学ぶ

スマートコントラクト監査とは?「監査済み」が意味しないことと報告書の読み方

スマートコントラクト監査報告書の構造を示す概念図。上部にスコープとコミットハッシュ、中央に重大度(critical/high/medium/low)、右側に Fixed と Acknowledged を含む対応ステータス欄が強調されている。
Photo: jaydeep_ / CC0

結論:監査は「安全の証明」ではなく「ある時点のコードを読んだ記録」です

スマートコントラクト監査とは、外部の専門家が特定のコミット(コードのある一時点のバージョン)を、あらかじめ決めた範囲で、限られた期間読み、見つけた問題を報告書にまとめる作業です。合否を出す検定でも、プロジェクト全体のお墨付きでもありません。

監査企業自身がそう明記しています。Quantstamp が Nomad ブリッジ向けに公開した報告書(2022年6月6日)の免責事項は、これが「提供された資料の範囲に基づく、その時点での限定的なレビュー」であり「結果は網羅的ではなく、すべての脆弱性を含むとは限らない」、さらに「レビューはコンパイラ層には及ばない」と述べたうえで、こう言い切ります。

A report does not indicate the endorsement of any particular project or team, nor guarantee its security.
(報告書は特定のプロジェクトやチームを推奨するものでも、その安全性を保証するものでもない)

要点

用語について:本記事では Quantstamp / CertiK / Trail of Bits などのブロックチェーン・セキュリティ企業を「監査企業」と表記します。公認会計士法上の「監査法人」(公認会計士が設立し会計監査を担う法定の主体)とは別物であり、これらの企業に会計監査のような法定資格・登録制度はありません。「監査」という同じ語が使われていても、後ろにある制度は存在しない、という点はこの記事全体の前提です。

コントラクトの仕組み自体はスマートコントラクトとは、リスクの全体像はスマートコントラクトのリスクで扱っています。本記事はその先、「監査報告書」という成果物の読み方に絞ります。

監査は「いつの」「どのコード」を見たのか

本物の報告書は対象を厳密に特定します。先の Nomad 報告書の場合:

項目記載
レビュー期間2022-04-12 〜 2022-06-06
言語 / EVMSolidity / London
対象コミットnomad-monorepo @ 17f0557(ほか zodiac-module-gnomad @ d887024, 482c1e2, 93daaf9

コミットハッシュまで書く理由は単純です。監査したのは「そのコミットのコード」であって、それ以外ではないから。翌日に1行変われば、その1行は誰にもレビューされていません。

これは机上の話ではありません。監査企業 Zellic の分析によれば、Nomad で実際にチェーン上にあった Replica.sol のうち監査版と一致していたのは 18.6% にすぎず、差分は process / acceptableRoot / prove という中核機能に集中していました。Zellic は「ハックの原因となったコードは監査開始後に投入された」「最終的にデプロイされたコードは監査されたコードと異なっていた」と書いています。これが audit drift(監査ドリフト) です。ブリッジ固有の構造リスクはブリッジのリスクにまとめました。

報告書で本当に読むのは「ステータス」欄

初心者が最も誤読するのは、重大度(critical / high / medium / low)ではなく各指摘の対応ステータスです。Quantstamp の定義:

ステータス意味
Fixed実装を修正しリスクを解消した
Mitigated影響度・発生確率を下げた
Acknowledged意図的な事業/設計判断の結果として、問題はコードに残っている
Unresolvedリスクの存在を認めたうえで、受け入れることにした

要点

Acknowledged は「認識した」であって「直した」ではありません。監査報告書で最も誤読されるフィールドです。

Nomad の報告書は40件の指摘のうち Resolved が16件だけでした(high 1/1、medium 6/6、low 7/18、informational 1/9、undetermined 1/6)。「監査を受けたか?」しか見ない読者は、24件が未解決のまま残ったことを見落とします。そして未解決の中に、決定的な1件がありました。

「監査済み」で流出した5つの実例

プロトコル流出日金額(DefiLlama、2026-07-16時点)監査で何が起きていたか
Nomad2022-08-01$190,000,000該当バグを指摘済み。ただし Low / Acknowledged
Euler2023-03-13$197,000,000「業界標準よりはるかに多い回数」の監査+$1M の報奨金があってなお
Curve DEX2023-07-30$61,700,000(推計に幅あり)バグはコントラクトの下=Vyper コンパイラ
Cetus CLMM2025-05-22$223,000,000MoveBit 報告書は18件すべて Fixed
Balancer V22025-11-03$128,000,000悪用されたライブラリが後続監査でスコープ外

Nomad:監査人が指摘し、チームが断り、約2か月後に $190M

Quantstamp の QSP-19「Proving With An Empty Leaf」(重大度 Low Risk、ステータス Acknowledged、対象 Replica.sol)は、後にブリッジを空にしたバグそのものを記述していました。空の bytes32_leaf として渡し、人工的なマークル証明で包含チェックを通せてしまう——推奨対応は「Replica.sol:prove_leaf が空でないことを検証せよ」の一行でした。

報告書が特異なのは、チームの拒否と、それへの反論まで残していることです。Nomad 側は「空のリーフの原像を見つけるのは事実上不可能だと考える」と回答。監査人はこう書き返しました。

We believe the Nomad team has misunderstood the issue. ... Therefore, anyone can call the prove function with an empty leaf and update the status to be proven.
(Nomad チームは問題を誤解している。……したがって誰でも空のリーフで prove を呼び、ステータスを proven にできる)

見つけ、Low と評価し、直されなかった。Nomad ブリッジは 2022-08-01 に $190,000,000 を失いました(DefiLlama、2026-07-16時点/分類 Protocol Logic・手口 Trusted Root Exploit)。

Balancer:重大度・スコープ・時点、3つとも外れた

Trail of Bits は、自社が過去に監査した Balancer が攻撃されたあと、経緯を自ら公開しました。根本原因は「何年も前からコードに存在していた丸め方向の問題」であり、同社は率直にこう認めています。

We now know that the Composable Stable Pools that were hacked on Monday were exploited using the same vulnerability that we reported in our audit.
(月曜にハックされた Composable Stable Pools は、我々が監査で報告したのと同じ脆弱性で悪用された)

同社によれば、2021年に Balancer v2 を3回レビュー。2021年4月時点のコミットに当該脆弱性は存在せず、2021年10月の Linear Pools 監査で TOB-BALANCER-004 として報告したものの、悪用可能かを断定できなかったため undetermined severity(重大度未確定) と評価。そして2022年9月の Composable Stable Pools 監査では「The Stable Math library was explicitly out of scope.(当該ライブラリは明示的にスコープ外)」。

つまり「Trail of Bits に監査済み」が事実でありながら、悪用されたライブラリは一度もスコープに入っていなかった、という状態が成立します。小さな指摘の格付けが難しい理由も同社が説明しています——1 wei の精度損失は、ファザーが最初に見つけた時点では些細に見えても、低流動性プールの特定パラメータ下では収益化できるほど大きくなり得る、と。重大度は事実ではなく判断です。

形式検証も救いにはなりませんでした。Certora は2022年の監査で Balancer v2 の Stable Pools を形式検証していましたが、攻撃後、検証していた性質が不十分だったと明言しています。

The verified properties did not constrain the relationship between individual swaps or rounding behavior.
(検証された性質は、個々のスワップ同士の関係や丸めの挙動を制約していなかった)

形式検証が証明するのは、あなたが書いた性質だけです。 Balancer V2 は 2025-11-03 に $128,000,000 を失いました(DefiLlama、2026-07-16時点)。Trail of Bits は「9つのチェーンにまたがって $100M 超が抜かれた」と表現しています。

Cetus:「全件 Fixed」のきれいな報告書でも

Cetus は監査報告書を公開リポジトリ(CetusProtocol/Audit)に置き、MoveBit・OtterSec・Zellic の報告書を誰でも検証できます。バッジを信じさせるのではなく検証させる——これ自体は良い実務です。MoveBit(2023-03-27〜04-28、Move on Sui、cetus-clmm-sui @ 11d65f5d…)は18件(minor 12・medium 3・major 2・critical 1)を指摘し、18件すべて Fixed

それでも Cetus CLMM は 2025-05-22 に $223,000,000 を失いました(DefiLlama、2026-07-16時点/Protocol Logic・手口 Spoof Token Exploit。報道により約$220M〜$223Mと幅があります)。データセット中、2025年最大の DeFi 損失です。

OtterSec(2023-03-30〜05-03)の下位区分 OS-CTS-SUG-04「Possible Arithmetic Errors」は、u256 の戻り値を u64 にキャストする箇所について「MAX_U64 を超えると算術エラーが起きうる」と指摘。対応状況は「Cetus チームは、そのシナリオが起きる可能性は極めて低いと回答し、パッチを当てない」でした。

⚠️ 正確に言えば、SUG-04 の対象は compute_swap_step であり、2025年に悪用された経路とは別の関数です。「同じバグを見つけていたのに無視された」のではなく、同種のバグ・クラス(u256→u64 のオーバーフロー)が「起こりにくい」として見送られた、が正しい表現です。OtterSec 自身、下位区分を「即座のセキュリティ影響はないが、アンチパターンであり将来セキュリティ問題につながりうるもの」と定義しています。

Curve:バグはコントラクトの「下」にあった

2023-07-30 の Curve DEX の流出は、コントラクトのロジックではなく Vyper コンパイラのバグが原因でした。公式アドバイザリ GHSA-5824-cm3x-3c38(CVE-2023-39363、Critical、2023-08-05公開)は「Incorrectly allocated named re-entrancy locks」と題し、Vyper 0.2.15 / 0.2.16 / 0.3.0 が影響し 0.3.1 で修正されたと記載。名前付き再入ロックがキーに関係なく関数ごとに別々に割り当てられていたため、関数をまたいだ再入が可能でした。

ソースコードをいくら読んでも、コンパイラが仕様どおりに翻訳していないことは見えません。 これは Quantstamp の免責事項が「レビューはコンパイラ層には及ばない」と書いた、まさにその場所です。DefiLlama もこの件を Protocol Logic ではなく Infrastructure(手口欄は「Vyper Compiler Bug」)に分類しています。金額は $61,700,000(2026-07-16時点)ですが、当時の報道は総額約$70M・ホワイトハット等の返還後で約$52M など推計に幅があり、単一の数字を確定値として扱うべきではありません。

Euler:監査回数もバグ報奨金も足りなかった

Euler は自社ブログで、donateToReserves が「準備金に寄付するだけで既存ユーザーが自らを不健全な状態に置けてしまわないよう確認するヘルスチェックを欠いていた」と説明しています。同社は「業界標準よりはるかに多い回数、多大なコストをかけて監査を受けた」とも、「Euler の重大なバグを見つけた者に $1M のバグ報奨金」を運用していたとも書いています。それでも 2023-03-13 に約 $197M を失いました。攻撃者が資産を返還し DefiLlama は returnedFunds を $240,000,000 と記録していますが(2026-07-16時点)、これは極めて例外的な結末であり、安心材料ではありません

監査が構造的に届かない領域 ─ 失われた金額の 56%

ここが最大の限界です。DefiLlama の hacks API を 2026-07-16 に直接集計した結果(全586件・累計 $16,712,372,055):

分類損失額全体比件数
Infrastructure秘密鍵の侵害・ソーシャルエンジニアリング・管理者権限の乗っ取り)$9,396,368,10056.2%124
Protocol Logic(コントラクトのバグ=監査が狙う領域)$5,640,218,95533.7%340

要点

コントラクトのバグは件数では最多ですが、金額では少数派です。スマートコントラクト監査は、構造的に損失の過半に手が届きません。

  • Ronin Bridge:2022-03-23、$624,000,000、「Private Key Compromised (Social Engineering)」。コードが完璧でも署名者が乗っ取られれば全損、という典型例です。
  • DefiLlama のデータセット中で日本最大の2件も同カテゴリ:Coincheck が 2018-01-26 に $534,000,000、DMM Bitcoin が 2024-05-31 に $305,000,000。いずれも「Private Key Compromised (Unknown Method)」と記録されています(DefiLlama、2026-07-16時点)。どちらもスマートコントラクト監査では防げません。

⚠️ 「日本最大」をデータセット内に限定したのには理由があります。2014年の Mt. Gox は、2014-02-28 に東京で民事再生手続の開始を申し立てた際、顧客分の約75万BTC と自社分の約10万BTC(計約85万BTC)を失ったと公表し、申立当時の時価で約$473M と報じられました。金額では DMM Bitcoin($305M)を上回りますが、同データセットには1件も収録されていません。つまり本節の出典自身に死角があります。「データに無い」は「起きていない」ではありません。 監査報告書のスコープを疑うのと同じ目で、データセットのスコープも疑ってください。

件数の傾向も見ておく価値があります。同じ集計で 2026年は7月16日までに 138件・$1,005,382,056。約6か月半で、過去のどの通年(最多でも97件)よりも件数が多い状態です。2026年4月だけで $644,849,950(27件)に達し、最大は Drift Trade の $295,000,000(2026-04-01、手口「Compromised Admin + Fake Token Price Manipulation」)——4月最大の損失もコントラクトのバグではなく管理者権限の侵害でした。最新値は DefiLlama の Hacks データベース で確認できます。

誰が監査しているのか(2026-07-16 時点)

記憶やまとめ記事で名前を並べると、すでに畳んだ事業者を「現役」と書いてしまいます。実際に確認した現況です。

事業者現況(2026-07-16 時点)公式
OpenZeppelin稼働中。Solidity / Cairo / Rust / Go を監査。修正後に再確認する Fix Review 工程を明示openzeppelin.com/security-audits
Trail of Bits稼働中。公開レポートを GitHub に集約(最終 push 2026-07-15)github.com/trailofbits/publications
Consensys Diligence稼働中。ドメイン移転済み:consensys.io/diligence → diligence.security(表記も「Consensys Diligence」)diligence.security
CertiK稼働中。形式検証+監査、Skynet を提供certik.com
Quantstamp稼働中。監査の有無は certificate.quantstamp.com で確認quantstamp.com/audits
Sigma Prime稼働中(sigp/public-audits 最終 push 2026-05-26、直近は「Term Finance v2 review」)github.com/sigp/public-audits
Spearbit単独の事業者ではありません。現在は Cantina 内の「Spearbit Services」部門cantina.xyz
Sherlock稼働中。監査コンテスト(audits.sherlock.xyz)を継続sherlock.xyz
Code4rena⚠️ 事業終了へ。公式サイトに「Code4rena is winding down. After 5 years of securing DeFi, Code4rena is closing its doors.」と掲示(進行中のコンテスト/バウンティは完了まで継続)code4rena.com

The Block は 2026-05-13、Code4rena が「熟慮のうえ、Code4rena を畳む決定をした」と述べ、Immunefi が顧客とリサーチャーの移行で提携し、バウンティの「スコープ・ルール・報酬体系」の移管を支援すると報じました。同記事によれば Zellic が2024年に Code4rena を買収して独立運営を表明しており、Code4rena は2023年に Paradigm から $6M を調達しています。

※上表の各社が掲げる実績数値(TVL・検出件数・リサーチャー数など)はすべて自社サイト上の自称値で、第三者の検証を経たものではありません。

監査は「点」の防御です。それを「線」にするのがバグ報奨金で、Immunefi は 2024-06-20 の発表で、ホワイトハットへの報酬支払が $100M を突破したと公表し、notable payouts(主な支払例)として Wormhole の $10M、Aurora の $6M、Polygon の $2.2M を挙げています。これは同社が「主な例」として選んだ非網羅的なリストであり、順位付けではありません(同社サイトの「$190B+ Protected」「60k+ Security Researchers」等も2026-07-16時点の自称値です)。ただし Euler が示すとおり、$1M の報奨金があっても攻撃は起きます。

60秒チェックとレッドフラグ

  1. 報告書 PDF そのものへのリンクがあるか。 バッジやロゴだけなら、その時点で情報はゼロです。
  2. 確認は監査企業側で。 CertiK は自社の Skynet(skynet.certik.com)で監査済み・KYC 済みプロジェクトを確認できると案内し、Quantstamp は certificate.quantstamp.com を挙げています。プロジェクト側のサイトではなく、監査企業側のポータルで確認してください。
  3. スコープとコミットを照合する。 報告書のコミット/アドレスと、いま動いているものが一致するか(Nomad の 18.6% を思い出してください)。
  4. 重大度ではなくステータス欄を数える。 critical・high に Acknowledged / Unresolved が残っていないか。
  5. ソースコードが verified か。 ethereum.org の定義では、ソースコード検証は「スマートコントラクトのソースコードと、コントラクト作成時に使われたコンパイル済みバイトコードを比較して差異を検出すること」——公開ソースがデプロイ済みバイトコードと一致することを確認するだけで、安全性は別問題です(同サイトは形式検証=「コントラクトが期待どおりに振る舞うことの正しさを検証すること」と明確に区別しています)。verified は安全の保証ではありませんが、unverified は赤信号です。監査人を含め、誰も動いているコードを読めません。読み方はブロックエクスプローラーの読み方へ。

レッドフラグ:

  • 偽の監査。 CertiK 自身が公表している事例では、Lymex というスキームが CertiK を監査人として掲載していたものの、KYC を通過できず実際にはサービスを受けておらず、約 $300,000 の損失が出ました。ロゴは監査の証拠ではありません。
  • アップグレード可能なコントラクト+管理者鍵。 DL News の報道によれば、Arbitrum 上の DEX「Swaprum」は実際に CertiK の監査を受けてそれを宣伝していましたが、2023-05-18、開発者がコントラクトのアップグレード機能を使って約 $3M を引き出し、Tornado Cash 経由で資金洗浄しました。同報道によれば CertiK の報告書は中央集権リスクを指摘していたものの、それはスコアには反映されていませんでした。今日読んだコードは、明日には差し替えられます。
  • 知らない事業者名/別コントラクト・古いコミットの監査。 上の現況表と、各社の公開レポート集(trailofbits/publicationssigp/public-audits など)で突き合わせてください。

詐欺の見分け方の全体像は詐欺対策ガイドにあります。

覚えておくべき1文

「監査を受けましたか?」は、ほとんど何も聞いていないのと同じです。聞くべきは——どの範囲を、どのコミットで、いつ見て、指摘のうち何件が実際に直され、再レビューされたのか。そして、いま動いているコードは本当にその監査版なのか。

投資にあたっての注意

本記事は情報提供を目的とした解説であり、投資助言ではありません。暗号資産は価格変動やハッキング等のリスクがあります。数値・制度は変わります。必ず一次情報で最新をご確認のうえ、投資判断はご自身の責任で、余裕資金の範囲で行ってください。

Sources

  1. Quantstamp — Nomad 監査報告書(PDF、2022-06-06。スコープ・コミット・QSP-19・免責事項)
  2. Zellic — You Could Have Found the Nomad Hack(audit drift:デプロイ版の一致率18.6%)
  3. Trail of Bits — Balancer hack analysis and guidance for the DeFi ecosystem(TOB-BALANCER-004/explicitly out of scope)
  4. Certora — Breaking down the Balancer hack(形式検証の限界)
  5. Cetus Protocol — 公開監査レポート・リポジトリ(MoveBit / OtterSec / Zellic)
  6. Vyper — 公式アドバイザリ GHSA-5824-cm3x-3c38 / CVE-2023-39363(Curve 流出の原因となったコンパイラのバグ)
  7. Euler Finance — War & Peace: Behind the Scenes of Euler's $240M Exploit Recovery(donateToReserves/$1M バグ報奨金)
  8. DefiLlama — DeFi Hacks & Exploits データベース(ライブトラッカー)
  9. DefiLlama — hacks API(本記事の集計はこのエンドポイントから 2026-07-16 に直接算出。全586件・Mt. Gox は未収録であることも同日確認)
  10. Mt. Gox — Wikipedia(2014-02-28 東京で民事再生手続を申立/顧客分約75万BTC+自社分約10万BTC を喪失と公表、申立当時の時価で約$473M と報道。※DefiLlama hacks データセットには未収録)
  11. Code4rena — 公式サイト(事業終了の告知)
  12. The Block — Immunefi to absorb Code4rena bug bounty customers after shutdown decision(2026-05-13)
  13. CertiK — Misuse of the CertiK Brand: Fake Audits and Social Media Frauds(Lymex 約$300k/Skynet で確認)
  14. DL News — DeFi protocol Swaprum in $3m rug pull was Certik audited(2023-05-18・アップグレード機能による rug pull)
  15. ethereum.org — Verifying smart contracts(ソースコード検証と形式検証の違い)
  16. Immunefi — Immunefi Surpasses $100 Million in Whitehat Rewards(2024-06-20・「Notable payouts include」として Wormhole $10M / Aurora $6M / Polygon $2.2M を列挙=順位付けではない)
  17. OpenZeppelin — Smart Contract Security Audits(Fix Review 工程)
  18. Cantina — 公式サイト(Spearbit Services を内包)
  19. Quantstamp — Audits(検証ポータル certificate.quantstamp.com への案内)

FAQ

「監査済み」と書いてあれば安全ですか?
いいえ。監査は特定のコミットを、決められた範囲で、限られた期間読んだ記録にすぎません。Quantstamp は自社の報告書に「報告書は特定のプロジェクトやチームを推奨するものでも、その安全性を保証するものでもない」と明記しています。実際、Nomad(2022-08-01・$190M)、Euler(2023-03-13・$197M)、Cetus(2025-05-22・$223M)、Balancer V2(2025-11-03・$128M)はいずれも監査を受けたうえで攻撃されました(金額は DefiLlama hacks tracker、2026-07-16時点)。
監査報告書のどこを最初に見るべきですか?
①スコープとコミットハッシュ(いつの、どのコードを見たのか)、②各指摘の対応ステータス欄、の2つです。Quantstamp の Nomad 報告書は、レビュー期間 2022-04-12〜2022-06-06、対象 nomad-monorepo @ 17f0557 と明記しています。そして指摘40件のうち Resolved は16件だけでした。「監査を受けたか?」だけを確認すると、24件が未解決で残った事実を見落とします。
「Acknowledged(認識済み)」とはどういう意味ですか?
Quantstamp の定義では「意図的な事業/設計判断の結果として、問題がコードに残っている」状態です。修正済みという意味ではありません。監査報告書で最も誤読されるフィールドです。Nomad の指摘 QSP-19「Proving With An Empty Leaf」は重大度 Low・ステータス Acknowledged のまま残され、監査人がチームの反論に「問題を誤解している」と書き返した約2か月後、ブリッジは $190,000,000 を失いました。
「監査法人」と「監査企業」は何が違うのですか?
別物です。「監査法人」は公認会計士法上の法定用語で、公認会計士が設立し会計監査を担う規制対象の主体を指します。一方 Quantstamp・CertiK・Trail of Bits・OpenZeppelin などのブロックチェーン・セキュリティ企業は、これに該当しません(本記事ではこれらを「監査企業」と表記しています)。同じ「監査」という語でも、後ろに法定資格・登録制度があるわけではない、という点が重要です。監査企業の実績数値も基本的に自社サイト上の自称値であり、第三者の検証を経たものではありません。
プロジェクトのサイトに監査バッジがあれば信じていいですか?
いいえ。CertiK 自身が偽装事例を公表しており、Lymex というスキームは CertiK を監査人として掲載していたものの KYC を通過できず実際にはサービスを受けておらず、約 $300,000 の損失が出ました。確認は必ず監査企業側のポータルで行ってください。CertiK は Skynet(skynet.certik.com)、Quantstamp は certificate.quantstamp.com を案内しています。
スマートコントラクト監査で防げない攻撃はありますか?
はい、しかも金額ベースでは大半がそれです。DefiLlama の hacks API を 2026-07-16 に集計すると、Infrastructure(秘密鍵の侵害・ソーシャルエンジニアリング・管理者権限の乗っ取り)が $9,396,368,100=全体の56.2%(124件)を占め、Protocol Logic(コントラクトのバグ)は $5,640,218,955=33.7%(340件)です。同データセット中で日本最大の2件、Coincheck(2018-01-26・$534M)と DMM Bitcoin(2024-05-31・$305M)はいずれも秘密鍵の侵害で、監査の守備範囲外です(なお2014年の Mt. Gox は同データセットに収録されていません)。また 2023-07-30 の Curve DEX の流出は Vyper コンパイラのバグが原因で、Quantstamp の免責事項が「レビューはコンパイラ層には及ばない」と書いた領域でした。
空(Sora)
  • 暗号資産・ブロックチェーン
  • 初心者向け解説 / Beginner-friendly
  • 中立・出典重視 / Source-backed

暗号資産・ブロックチェーンの初心者向け解説を担当する編集者です。中立性と一次情報(出典)を重視し、やさしさと正確さの両立を心がけています。投資の勧誘や助言は行いません。 A crypto & blockchain editor focused on beginner-friendly, source-backed explainers. Neutral, never financial advice.

本記事は情報提供のみを目的とし、投資・金融・取引の助言ではありません。価格は参考値で古い場合があります。投資判断はご自身の責任で。