これまでに「MetaMaskウォレットの中のイーサリアムやNFTがいつの間にかなくなってる!」といった経験はございませんか?
NFTの注目度が上がるにつれて、周りでも日々NFT関連の盗難被害が増えてきているように感じます。本記事では、よくある仮想通貨ウォレットハッキング手口をまとめることで、どのようにして被害が生まれてしまうのか理解を深め、最後に対応策をお伝えできればと思います!
仮想通貨ウォレットハッキングが多発しています
NFT関連でのトラブルうちの大半はおそらくウォレットのハッキングによる仮想通貨やイーサリアムの盗難でしょう。しかも、そのうちの多くが、誰かにパスワードやシードフレーズを教えたわけではないにも関わらずいつのまにか中身が盗まれていた、という原因特定不明なケースとなってしまっているようです。
仮想通貨ウォレットは匿名で所持することができるため、一度仮想通貨やNFTが盗まれてしまうと、犯人を特定することはまずできません。そのため、予防をしっかり行うことで極力被害にあわないようにすることに、全力を尽くす必要があります。
よくあるハッキング手口
それでは、実際によくあるハッキング手口を見ていきましょう。
1. シードフレーズやパスワード、秘密鍵を第三者に伝えてしまった
まず、最もわかりやすい手口がこちらでしょう。「抽選で何名かにNFTや仮想通貨をあげるから、必要事項を記入してください」などといった巧妙な文句で誘い込み、必要事項としてシードフレーズやパスワードを聞き出す、というパターンです。こちらは特にNFTを始めたての初心者がターゲットにされやすく、シードフレーズなどの重要性を理解していないまま誤って第三者へ伝えてしまう、という形で被害が発生します。
特に、日本語ならまだしも多くの文句は英語で書かれていることもあり、怪しいと感じるセンサーが鈍ってしまうようにも思います。
また、他にも以下のようなメッセージが定番です。
- コラボレーションするためにウォレットを共有してください!
- あなたのアカウントが危険に晒されてます!保護するために、パスワードを教えてください!
- あなたのNFTを直接購入したいです!シードフレーズが必要です!
- Foundationに招待するからシードフレーズを教えて!
ご覧の通り、支離滅裂なものが多いですね。コラボもNFTの購入もFoundation招待も、シードフレーズやパスワードが必要になるわけがありません!
2. 偽MetaMaskアプリをダウンロードしてしまった
次によく見るのが、偽MetaMaskアプリをダウンロードし、ウォレット登録してしまった、というパターンです。
There is a fake MetaMask app on the Google Play store that will steal your private keys and all your cryptocurrency funds. DO NOT DOWNLOAD. We appreciate you reporting it as well. https://t.co/ELbWsl9pnH
— MetaMask (@MetaMask) 2018年2月10日
必ず公式サイトからダウンロードし、また公式サイトへ飛ぶ際は必ずURLをチェックするようにしましょう。
3. 偽ウェブサイトを踏んでしまった
MetaMask以外にも、偽マーケットプレイス等の偽ウェブサイトが次々にできております。アクセスしただけでもウォレット情報をハックされたりスパイウェアを送り込まれたりする可能性があるので、興味本位でも絶対に開かないようにしましょう。
下記のような偽サイトがとくに有名ですね。
- 偽Opensea
- 偽Foundation
- 偽Rarible
- 偽Google Drive
- 偽Dropbox
また、偽サイトに限らず、知らない人から受け取った怪しいURLは絶対に開かないようにしましょう。
4. 偽MetaMaskサポートアカウントに騙された
同じMetaMask関連の被害だと、MetaMaskサポートアカウントの偽物にまんまと騙されて、誤って個人情報を伝えてしまった、というパターンも多いです。
MeteMask公式サポートを装ったアカウントが度々増えては消え、を繰り返しており、またアカウントによっては公式アカウントよりも多くのフォロワー数を持っているものもあり、一件区別がつかない事態になっています。
ウォレット関連のエラーが起きたときに、ツイッター上で「○○○なエラーが起きているので誰か詳しい人は教えてください!」という内容の投稿をしてみると、これらの偽MetaMaskから一斉にリプライやダイレクトメッセージが飛んできます。エラーが起きて不安な中、迅速に反応してくれるサポートアカウントに安心して、思わずシードフレーズを伝えてしまいそうになる気持ちもわかりますが、踏みとどまってください。
また、フレーズを直接聞くわけではなく、巧妙にスパイウェアURLへ誘導するパターンもあります。絶対に相手にしないようにしましょう。
5. 偽メールにご用心
ウェブサイトやURLだけでなく、偽メールも横行しています。MetaMaskやOpenSea、Foundation等、著名なサービスのふりをした詐欺師が初心者クリエイターを見つけ次第、片っ端からメールを送っています。
ちなみに、メールの内容は下記のようなものが多いです。
- あなたの作品が売れました!
- あなたのアカウントが危険に晒されています!
- 利用規約を変更しました。今すぐ手続きが必要です!
本物サイトとの見分け方ですが、メールアドレスのドメインを確認するのが一番確実です。例えばOpenseaは「@opensea.io」ドメイン、Foundationは「@foundation.app」や「@withfoundation.com」ドメインを使用しており、それ以外のドメインを使用したメールアドレスは全て偽物だと断定してください。
6. 偽SMSにもご用心
メールと同じくらい、もしくはそれ以上に厄介なのが偽SMS。SMSはドメインなどのチェックができない分、送り主が偽物かどうか判断が難しいですよね。
SMS認証をしていないのにSMSが送られ来た場合は、ほぼクロだと疑って問題ありません。SMS認証をしたタイミングでSMSが送られ来た場合も、可能なら「SMSを再送信」することでダブルチェックするのがベターです。
7. 金持ちそうな外国人アカウントに制作依頼を持ちかけられた
アーティストたるもの、誰しも自分の作品が評価されると嬉しいものですし、ましてやロゴやイラスト、映像作品の制作依頼なんていただいたら舞い上がっちゃいますよね。でも、NFTワールドでは常に冷静でいましょう。
最近「君の作品は素晴らしい!ぜひ弊社のロゴをデザインして欲しい!」という誘い文句とともに詳細ファイルという建前で怪しいURLをダイレクトメッセージで送ってくるアカウントが増えてきています。何となく説得力のありそうなアイコンやプロフィールだと、つい信頼しちゃいそうになるかもしれませんが、ちゃんと過去のツイートやフォロワー数等、相手の情報をチェックしましたか?
それでも信頼性がある、と思うようであれば試しに「こちらから折り返しメールを差し上げるので御社のホームページを教えてください」等と言ってみましょう。果たしてまともなホームページを教えてもらうことはできますでしょうか?
8. ネットサーフィン中にスパイウェアに感染した
これまでのパターンと異なり、確固たる原因を特定できないのがこちらのケース。違法動画ダウンロードサイトなど、ただでさえスパイウェアが潜んでいる可能性が高いウェブサイトはもちろん、NFTアーティスト向けの情報サイトなども要注意です。
NFT界隈では被害が多発しており、NFTアーティストは恰好のターゲットとして注目されやすいことは否めなません。最低限、ウィルス対策ソフトやフィルタなどを施して、怪しいサイトを踏まないようにしましょう。
9. 関連デバイスやドライブアカウントがハックされた
NFT管理用のPCだけに気を配っていても、リスクは拭いきれません。Googleアカウント等で紐づいたスマートフォンやサブPCなどがスパイウェアに感染してしまったり、パスワードを管理しているドライブが別の端末上でハッキングされてしまったり、といった場合にはパスワードが流出してしまう可能性があります。
ベストを尽くすのであれば、NFT用のPCとそれ以外の端末は完全に回線やネットワークを切り分け、またアカウントの共有を一切行わないことをお勧めします。さすがにそこまでは厳しい、という場合はせめてMetaMaskアカウントをオンラインで管理することが無いように徹底しましょう。
10. 身に覚えのないNFTが勝手に送られ来た【NEW】
こちらは特に最近になって横行している手口です。いつの間にかウォレットの中に身に覚えのないNFTが入っており、消そうとしたところアカウントがハッキングされた、というケースです。
このようなスパムNFTには、中に巧妙なプログラムが仕掛けられており、コントラクトを発生させると同時にアカウントハッキングを行うような悪質なものが多くあります。
仮に身に覚えのないNFTがウォレットに送られてきていても、不本意かもしれませんが決して削除(Burn)しないようにしましょう。現在は、多くのマーケットプレイスで保有NFTを個別に非表示にできる設定が施されています。NFTを削除する代わりに、マーケットプレイス側の設定で見えなくしてしまうことをお勧めします。
どうやって防げば良い?
ここまで様々な手口を見てきましたが、これらをたった一つの方法で防ぐことはできません。複数の手段を組み合わせることで、意識的にウォレットを守ることに努めましょう。
- シードフレーズやパスワード、秘密鍵は第三者には伝えない
- 公式ホームページやアプリ以外は使用しない
- ウェブサイトのURLは正しいか、1文字ずつ確認する
- メールアドレスのドメインは正しいか、1文字ずつ確認する
- 見知らぬアカウントから送られたURLは開かない
- NFTや仮想通貨の配布、制作依頼、などの甘い言葉には用心する
- 日ごろから怪しいサイトは閲覧しない
- オンラインドライブなどにパスワードをメモしない
- なるべくNFT専用端末・回線を切り離す
- 常に浮かれず、冷静に判断する
これらの十戒を心に留め、これからも安全なNFTライフをお過ごしください!
LINEオープンチャットの新設のお知らせ
この度、より有益な情報発信や、NFT初心者の方々からの質疑応答を行えるよう、LINEオープンチャットを新設しました!ご興味のある方はぜひご参加くださいませ!