【初心者向け】メタマスク詐欺/ハッキングの事例/原因/対策/対応策をわかりやすく解説

はじめに


メタマスクの詐欺やハッキングはいつ誰が被害に遭ってもおかしくない
近年、仮想通貨やNFTの普及に伴い、メタマスクを用いた詐欺やハッキングの事例が増えています。
メタマスクは直接ユーザーがセキュリティ管理を行う必要のある仮想通貨ウォレットの一つです。
その特性上、ハッカーや詐欺師はユーザーを直接攻撃することが可能です。
そのため、メタマスクの詐欺やハッキング被害は毎日のように起こっていますし、いつ誰が被害に遭ってもおかしくありません。



事前に知識を入れて対策しておくことに越したことはないが、被害に遭ったとしても自分を責める必要はない。
盗られた資産はまず返ってこない
基本的に、詐欺師やハッカー盗まれた資産は二度と戻ってきません。
それを踏まえた上での対処、対応を行いましょう。



現実を受け止めて冷静に対応しよう。
資産を取り返すなどの詐欺による二次被害に注意
「被害に遭った資産を取り返す」といったサービスをうたうものも多いですが、これも詐欺の可能性が高いです。
仮想通貨やNFTの性質上、一度盗られた資産を取り戻すことは基本的に不可能であり、これを約束するサービスは信用に値しないと考えるべきです。
また、LINEやTwitterといったSNSなどで「メタマスクのサポートだ」と名乗る詐欺師も存在します。
メタマスクの公式サポートがSNSを通じて個別に対応することはありません。



「盗まれたものが返ってくる」や「取り返す」などの言葉を信用するな。
詐欺/ハッキングの事例と原因


TwitterなどのSNSでDMが送られてくる
メタマスクの詐欺被害はTwitterや他のSNSを通じて頻繁に発生します。
詐欺師はDMでコンタクトを取り、秘密鍵やリカバリーフレーズ(シードフレーズ)を聞き出そうとします。
これらの情報が詐欺師に渡ると、あなたのデジタル資産は一瞬で盗まれてしまいます。
また、署名要求のメッセージが送られてくることもあります。
これは、あなたのアカウントを操作できる権限を詐欺師に渡す行為となり、絶対に応じてはいけません。
詐欺師は仕事の依頼やNFTの高額オファーを装うこともありますが、これらのDMや1:1のやり取りは全て詐欺と考えるべきです。



DM(ダイレクトメッセージ)は基本的に全て詐欺だ。
偽サイトに接続して個人情報を入力してしまう
詐欺師は偽のメタマスクサイトを作り、そこでユーザーの個人情報を奪おうとします。
これらの偽サイトはGoogle検索の結果などで一番上に表示されることもあるので注意が必要です。
また、TwitterなどのDMで偽サイトのリンクが送られてくることもあります。
これらのリンクからアクセスし、個人情報を入力してしまうと詐欺師に情報が渡ってしまいます。
偽サイトからの情報入力は絶対に避けるべきです。



少しでも怪しいと思ったらすぐに閉じよう。
ハッキングされたDEX(取引所)に接続/送金してしまう
不正に操作された分散型取引所(DEX)に接続すると、資産が盗まれる可能性があります。
ハッキングされたDEXは正規のものと見分けがつきにくいので、利用する前には十分な注意が必要です。



認知度の高いDEXでもハッキングされてることは多々ある。利用前にTwitterなどで最新の情報は必ずチェックしておこう。
スキャムコインや偽NFTを買ってしまう
スキャムコインや偽のNFTは、実際には価値のないデジタルアセットを価値があるかのように偽装して販売する詐欺行為です。
例えば、DEXでは知名度の高い仮想通貨と名前が似ているスキャムコインなど、ユーザーが誤って入手してしまうような通貨が溢れていることも問題となっています。
NFTの場合も、名前や見た目が高価なNFTと似たものがマーケットプレイスに出回ります。
これらに騙されないようにするためには、購入前に必ず通貨やNFTの背後にあるプロジェクトを研究し、正確な情報源から情報を入手することが重要です。



仮想通貨は面倒だからそこまで確認せずにタップしまうことも多いし、NFTに関しても、パッと見だと偽物とは思えないような精巧なものも多い。
スパムNFTを受け取ってしまう
スパムNFTは、意図せず送りつけられるNFTのことです。
受け取ったユーザーのウォレットが攻撃の対象となったり、ユーザーが意図しない行動をとる誘導を行います。



NFTの売買を続けていると、謎のNFTが送られてくることちょいちょいある。
トークンのアドレスを間違えさせる(アドレスポイズニング)
アドレスポイズニングは、詐欺師がユーザーの取引を追跡し、ユーザーが頻繁に取引を行うアドレスと似た偽のアドレスを作成する新型の詐欺です。
詐欺師はこの偽アドレスからユーザーのウォレットに微量のトークンを送金し、取引履歴に偽アドレスが記録されます。
ユーザーが取引履歴からこの偽アドレスをコピー&ペーストして送金すると、資産は詐欺師の元へ流れます。
これを防ぐには送金先アドレスを十分確認し、よく利用するアドレスはウォレットの「アドレス帳」に保存したり、少額のテスト送金を行ったりすることが推奨されます。



要するにスキャムコインの送り付けみたいな感じだな。トークンアドレスは口座番号のようなものなので、偽物をコピペして送金してしまった場合はもう戻ってこない。
NFTの制作側が詐欺団体
NFTを制作・販売する団体の中には詐欺目的のものも存在します。
購入者に対して虚偽の情報を提供し、NFTの価値を不正に高める行為を行います。



そもそもが詐欺というパターンだな。これはある程度慣れてくれば引っかからないが、NFTに触れて間もない頃は騙されても仕方がない。
パスワード管理ツールからリカバリーフレーズ(シードフレーズ)が流出
メタマスクの利用者にとって、リカバリーフレーズ(シードフレーズ)の管理は非常に重要です。
このフレーズが漏洩すると、その情報を知った者があなたのメタマスクウォレットを制御できてしまいます。
これは基本的にハッカーにとってリスクがほとんどなく、一度攻撃を成功させればウォレットの資産を盗むことが可能となるため、非常に危険です。
2022年12月、パスワード管理ツールのLastPassからパスワードが流出した事例が報告されました。
このようなパスワード管理ツールが侵害されると、保存されている全ての情報、つまりパスワードだけでなく、リカバリーフレーズ(シードフレーズ)も含まれます。
ユーザーがリカバリーフレーズをクラウド上に保存しておくと、このような事例が生じた際には大きなリスクとなります。



クラウドサービスを信用しすぎるのは良くない。
フリーWi-Fiを利用した際にハッキングされる
メタマスクなどのプライベートウォレットが入った端末でフリーWi-Fiでネットに繋ぐのは非常に危険です。
フリーWi-Fiは安全性が保証されていないため、これを利用しているときにハッキングの被害に遭う可能性があります。
Wi-Fiを通じてマルウェアが送り込まれたり、通信内容が傍受されたりすることで、個人情報やデジタルアセットが盗まれる可能性があります。
これはウォレットそのものもそうですが、ウォレットに関する情報(リカバリー/シードフレーズなど)を保管している端末に関しても言えることです。



ちなみにスマホの初期化などでフリーWi-Fiに繋ぐこともあると思うが、そういったことも出来るだけ避けるべきで、データ移行などは自宅で行うのが安全だ。
被害に遭わないための対策


【最重要】ウォレットの秘密鍵/リカバリーフレーズ(シードフレーズ)は絶対に教えない
ウォレットの秘密鍵やリカバリーフレーズ(シードフレーズ)は、あなたの財産である仮想通貨/NFTを管理するための「鍵」です。
これを他人に知られてしまうと、あなたのウォレットにアクセスされ、全ての資産が盗まれる可能性があります。
ここで、ウォレットアドレスと秘密鍵/リカバリーフレーズ(シードフレーズ)を混同しないように注意が必要です。
ウォレットアドレスは銀行の口座番号のようなもので、他人に教えることで仮想通貨やNFTを送受信することができます。
しかし、秘密鍵/リカバリーフレーズ(シードフレーズ)はいわば金庫を開ける鍵であり、これを他人に知られるとあなたのウォレットが危険に晒されます。
したがって、これらの情報は絶対に他人に教えないでください。



秘密鍵やリカバリーフレーズ(シードフレーズ)は親にも警察にも教えるな。資産を盗まれる95%以上の原因はこれだ。基本的にはこれさえ守れば、メタマスクはそこまで危険なウォレットじゃない。
TwitterなどのSNSでメタマスクに関することをツイート/発信しない
一見無害に見える情報でも、悪意を持った第三者がそれを利用し、ハッキングや詐欺につなげる可能性があります。
ウォレットの使用方法や、取引の詳細など、ウォレットに関する情報は、SNSを含む公にアクセス可能な場所での共有は控えましょう。



Twitterは「メタマスク」というキーワードが入ったツイートにワラワラ寄ってくる。
公式のものかどうかを念入りに確認する
ウェブサイトやトークン、コレクションが公式のものであるかを確認することは重要です。
検索エンジンで上位に表示されていたとしても偽サイトの可能性はありますし、紹介されているURLやトークンアドレスが偽物の可能性もあります。
これらを回避するために、初回アクセス・利用時に念入りにチェックした上で、よく使うサイトはブックマークやアドレス帳などに保存しておくのがお勧めです。



何も考えずにクリックやコピペするのは危険だ。特にウォレットのブラウザから開くアドレスには最大限の注意を払おう。
DM(ダイレクトメッセージ)など1:1のやり取りは基本全て詐欺だと思っておく
不審なDMや1:1のやり取りは詐欺の可能性が高いです。
それらから来る秘密鍵やリカバリーフレーズの要求、不明なリンクへの誘導などには絶対に応じないでください。



DMは全て詐欺だ。
怪しいNFTは買わない
NFTの市場は新しいため、詐欺に遭うリスクがあります。
出品者の信頼性、価格、品質などを念入りに確認してから購入しましょう。



公式コレクションと偽物の違いは、取引量などを見ればわかることが多い。
身に覚えのないNFTが送られてきても受け取らない
無作為に送られてくる未知のNFTには注意が必要です。
それらは詐欺やハッキングの一部である可能性があります。



「もしかしたら得をするかも」と思い、身に覚えのないNFTを受け取ってしまうと結果大損してしまう。
送信先のアドレスを十分に確認する
取引を行う際は送金先アドレスを十分に確認しましょう。
よく利用するアドレスはウォレットの「アドレス帳」に保存することで誤送金を防ぐことができます。
また、少額のテスト送金を行ったりすることで、アドレスが間違っていた場合でも被害額を抑えることが出来ます。



確認はとても大切だ。ただ、テスト送金を繰り返すとガス代が高くついてしまうので、その辺のバランスも大事だ。
「SetApprovalForAll」という文言には最大限警戒しておく
「SetApprovalForAll」は、あなたのウォレット内の全てのNFTを他人が操作できる権限を与える命令です。
この文言が含まれる操作には最大限の注意を払ってください。



この操作は公式の場合でも必要になるケースがあるが、その際はこれでもかというくらい念入りに確認すべきだ。
ウォレットを使い分ける
セキュリティを高めるためには、以下のように目的ごとにウォレットを使い分けることが有効です。
- 決済/取引用(仮想通貨での支払いやNFTの取引などがメイン)
- 資産管理/保管用(高額NFTや仮想通貨を資産として保管しておく用)
- フリーミント/ギブアウェイ用(無料のNFTを受け取る用)
それぞれのウォレットのセキュリティレベルを適切に管理しましょう。



資産管理としては額が大きくなってきたらハードウォレットを持っておいた方が良い。また、無料のNFTを受け取る際はそれ用のウォレットを作った方が絶対に良い。




リカバリーフレーズ(シードフレーズ)は必ずオフラインで管理する
ウォレットのリカバリーフレーズを守る基本的なルールは、それをオフラインで管理することです。
それを紙に書き留めて安全な場所に保管するか、ネットから切り離した状態で保存するのが一番です。
自分での管理に不安がある場合は、日本国内の信頼できる暗号資産取引所のウォレットを利用することも推奨します。
日本の取引所は厳しい規制に基づき運営され、高度なセキュリティ対策が施されています。
そのため、安全性は非常に高いと言えます。



国内の取引所を利用する場合は、手数料がどうなっているのかを把握するのが非常に重要だ。


フリーWi-Fiは使わない
公共のフリーWi-Fiはセキュリティが弱く、ハッキングのリスクが高いです。
ウォレットの操作は信頼性の高いインターネット環境で行うようにしましょう。
スマホでフリーWi-Fiの自動接続がオンになっている場合は、設定でオフにしておくことをお勧めします。



外出先で通信量が多くなってしまう場合はVPNを使うのもお勧めだ。
被害に遭ってしまったら


秘密鍵/リカバリーフレーズ(シードフレーズ)が流出しているかどうかを確認
メタマスクの詐欺/ハッキング被害に遭ってしまった場合、細かい状況によって対応の正解は変わりますが、大まかには秘密鍵/リカバリーフレーズ(シードフレーズ)が流出しているかどうかで対応が変わります。
確認方法
秘密鍵/リカバリーフレーズ(シードフレーズ)は95%以上がフィッシング詐欺(TwitterのDMなどで直接教えるなど)で流出しています。
残りの5%はウィルス感染などによるもので、リカバリーフレーズ(シードフレーズ)を端末やクラウド上で画像で保存していた場合は、それを盗み見られてハッキングされるなどのケースもあります。



基本的には自分で教えていなければ流出していないと考えて良いと思うが、怪しいサイトに接続していたり、フリーWi-Fiなどを利用していた場合は教えていなくても流出してしまっている可能性も捨てきれない。
流出していない⇒メタマスクをRevoke(リボーク)
秘密鍵やリカバリーフレーズ(シードフレーズ)が流出していない状況で被害に遭った場合は、悪意のある「SetApprovalForAll」を承認してしまった可能性が高いです。
この場合の対応としては、基本的にはメタマスクでRevoke(リボーク)するだけでOKです。





リボークしないと悪意のあるアクセス承認をそのままにしておくことになるので、いつ資産が盗まれてもおかしくない。また、不安な場合は下の対応もやっておいた方が良いだろう。
流出している⇒ウォレットを作り直して資産を移す
秘密鍵やリカバリーフレーズ(シードフレーズ)が流出している場合は、新しいウォレットを作り直す必要があります。
この際、出来れば別端末で作るのが好ましいです。


新たなウォレットを作成したら、そちらに資産を移しましょう。
また、ウィルス感染の恐れがある場合は端末の初期化をしておくことをお勧めします。



流出している場合は必ずこちらの対応が必要だ。流出しているかどうか微妙な場合も作り直しておいた方が良いだろう。
まとめ
上記内容の中で特に重要なポイントは以下の通り。
- 秘密鍵/リカバリーフレーズ(シードフレーズ)を絶対に教えない&漏らさないことが最重要。
- 詐欺やハッキングはいつ誰が被害に遭ってもおかしくない。
- 被害に遭ってしまったら冷静になって状況と対応策を確認する。
- 盗られた資産はまず返ってこない。
- 「資産を取り返す」などは詐欺。
- 状況に応じてRevoke(リボーク)、またはウォレットを作り直して資産を移す。



解説は以上だ。わからないところや他に知りたいことがあればお問い合わせから直接聞いてもらってもいいが、メタマスクに関しては1:1のやり取りはほぼ詐欺だと思っておいた方がいいし、出来るだけ自分で解決する癖を付けた方が良い。その際は以下のメタマスクに関する記事を参考にしてくれ。
※SNSなどでメタマスクに関することを発信すると詐欺業者が反応してくるので注意。
メタマスクの関連記事
関連メディア
- メタマスク公式サイト:https://metamask.io
- メタマスク公式Twitter:https://twitter.com/MetaMask