも基本的に共通している。

まずユーザーは、インターネットに接続されたコンパニオンデバイス上で未署名トランザクションを作成する。このデバイスは通常、公開鍵だけを保持し一切の署名機能を持たない「ウォッチオンリー」ウォレットとして動作するスマホや PC だ。

次に、この未署名トランザクションは、3つの方法のいずれかで転送され、オフラインデバイスに届けられる。

QR コードはもっとも一般的な方法であり、Keystone、ELLIPAL、NGRAVE などが採用している。コンパニオンデバイスが QR コードを表示し、エアギャップ型ウォレットが内蔵カメラでそれを読み取ってオフラインで署名し、コンパニオンアプリが再び読み取るための新しい QR コードを表示する。

microSD カードは 2つ目の方法を提供しており、COLDCARD が標準採用し、Keystone もオプションで対応している。未署名トランザクションファイルをメモリーカードに保存し、物理的にエアギャップデバイスへ運んで署名し、再び持ち帰る方式であり、COLDCARD の開発元 Coinkite はこれを「SneakerNET」と呼んでいる。

NFC（近距離無線通信）は 3つ目の経路を提供し、主に Tangem が利用している。スマホを 4センチ未満の極めて近距離でデバイスにタップしてトランザクションデータを転送する。厳密には電波を利用するため NFC がエアギャップを破るかどうかについては純粋主義者の間で議論があるものの、その通信距離はきわめて短く、現実的な攻撃ベクターは大幅に制限される。

いずれの方法を用いる場合でも、秘密鍵がエアギャップデバイスの外に出ることはなく、オンラインシステムと電子的に接触することは決してない。

トップ5 エアギャップ型コールドウォレット

Keystone 3 Pro

香港拠点の Keystone（旧 Cobo Vault）が製造する Keystone 3 Pro は、2026年時点でもっともバランスに優れたエアギャップ型ウォレットだ。価格は 149ドルで、UR2.0 規格のアニメーション QR コードと microSD カード経由のみで通信を行い、200以上のブロックチェーン上で 5,500種類超のコインとトークンをサポートしている。

このデバイスを競合他社と一線を画す存在にしているのは、トリプルセキュアエレメントチップ構成だ。

Keystone 3 Pro は Microchip ATECC608B、Maxim DS28S60、Maxim MAX32520 の 3つを連携させており、この組み合わせはハードウェアウォレット業界でもユニークなものとなっている。さらに、主要チップを複雑な回路で包み込み、物理的な侵入が検知されると即座にデータを消去する PCI グレードのタンパー防止機構も備える。

4インチ LCD カラータッチスクリーンにより、トランザクションの検証は分かりやすく行える。

Keystone は、復元フレーズを複数の分割シェアに分ける Shamir Secret Sharing、PSBT によるネイティブなマルチシグトランザクション、そして 1台のデバイス上で最大 3つのシードフレーズを別々のパスワードで管理する機能をサポートしている。

指紋センサーは、デバイスのロック解除とトランザクション署名の両方を担う。

コンパニオンエコシステムは MetaMask と直接連携しており、Keystone は MetaMask ブラウザ拡張とモバイルアプリの両方に、すべての EVM チェーンで完全対応した初のハードウェアウォレットとなった。また Sparrow、Electrum、BlueWallet、Rabby など十数種類以上のウォレットアプリでも動作する。攻撃対象領域を減らしたいユーザー向けに、Bitcoin 専用ファームウェアも用意されている。

ファームウェアは MIT ライセンスの完全オープンソースで、リプロデュ―サブルビルドに対応しており、SlowMist と Keylabs の監査も受けている。

一方で、1,000 mAh のバッテリーはやや小さく、ガラス繊維製ボディは金属製の高級機種に比べて高級感に欠ける。また、Shamir バックアップなど高度な機能を使いこなすには、初心者にはやや急な学習曲線がある。

COLDCARD Mk5

トロント拠点の Coinkite が開発する COLDCARD は、セキュリティの深さを最優先する Bitcoin 専用ユーザーにとって、事実上の第一候補と言える存在だ。Mk5 は 2026年3月10日に発売され、価格はおよそ 149〜157ドル。強化 Gorilla Glass ディスプレイ、再設計されたクリック感のあるキーパッド、NFC 性能の向上などを備えつつ、Mk4 のバックアップとの完全な下位互換性を維持している。

セキュリティアーキテクチャは、2社（Microchip と Maxim/Analog Devices）のセキュアエレメントを用いたデュアル構成を採用し、シード暗号化鍵を 3つのチップ（2つのセキュアエレメントとメインマイコン）に分散させている。

攻撃者が有用な情報を取り出すには、この 3つのチップすべてを侵害し、かつ PIN コードを把握する必要がある。

COLDCARD の Trick PIN システムは、業界でもいまだに比類ない。ドレス PIN は、攻撃者が本物だと信じる可能性のある少額残高入りのダミーウォレットを開く。Brick Me PIN は、入力された瞬間に 2つのセキュアエレメントを完全に破壊する。

Countdown to Brick PIN は、表面上は通常どおり動作しているように見せかけながら、裏側で密かにデバイスを破壊する。PIN を 13回誤入力すると、その時点でデバイスは自動的に完全ブリックされる。

上位モデルの COLDCARD Q は、およそ 219〜239ドルに価格設定されており、専用 QR スキャナーモジュール、長いパスフレーズ入力に適したフル QWERTY キーボード、デュアル microSD スロット、単四電池駆動による真の携帯署名環境などを追加する。さらに Secure Notes や、COLDCARD Q 同士でシードを転送する Key Teleport などの機能も備える。どちらのモデルも、ネイティブな BIP-174 PSBT、強力なマルチシグ機能、サイコロ振りによるシード生成、BIP-85 による子エントロピー導出をサポートする。

ファームウェアおよびハードウェアの回路図は完全にオープンソースで、コミュニティによる検証が可能だ。

その代償は明確で、COLDCARD がサポートするのは Bitcoin のみである。Mk5 の 1.54インチの小さな画面とテンキーは、必要最低限で質実剛健な印象だ。Mk5 にはバッテリーがなく、外部 USB-C 電源が必須となる。また、初心者にとっては学習コストが高い。

NGRAVE ZERO

ベルギーのハードウェアウォレットメーカー NGRAVE が、世界有数のナノエレクトロニクス研究機関である IMEC と、KU Leuven の COSIC 暗号研究グループと共同で開発した NGRAVE ZERO は、単体 398ドル、GRAPHENE バックアッププレートとのセット 498ドルというプレミアム価格帯の製品だ。通信は QR コードのみに限定されており、15のネイティブブロックチェーンとすべての ERC-20 トークンをサポートし、MetaMask 連携により 112以上の EVM チェーンにアクセスできる。

この高価格を正当化しているのは、OS が EAL7 認証（Common Criteria Evaluation Assurance Level 7）を取得している点である。これは、世界でもっとも高い水準のセキュリティ認証であり、設計の形式的検証と実装の厳格なテストを意味する。

このカスタム OS は、Android などの汎用 OS に依存せず完全にゼロから構築されており、プロジェクトは Binance Labs からの支援も受けている。

デバイスの Perfect Key 生成プロセスは、内蔵の真性乱数生成器、指紋センサー、内蔵カメラで捉えた環境光からのエントロピーを組み合わせ、さらにユーザーがリアルタイムに 16進数文字列をシャッフル・固定する対話的操作を行うことで 256ビット鍵を生成する。

4層のタンパー対策システムは、外装ケースの改ざん痕、筐体の開封を検知する光センサー、侵入検知時の自動キー消去、そして製造前の仕込みを防ぐ対話的キー生成プロセスで構成されている。

付属の GRAPHENE バックアップは 2枚構成のステンレスプレートを使用し、それぞれ単体では意味をなさない。両方を物理的に重ね合わせることで初めてリカバリーキーが判明する仕組みであり、耐火性と耐腐食性に優れたシード保管を実現する。4インチの静電容量式 LCD タッチスクリーンと 1,200 mAh バッテリーもハードウェア仕様を補完している。

一方で、一部のユーザーにとっては欠点も大きい。398～498ドルという価格帯は、代替製品の 2〜3倍に相当する。ファームウェアはクローズドソースであり、「Don't trust, verify（信じるな、検証せよ）」という多くの暗号資産ユーザーの哲学と矛盾する。ネイティブ対応するブロックチェーンは 15種類に限られている。 the QR-only communication can feel slow during extended use.

Also Read: Bitcoin Recovery Fades Below $70,500 As Bears Tighten Grip

ELLIPAL Titan 2.0

ELLIPAL Titan 2.0 は、エアギャップ方式を徹底的に追求したウォレットです。takes にもあるように、このデバイスには一切のポートや接続端子、さらにはワイヤレス用の無線モジュールすら搭載されていません。USB 充電ポートさえも本体に直接触れない設計になっています。

充電は、データ転送を物理的に防ぐために特別設計された独自のマグネット式「Security Adapter」ドックを介してのみ行われます。価格は 169 ドルで、40 を超えるブロックチェーン上の 10,000 以上のトークンに対応しています。

フルアルミニウム合金の筐体は permanently 密封されており、デバイスをこじ開けようとすると、外観に消えない損傷が残るだけでなく、即座に自己破壊メカニズムが作動して秘密鍵がすべて消去されます。

Titan 2.0 は、前モデルからのアップグレードとして CC EAL5+ セキュアエレメントチップ、タッチ応答性を高めるフルラミネーション加工の IPS ディスプレイ、そしてより幅広い暗号資産のサポートを備えています。

専用の ELLIPAL アプリは、provides のとおり、ポートフォリオ管理から、Uniswap、PancakeSwap、Aave を含む 200 以上の dApp に対応した WalletConnect 経由の DeFi アクセス、アプリ内での購入・スワップ機能、一部資産のステーキングまでを一体化したモバイル体験を提供します。初期設定はおよそ 5 分で完了し、1,400 mAh のバッテリーは本比較で登場するウォレットの中で最大容量です。

最もnotable な弱点は、ファームウェアがクローズドソースである点です。

Titan 2.0 固有の公開サードパーティセキュリティ監査レポートは存在せず、このことはセキュリティを重視するユーザーに疑問を抱かせます。

また、このデバイスはマルチシグや Shamir バックアップに対応しておらず、デスクトップ用ソフトがなく ELLIPAL モバイルアプリに完全依存しています。デフォルトでは 12 語のシードフレーズしか生成できず、Bitcoin アドレスのローテーションも行われないため、プライバシー面で看過できない懸念があります。

Also Read: XRP Draws $1.4B In ETF Inflows Amid Market Turmoil

Tangem Wallet

スイスのツークに本社を置く Tangem は、headquartered に記されているとおり、エアギャップ型セキュリティに対してまったく異なるアプローチを取っています。画面やカメラを備えたスマートフォンサイズのデバイスではなく、Tangem Wallet は 85.6×54×0.76 ミリ、重さわずか 6 グラムのクレジットカードサイズ NFC スマートカードです。

バッテリー、画面、ボタン、ポートはいっさいありません。ユーザーは NFC 対応スマートフォンにカードをタップするだけでトランザクションへ署名でき、カード側はスマホの NFC フィールドから給電されます。

秘密鍵は、CC EAL6+ 認証を取得した Samsung 製 S3D350A セキュアエレメントチップ内部で generated されます。これは、本記事で扱う直接的な競合製品群の中では最も高いチップレベル認証です。鍵はチップ外に一切出ることはなく、Tangem 自身であっても取り出すことはできません。

ファームウェアは工場で書き込まれたあと変更不能に設計されており、アップデートも行えません。これによりファームウェアのサプライチェーン攻撃リスクは完全に排除されますが、一方で出荷後に発見された脆弱性をパッチ適用できないというトレードオフも生じます。

これまでに 600 万枚を超えるカードがproduced されており、2018 年には Kudelski Security、2023 年には Riscure による監査でバックドアが存在しないことが確認されるなど、Tangem は強固なセキュリティ評価を獲得してきました。対応資産は 85 以上のブロックチェーン上の 16,000 種類を超え、本比較の中では最も広範です。価格は 2〜3 枚セットで 55〜70 ドルからとなっています。

バックアップ方式は、relies にある通りマルチカード冗長性に依存します。セット内の各カードは同一ウォレットを保持しているため、1 枚失っても資産を失うことはありません。

デフォルトでは Tangem はシードレスモードで動作し、12 語や 24 語のリカバリーフレーズを一切生成しません。これにより、「盗まれたシードフレーズ」という暗号資産で最も一般的な攻撃ベクターを排除します。希望するユーザーは、オプションとして従来型バックアップであるシードフレーズ生成を有効化することも可能です。

カードは IP68 の防水防塵性能を備え、X 線および電磁パルスにも耐性があり、25 年保証が付帯します。

こうしたtrade-offs には注意が必要です。画面を持たないため、トランザクション内容の表示はスマホ側アプリを信頼するしかなく、これは画面付きウォレットでは回避できる潜在的な単一障害点です。また、NFC は技術的には無線プロトコルであるため、厳密に「エアギャップ」と呼べるかどうかは原理主義的な観点から議論の余地があります。ファームウェアはクローズドソースですが、不変であり独立監査も受けています。そして、シードフレーズを有効化しないままカードセットをすべて失った場合、資産は永久かつ完全に復旧不可能になります。

Also Read: Cardano TVL Jumps 23% On Infrastructure Push

Conclusion

ユーザーが何を最重視するかによって、最適なエアギャップ型ウォレットは大きく変わります。Keystone 3 Pro は、オープンソースによる透明性、トリプルセキュアエレメント、幅広いマルチチェーン対応、そして 149 ドルという競争力のある価格を兼ね備え、総合力で最も優れた選択肢と言えます。COLDCARD Mk5 は Bitcoin 専用ユーザー向けとしては依然として無二の存在であり、その Trick PIN システムやデュアルセキュアエレメント構成、実戦で鍛えられたオープンソースファームウェアによって、長年にわたり本格派 Bitcoin ユーザーのデフォルト選択となってきました。

業界最高水準のセキュリティ認証のためにプレミアム価格を支払う意思があるなら、NGRAVE ZERO の EAL7 認証 OS と独自の鍵生成プロセスは、398〜498 ドルという価格を正当化しうる一方、クローズドソースのファームウェアという大きな譲歩も伴います。ELLIPAL Titan 2.0 は、169 ドルという手頃な価格で、堅牢なメタルボディと可能な限り厳格なエアギャップを求めるユーザーに訴求します。Tangem は、55〜70 ドルのカード型ウォレットという形で、バッテリーも充電も技術知識も不要なコールドストレージを一般ユーザーへと広げました。

この比較からemerges する明確なパターンは、「オープンソースファームウェア」と「形式的なセキュリティ認証」との対立が、エアギャップ型ウォレット設計における根本的な思想上の分岐点になっているということです。Keystone と COLDCARD は、コミュニティによる検証可能な透明性に賭けています。NGRAVE と ELLIPAL は、制度的な認証に裏付けられたプロプライエタリなエンジニアリングに賭けています。どちらのアプローチも絶対的に優れているとは言えませんが、そのどちらを選ぶかによって、ユーザーが群衆の監視の目を信頼するのか、それとも制度の押す保証印を信頼するのかが鮮明になります。

ハッカーが届かないエアギャップ型暗号資産ウォレット トップ5選