暗号資産の普及とともに、フィッシング詐欺の被害も急増しています。偽のウェブサイトやメール、SNSメッセージを使って秘密鍵やシードフレーズを盗み取る手口は、初心者だけでなく経験豊富なユーザーも被害に遭っています。
ブロックチェーン上のトランザクションは取り消しができないため、一度資産を盗まれると取り戻すことはほぼ不可能です。本記事では、暗号資産を狙うフィッシング詐欺の代表的な手口と、それらから身を守るための具体的な対策を解説します。
正しい知識を身につけて、大切な資産を守りましょう。
暗号資産を狙うフィッシング詐欺の手口
フィッシング詐欺にはさまざまなパターンがありますが、暗号資産の世界で特に多いのは以下の手口です。
1. 偽のウォレット接続サイト
DeFiプロトコルやNFTマーケットプレイスに見せかけた偽サイトを作成し、ウォレットの接続を求めてきます。接続すると、悪意のあるトランザクションへの署名を促され、承認してしまうと資産が抜き取られます。URLが本物と微妙に異なる(例:uniswap.orgではなくun1swap.orgなど)のが特徴です。
2. 偽のエアドロップ・プレゼント詐欺
「無料トークンを配布します」「○○をフォロー&RTで暗号資産をプレゼント」といった告知で偽サイトに誘導します。トークンを受け取るためにウォレットを接続するよう求められ、実際にはトークンアプルーバルやシードフレーズの入力を求められます。
3. 偽のカスタマーサポート
DiscordやTelegramで「サポート」を名乗るアカウントからDMが届き、「ウォレットの問題を解決するためにシードフレーズを入力してください」と誘導されます。正規のプロジェクトがDMでシードフレーズを求めることは絶対にありません。
4. 偽のハードウェアウォレット
中古や非正規ルートで購入したハードウェアウォレットに、あらかじめ攻撃者が設定したシードフレーズが書かれた紙が同封されているケースがあります。そのシードフレーズを使うと、攻撃者がいつでも資産にアクセスできてしまいます。
5. アドレスポイズニング
あなたのウォレットアドレスに似た偽アドレスから少額の送金を行い、トランザクション履歴に紛れ込ませます。次回送金する際に履歴からアドレスをコピーすると、偽アドレスに送金してしまうという巧妙な手口です。
フィッシング詐欺を見分けるポイント
フィッシング詐欺から身を守るには、まず「見分ける力」を養うことが重要です。
URLを必ず確認する
ウォレットを接続する前に、必ずURLが正しいか確認してください。ブックマークから公式サイトにアクセスする習慣をつけましょう。検索エンジンの広告枠に偽サイトが表示されることもあるため、検索結果の広告はクリックしないことをおすすめします。
急かされる内容には警戒する
「期間限定」「今すぐ対応しないと資産が失われます」といった、焦りを煽るメッセージはフィッシングの典型的なパターンです。冷静に対処し、公式チャンネルで情報を確認しましょう。
DMで届く案内は基本的に無視する
Discord、Telegram、X(旧Twitter)などのDMで届くサポートやエアドロップの案内は、ほぼすべて詐欺です。公式の告知は公開チャンネルで行われます。
署名内容を確認する
ウォレットがトランザクションの署名を求めてきたら、何に署名しているのかを必ず確認してください。意味不明な関数呼び出しや、大量のトークンへのアプルーバルが含まれていないかチェックしましょう。
フィッシング詐欺から資産を守る具体的な対策
見分ける力に加えて、技術的な対策も講じることで防御力が大幅に向上します。
1. ハードウェアウォレットを使用する
ハードウェアウォレットを使えば、トランザクションの署名時にデバイス上で内容を確認できます。偽サイトに接続してしまっても、デバイス上で不審な内容に気づいて署名を拒否できるため、被害を防げる可能性が高まります。
2. ブラウザ拡張機能を活用する
Pocket Universe、Fire、Blowfishなどのセキュリティ系ブラウザ拡張機能を導入しましょう。トランザクションの内容をシミュレーションし、危険な操作を事前に警告してくれます。
3. トークンアプルーバルを定期的に確認・取り消す
Revoke.cashやEtherscanのToken Approval Checkerを使って、過去に許可したトークンアプルーバルを定期的に確認し、不要なものは取り消しましょう。
4. ウォレットを用途別に分ける
すべての資産を1つのウォレットに入れるのではなく、用途別に複数のウォレットを使い分けましょう。DeFiやNFTのミントに使うウォレットには最小限の資産だけを入れ、大部分の資産はコールドウォレットで保管するのがベストです。
5. 公式リンクはブックマークして管理する
よく使うDeFiサイトやNFTマーケットプレイスのURLは、ブックマークに登録して管理しましょう。SNSの投稿やDM内のリンクからはアクセスしないことを徹底してください。
6. 二要素認証(2FA)を有効にする
取引所アカウントには必ず二要素認証を設定しましょう。SMS認証よりも、Google AuthenticatorやAuthyなどのアプリ認証のほうが安全です。
もし被害に遭ってしまったら
万が一フィッシング詐欺に遭ってしまった場合は、迅速な対応が被害の拡大を防ぎます。
・まだ資産が残っている場合は、すぐに別の安全なウォレットに資産を移動させてください。シードフレーズが漏洩した場合は、そのウォレットは二度と安全に使えません。
・トークンアプルーバルが原因の場合は、Revoke.cashで該当のアプルーバルを即座に取り消してください。
・取引所アカウントが侵害された場合は、取引所のサポートに連絡し、アカウントの凍結を依頼してください。
また、被害状況を記録し、他のユーザーが同じ被害に遭わないよう、コミュニティで情報を共有することも大切です。
まとめ
フィッシング詐欺は、暗号資産ユーザーにとって最大の脅威のひとつです。以下のポイントを日頃から意識しましょう。
・URLは必ず確認し、公式サイトはブックマークからアクセスする
・DMで届くサポートやエアドロップの案内は無視する
・シードフレーズを入力させるサイトはすべて詐欺
・ハードウェアウォレットとセキュリティ拡張機能を活用する
・トークンアプルーバルを定期的に見直す
・ウォレットを用途別に分けて、リスクを分散する
「自分は大丈夫」と思っている人ほど被害に遭いやすいのが詐欺の恐ろしいところです。常に警戒心を持ち、怪しいと思ったら立ち止まって確認する習慣を身につけてください。