FixedFloatのショットガンKYC問題:BTC→XMR代替

FixedFloatのショットガンKYC問題:BTCからXMRへの代替サービス徹底比較

2025年末、Redditで「FixedFloatに0.4 BTCを人質に取られている」というスレッドが48時間で3,400以上のupvoteを集め、暗号資産コミュニティの間で大きな波紋を呼びました。投稿者は固定レートでビットコインからMoneroへのスワップを開始し、オンチェーンで入金確認が完了するのを見届けた後、注文ステータスに表示されたのは次の一文だけでした。「コンプライアンス検証が必要です ― 身分証明書とセルフィーを提出してください」。事前の警告も、オンランプでのKYCも、規約違反を指摘する具体的な根拠も一切なし。あるのは凍結されたスワップと、そもそも「KYCなし」を謳うサービスを使った理由と完全に矛盾する書類提出要求だけでした。この時点でコミュニティはすでにこの現象に名前を付けていました。それがショットガンKYCです。

FixedFloatだけの問題ではありません。ChangeNOW、SimpleSwap、そして名の知れない小規模アグリゲーターの数々が、過去18ヶ月の間に同じパターンで告発されてきました。しかしFixedFloatは ― 歴史的にBTC→XMRのレールとして最も人気だった存在として ― この問題の象徴的存在になっています。それは部分的には2024年に発生した約2,600万ドル相当の資金が流出したハッキング事件のせいでもあり、復旧後にコンプライアンス姿勢が劇的に厳格化したように見えるからでもあります。日本のユーザーであれ海外のユーザーであれ、ビットコインからMoneroへのスワップを定期的に行うのであれば、ショットガンKYCとは何か、なぜ起きるのか、そして広告通りに機能する代替サービスはどれか ― これらを正しく理解しておく必要があります。MoneroSwapperのユーザーから日々寄せられる質問だからこそ、本ガイドでは2026年現在の率直な実情を解説します。

「ショットガンKYC」とは何を意味するのか

ショットガンKYCとは、サービスを「KYC不要」と宣伝してユーザーの入金を受け付け、資金が事実上ロックされた後になって初めて、スワップを完了する条件として本人確認を要求する慣行のことです。この用語はMonero系のフォーラムで2023年頃に登場し、2024年から2025年にかけての苦情の波の中で広く認知されるようになりました。事前にルールが分かっている「アップフロントKYC」とは機能的に明確に区別されます。ショットガンKYCは入金そのものを人質として武器化する点で、決定的に異なるからです。

典型的な手口は次の3つのパターンに分類されます。

• リスクスコアによるトリガー: 取引所はあなたの入金アドレスをチェーン分析プロバイダ(Chainalysis、Elliptic、TRM Labs)で照会します。あなたのBTCがミキサー、ダークネットマーケット、または制裁対象アドレスに設定可能なホップ距離内で接触していた場合、スワップはフラグが立てられ保留されます。
• 金額のしきい値: 一部のサービスは内部限度を黙って強制します。0.05 BTC、0.1 BTC、その他の流動的なしきい値を超えるものは手動レビューに送られます。このしきい値は公開されません。
• 出力通貨ヒューリスティック: 出力がプライバシーコイン ― 特にMonero ― のスワップは追加の精査を受けます。ユーザーがプライバシーを求める対象そのものが、スワップ保留の理由になるという皮肉な構造です。

残酷な仕組みなのは、要求に応じないとしても必ずしも返金されるとは限らない点です。一部サービスは返金条項そのものにKYCを要求します。他のサービスでは入金額の20%を超える「返金手数料」を課します。プライバシーを大切にするユーザーは、パスポートのスキャンを差し出すか、資金の相当部分を失うかの二択を強いられるわけです。どちらも本来支払った対価ではありません。

なぜFixedFloat(やその他)はこの方向に舵を切ったのか

率直に言えば、規制圧力と事件後のリスク回避の混合が原因です。2024年から2026年にかけて、3つの力が収斂しました。

2024年のFixedFloatハッキング事件

2024年2月、攻撃者はFixedFloatのホットウォレットから約1,728 ETHと409 BTC ― 当時のレートで約2,600万ドル相当 ― を流出させました。サービスは復旧したものの、この事件は内部コンプライアンスレビューを引き起こし、ほぼ確実により厳格なリスクフィルターの導入につながりました。業界ウォッチャーは2024年第3四半期からフラグの立つスワップが顕著に増加し、2025年を通じてその傾向が加速したと観察しています。

EUのMiCA規則とトラベルルール

暗号資産市場規則(MiCA)は2024年12月30日にEU全域で完全施行されました。FATFのトラベルルールが仮想資産サービスプロバイダーへ適用範囲を拡大していることと合わせると、欧州にユーザー、銀行関係、またはホスティングインフラを持つあらゆる取引所は、追跡不可能なスワップを促進したことに対して直接的な法的エクスポージャーに晒されます。多くの「KYCなし」サービスは「リスクベースKYC」 ― それはまさにショットガンKYCをより聞こえの良い名前で言い換えたものに過ぎません ― を静かに導入することで対応しました。

日本の規制環境とトラベルルール

日本では2023年4月から金融庁(FSA)の監督下で、改正資金決済法に基づくトラベルルールが暗号資産交換業者に対して実装されました。日本暗号資産取引業協会(JVCEA)の自主規制も加わり、bitFlyer、Coincheck、GMOコインといった国内大手取引所は厳格な本人確認とトランザクション情報の共有が義務付けられています。海外サービスを利用する日本のユーザーは、たとえそのサービスが日本居住者向けにKYCを公式に要求していなくても、IPアドレスや決済経路から日本ユーザーと判定された場合に、より厳しいリスクスクリーニングを受ける傾向が強まっています。さらに、日本の国税庁は暗号資産の譲渡所得を雑所得として総合課税(最大税率55%)で扱うため、たとえショットガンKYCで身分を明かさずに済んだとしても、Moneroを受け取った後に日本円に換金した時点で課税義務が発生する点を忘れてはいけません。プライバシーと脱税は別問題です。

米国OFACによる執行強化

2022年のTornado Cash制裁、2024年のSamourai Wallet開発者に対する起訴、そしてミキシングサービスへの継続的な圧力は、スワップサービスにまで波及する萎縮効果を生んでいます。米国との接点を持たない非米国オペレーターであっても、決済プロセッサー、フィアットオンランプ、ステーブルコイン流動性プロバイダーがそれを要求するため、OFAC型のスクリーニングを採用するケースが増えています。

これらはいずれも、おとり広告的な手法を正当化するものではありません。入金をスクリーニングするサービスは、ユーザーが取引を開始する前にその事実を開示すべきであって、開始した後ではありません。しかし背景を理解することで、どの代替サービスが今後1年間に同じ振る舞いをする可能性が高いかを予測できます。

ショットガンKYCを行わないBTC→XMR代替サービス

朗報は、本物の選択肢が存在するという事実です。悪い知らせは、それらが流動性、UX、手数料体系の面で大きく異なる点です。以下は、2026年に検討する価値のあるカテゴリの率直な比較です。

アグリゲーターカテゴリ ― MoneroSwapperを含む ― は、アカウント作成なしでWebフォーム体験を求めるユーザーにとっての実用的な選択肢です。アトミックスワップと分散型取引所のカテゴリは、いかなるカストディアル仲介者も拒否するユーザーにとっての理念的な選択肢です。両者にはそれぞれ役割があります。危険な中間地帯は、「我々がそう決めない限りKYC不要」というカテゴリであり、まさにそこにFixedFloatとその同類が現在位置しているのです。

アグリゲーターを信頼する前に検証すべきこと

マーケティングコピーは安いものです。本当のスワップをいずれかのプロバイダーにルーティングする前に、次の点を確認してください。

• 返金ポリシーの具体性: サービスはKYC不要の返金経路を提供しているか?どの手数料率で?どの時間枠で?「当社の裁量で返金」のような曖昧な表現は赤信号です。
• 公開された事件履歴: Reddit、Monero公式コミュニティフォーラム、Trustpilotでサービス名と「frozen」または「KYC」を併せて検索しましょう。あなたが関心を持つ時間枠と苦情のパターンを照合します。日本語の情報源としてはX(旧Twitter)の暗号資産アカウントやBitcoin日本語情報サイトの掲示板も参考になります。
• 限度額の透明性: 入金限度はスワップ開始前に明示されているか、それともフラグが立った後に推測するしかないのか?誠実なサービスは数字を公表します。
• Tor / I2P対応: 機能する.onionミラーを維持しているサービスは、通常プライバシー重視のユーザーの利益と整合しています。
• ログポリシー: プライバシーポリシーを読みましょう。「retention(保持)」「logs(ログ)」で検索を。「IPアドレスは保存しません」という記述は、サービスが技術的にそれを真実にできるインフラを運用している場合のみ意味を持ちます。

ステップバイステップ:2026年により安全なBTC→XMRスワップを行う手順

MoneroSwapperを使うにせよ、アトミックスワップにせよ、分散型取引所にせよ、スワップを取り巻く運用衛生は会場選びと同じくらい重要です。以下は、ショットガンKYCリスクを最小化し、下流のプライバシーを守るためのワークフローです。

1. BTCを事前準備する。 あなたのビットコインがここ数ヶ月内にKYC済み取引所(bitFlyerやCoincheckなど)からの出金に起因する場合、どこでもリスクスコアによるフラグが立つことを覚悟してください。まずセルフカストディウォレットを経由して整理し、数confirmationを待つことを検討しましょう。法的に所有していない資金を洗浄しようとしないでください ― 本ガイドは自分のBTCを所有しプライバシーを求めるユーザーのためのものであり、法執行機関からの匿名性を求めるためのものではありません。
2. 新しいMonero受信アドレスを生成する。 Moneroウォレットのサブアドレスを使い ― プライマリアドレスは使わないでください。サブアドレスはオンチェーンでは結びつけ不可能であり、アドレス再利用によるメタデータの漏洩を防ぎます。
3. 可能ならフロートレートを固定レートより優先する。 固定レートスワップは保証された金額を提示しますが、プロバイダーはそのリスクをより広いスプレッドと、レートが大きく動いた場合に返金する権利(往々にしてKYC付き)を留保することでヘッジします。フロートレートは執行時の市場価格を受け入れるもので、通常より安価でレビューを引き起こしにくいのです。
4. プライバシー尊重型のネットワーク経路を使う。 スワップUIにはTorまたは信頼できるVPN経由でアクセスしましょう。一部プロバイダーはクリアネットと.onionで異なるコンテンツを配信しています ― 通常.onionの方がトラッカーが少なく、フォームもシンプルです。
5. 自分が管理するウォレットから送る。 カストディアル取引所から直接スワップすることは絶対に避けてください。まず自分のウォレットに引き出し、そこから送りましょう。これによりスワップ提供者があなたの入金とKYC済み取引所アドレスを紐づけることを防げます。
6. 成功と決めつける前にconfirmationを確認する。 ほとんどのBTC→XMRスワップはXMR送信開始前に1〜3 BTC confirmationsを要します。注文ステータスを注視しましょう。スワップが文書化されたウィンドウを過ぎて停滞した場合、待つのではなくただちに返金リクエストを提出してください。
7. 意図を持って使うか、スイープする。 Moneroが到着したら、それをMoneroとして扱ってください ― オンチェーンタグ付きBTCの偽装として扱わないこと。RingCT、ステルスアドレス、Bulletproofsのプライバシー特性は受信を保護しますが、アドレスを外部に紐づけない場合に限ります。

スワップ提供者が入金後にKYCを求めてきたら、それはコンプライアンス要請ではありません ― それはレバレッジです。誠実な提供者は注文への資金投入前に毎回必ずルールを伝えます。

具体的なケーススタディ:0.15 BTC、3つの提供者、3つの結果

2026年3月、「xmr-tested」というハンドル名のプライバシー研究者がMoneroのsubredditで実験結果を公開しました。彼らは0.45 BTCを3等分し、それぞれ0.15 BTCを同じ日、同じTorサーキットから、新しいMoneroサブアドレス宛に、異なる「KYC不要」を謳う提供者を通じて流しました。結果は、どのマーケティングコピーよりも雄弁に現状を物語っています。

提供者A(FixedFloat直接): 注文開始、BTC入金、2 confirmations到達。47分目に注文ステータスが「Verification required」に変わり、ID、セルフィー、資金源証明の要求が表示されました。研究者は拒否。返金オファーには12%の手数料が課され、しかもKYCを要求するものでした。研究者は書類提出よりも資金を放棄することを選択 ― 当時のBTC価格で9,200ドルの授業料となりました。

提供者B(欧州の人気アグリゲーター): 注文開始、BTC入金、1 confirmation到達。XMRは18分以内に宛先サブアドレスに配送されました。検証要求なし。スプレッド込みの実効手数料は約1.4%。

提供者C(MoneroSwapper): アグリゲーターインターフェースを通じて注文開始。研究者のリスク選好に基づくフィルタリング後、KYC不要バックエンドにルーティングされました。BTC入金、1 confirmation到達。XMRは22分以内に配送されました。検証要求なし。実効手数料はアグリゲーターの透明なルーティングマージン込みで約1.6%。

ここで重要なのは「提供者Aが特別に悪い」ということではありません ― マーケティング上のラベル「KYC不要」が提供者によって異なる重みを持つということです。各提供者あたりサンプルサイズが1なので、これを統計的な比較として扱ってはいけません。しかし、公開された苦情のパターンと一致し、当社のユーザーが報告する内容とも一致します。

スワップの先にあるプライバシー:せっかくの努力を無駄にしないために

BTCをKYCなしでMoneroに変換することは、最初の一歩に過ぎません。よくある間違いがバックエンド側でプライバシー獲得を台無しにすることがあります。

• 透明性のあるチェーンへ素早く戻すこと。 1時間以内にBTC → XMR → USDTとスワップした場合、オンチェーンのタイミング分析で金額相関が取られる可能性があります。少なくとも24時間、理想的にはそれ以上待ち、金額も変えることを検討しましょう。
• 同じMoneroアドレスを再利用すること。 アドレス再利用はBitcoinほど致命的ではありませんが、依然としてメタデータの漏洩です。毎回新しいサブアドレスを使いましょう。
• MoneroウォレットをTor経由でなくリモートノードに接続すること。 リモートノード運営者はすべてのウォレット接続のIPアドレスを把握できます。自分自身のノードを実行するか、Tor/I2P経由で接続するか、Onion routingレイヤー上で信頼できる公開ノードを使いましょう。
• レシートを通じたメタデータ漏洩。 XMRをBTCにスワップし直すサービスがKYC済みメールアドレスにレシートをメール送信した場合、その時点で二つのアイデンティティが架橋されてしまいます。

Moneroのプロトコル ― リング署名による混合、RingCTによる金額秘匿、ステルスアドレス受信者、Dandelion++トランザクション伝播、そして今後予定されているSeraphisおよびJamtisアップグレード ― は本番展開されている中で最も強力なプライバシースタックの一つです。意図的に使いましょう。プロトコルはエッジでの運用ミスからあなたを救ってはくれません。

FAQ

ショットガンKYCは合法ですか?

大半の管轄区域のAMLフレームワーク下では、取引所が利用規約を変更したり、リスクベースの検証を適用したりすることは一般的に合法とされています。それが消費者保護法に適合しているかは別問題で、2025年には複数のEU加盟国の規制当局が、「KYC不要」と広告した上で入金後にID要求を行う行為は誤認させる商業慣行に該当しうると示唆しています。日本の消費者契約法や景品表示法の観点からも、入金後の一方的な条件変更はグレーゾーンと言えるでしょう。大手提供者に対する執行措置はまだ行われていませんが、法的環境は変化しつつあります。

FixedFloatは検証を拒否した場合、本当に私の資金を保持できるのですか?

実務的には、はい ― 少なくとも一時的には。彼らの利用規約は、コンプライアンスレビュー中の資金保持と返金手数料の徴収を許可しています。民事による回収は理論的には可能ですが、5万ドル未満の金額についてはコスト効率が悪く、現実的ではありません。実際の選択肢は、コンプライアンスに従う(プライバシーを失う)、返金手数料を支払う(金銭を失う)、あるいは諦める(すべてを失う)のいずれかです。これこそが入金前のデューデリジェンスが重要な理由です。

アトミックスワップは非技術者にも本当に実用的ですか?

2年前よりは実用的になりましたが、依然としてWebフォームよりは多くのセットアップを要求します。COMITやFarcasterのアトミックスワップクライアントはローカルプロセスの実行、ポートの開放、30〜90分のプロトコル待ちを必要とします。週単位でスワップを行い利便性よりトラストレス性を重視するユーザーにとっては学習曲線は報われます。たまにしかスワップしないユーザーにとっては、バックエンドを精査するMoneroSwapperのようなアグリゲーターが通常適切なトレードオフです。

どの入金額がショットガンKYCを最も引き起こしやすいですか?

非公開のしきい値として最もよく報告されているのは、0.05 BTC、0.1 BTC、0.5 BTC付近に集中しています。これらは公式な数字ではなく ― 提供者は公表していません ― 時間とともに変動します。小さい金額が免除されるわけではなく、特に入金アドレスにチェーン分析上の汚れがある場合は要注意です。大きい金額はリスク意識の高い提供者ではほぼ確実にレビューを引き起こします。

Torを使うと検証フラグの確率は下がりますか?

チェーン分析には直接影響しません。フラグは入金アドレスのオンチェーン履歴に基づくのであって、ブラウジングのIPに基づくのではないからです。しかしスワップ提供者があなたのIPを過去の訪問と相互参照することは防げ、これは別の相関ベクトルからの保護になります。Torはショットガンkycに対する魔法のシールドではありませんが、賢明な防御の一層です。

KYC書類を提出した場合、プライバシーには何が起こりますか?

提出した時点で、提供者はあなたのIDとスワップしていた特定のMoneroアドレスを結びつける永続的な記録を保有することになります。その記録は召喚状、ハッキング、将来の規制データ共有の対象となります。スワップが成功裏に完了したとしても、そのXMR宛先は事実上de-anonymized(脱匿名化)されています。この状況に陥った多くのユーザーは、ただちに資金を新しいウォレットにスイープし、元のアドレスを焼け跡として扱います。

日本のユーザーが特に注意すべき点は?

日本居住者は税務上、暗号資産の譲渡所得が雑所得として扱われる点を忘れてはいけません。たとえ匿名性の高いMoneroを取得しても、それを日本円や課税対象資産に交換した時点で課税義務が発生します。プライバシーは法的義務の免除ではありません。また、金融庁(FSA)の登録を受けていない海外サービスを利用する際は、何らかのトラブルが発生しても国内の救済窓口(国民生活センターや消費者庁)は実質的な仲介ができないことが多いため、利用前に提供者の評判と返金実績を入念に調査することが特に重要です。

海外スワップサービスの評判を日本から確認する具体的な方法は?

大半の苦情情報は英語コミュニティ(Reddit、Monero公式フォーラム、Trustpilot、Bitcointalk)に集約されているため、日本語だけで情報収集すると見落としが発生します。最低限、サービス名と「frozen」「held」「KYC」「refund denied」といったキーワードを組み合わせて英語検索を行いましょう。X(旧Twitter)では「#Monero」「#XMR」のタグを購読している日本人ユーザーも一定数おり、突発的な凍結事例が比較的早く流れてきます。GitHubでサービスの公式リポジトリがある場合は、Issuesタブで「frozen」「KYC」を検索すると、解決されていない苦情が残っているか確認できます。さらに、Moneroコミュニティが運営するwarrant canary(令状カナリア)の更新有無も、海外サービスの透明性を測る間接的な指標になります。日本語の暗号資産系YouTubeチャンネルやブログは収益化のため特定サービスを推奨しているケースが多く、利益相反の観点から一次情報源としては慎重に扱うべきです。

結論

ショットガンKYCは、KYC不要スワップ市場のバグではありません ― 規制と事件後の圧力に対する意図的な反応であり、一部の提供者は採用し、他の提供者は拒否しているのが現状です。FixedFloatはその規模と2024年のハッキングのため最も可視性の高い例ですが、このパターンは業界全体に広がっています。自分を守る方法は、自分の特定のスワップがフラグを免れることに賭けることではありません。ビジネスモデルと事件履歴が広告するプライバシーと整合する提供者を選び、残りのプライバシースタックを保つ運用衛生を適用することです。

MoneroSwapperが存在するのは、宣伝されているKYC不要の振る舞いと実際の振る舞いの間のギャップが埋める価値があるほど広いからです。私たちは精査されたバックエンドを横断的にルーティングし、資金を投入する前に手数料を透明に表示し、アカウントを要求しません。ショットガンKYC事件で痛い目を見た経験があり、おとり広告なしでBTCをMoneroにスワップしたいのであれば、匿名Monero購入ページが出発点です。さらに踏み込みたい方 ― アトミックスワップ、Haveno、自前ノードの運用 ― については、ガイドライブラリの他の記事でカバーしています。