【初心者向け】メタマスク詐欺/ハッキングの事例/原因/対策/対応策をわかりやすく解説

はじめに

メタマスクの詐欺やハッキングはいつ誰が被害に遭ってもおかしくない

近年、仮想通貨やNFTの普及に伴い、メタマスクを用いた詐欺やハッキングの事例が増えています。

メタマスクは直接ユーザーがセキュリティ管理を行う必要のある仮想通貨ウォレットの一つです。

その特性上、ハッカーや詐欺師はユーザーを直接攻撃することが可能です。

そのため、メタマスクの詐欺やハッキング被害は毎日のように起こっていますし、いつ誰が被害に遭ってもおかしくありません。

盗られた資産はまず返ってこない

基本的に、詐欺師やハッカー盗まれた資産は二度と戻ってきません。

それを踏まえた上での対処、対応を行いましょう。

資産を取り返すなどの詐欺による二次被害に注意

「被害に遭った資産を取り返す」といったサービスをうたうものも多いですが、これも詐欺の可能性が高いです。

仮想通貨やNFTの性質上、一度盗られた資産を取り戻すことは基本的に不可能であり、これを約束するサービスは信用に値しないと考えるべきです。

また、LINEやTwitterといったSNSなどで「メタマスクのサポートだ」と名乗る詐欺師も存在します。

メタマスクの公式サポートがSNSを通じて個別に対応することはありません。

詐欺/ハッキングの事例と原因

TwitterなどのSNSでDMが送られてくる

メタマスクの詐欺被害はTwitterや他のSNSを通じて頻繁に発生します。

詐欺師はDMでコンタクトを取り、秘密鍵やリカバリーフレーズ（シードフレーズ）を聞き出そうとします。

これらの情報が詐欺師に渡ると、あなたのデジタル資産は一瞬で盗まれてしまいます。

また、署名要求のメッセージが送られてくることもあります。

これは、あなたのアカウントを操作できる権限を詐欺師に渡す行為となり、絶対に応じてはいけません。

詐欺師は仕事の依頼やNFTの高額オファーを装うこともありますが、これらのDMや1:1のやり取りは全て詐欺と考えるべきです。

偽サイトに接続して個人情報を入力してしまう

詐欺師は偽のメタマスクサイトを作り、そこでユーザーの個人情報を奪おうとします。

これらの偽サイトはGoogle検索の結果などで一番上に表示されることもあるので注意が必要です。

また、TwitterなどのDMで偽サイトのリンクが送られてくることもあります。

これらのリンクからアクセスし、個人情報を入力してしまうと詐欺師に情報が渡ってしまいます。

偽サイトからの情報入力は絶対に避けるべきです。

ハッキングされたDEX(取引所)に接続/送金してしまう

不正に操作された分散型取引所(DEX)に接続すると、資産が盗まれる可能性があります。

ハッキングされたDEXは正規のものと見分けがつきにくいので、利用する前には十分な注意が必要です。

スキャムコインや偽NFTを買ってしまう

スキャムコインや偽のNFTは、実際には価値のないデジタルアセットを価値があるかのように偽装して販売する詐欺行為です。

例えば、DEXでは知名度の高い仮想通貨と名前が似ているスキャムコインなど、ユーザーが誤って入手してしまうような通貨が溢れていることも問題となっています。

NFTの場合も、名前や見た目が高価なNFTと似たものがマーケットプレイスに出回ります。

これらに騙されないようにするためには、購入前に必ず通貨やNFTの背後にあるプロジェクトを研究し、正確な情報源から情報を入手することが重要です。

スパムNFTを受け取ってしまう

スパムNFTは、意図せず送りつけられるNFTのことです。

受け取ったユーザーのウォレットが攻撃の対象となったり、ユーザーが意図しない行動をとる誘導を行います。

トークンのアドレスを間違えさせる(アドレスポイズニング)

アドレスポイズニングは、詐欺師がユーザーの取引を追跡し、ユーザーが頻繁に取引を行うアドレスと似た偽のアドレスを作成する新型の詐欺です。

詐欺師はこの偽アドレスからユーザーのウォレットに微量のトークンを送金し、取引履歴に偽アドレスが記録されます。

ユーザーが取引履歴からこの偽アドレスをコピー&ペーストして送金すると、資産は詐欺師の元へ流れます。

これを防ぐには送金先アドレスを十分確認し、よく利用するアドレスはウォレットの「アドレス帳」に保存したり、少額のテスト送金を行ったりすることが推奨されます。

NFTの制作側が詐欺団体

NFTを制作・販売する団体の中には詐欺目的のものも存在します。

購入者に対して虚偽の情報を提供し、NFTの価値を不正に高める行為を行います。

パスワード管理ツールからリカバリーフレーズ(シードフレーズ)が流出

メタマスクの利用者にとって、リカバリーフレーズ（シードフレーズ）の管理は非常に重要です。

このフレーズが漏洩すると、その情報を知った者があなたのメタマスクウォレットを制御できてしまいます。

これは基本的にハッカーにとってリスクがほとんどなく、一度攻撃を成功させればウォレットの資産を盗むことが可能となるため、非常に危険です。

2022年12月、パスワード管理ツールのLastPassからパスワードが流出した事例が報告されました。

このようなパスワード管理ツールが侵害されると、保存されている全ての情報、つまりパスワードだけでなく、リカバリーフレーズ（シードフレーズ）も含まれます。

ユーザーがリカバリーフレーズをクラウド上に保存しておくと、このような事例が生じた際には大きなリスクとなります。

フリーWi-Fiを利用した際にハッキングされる

メタマスクなどのプライベートウォレットが入った端末でフリーWi-Fiでネットに繋ぐのは非常に危険です。

フリーWi-Fiは安全性が保証されていないため、これを利用しているときにハッキングの被害に遭う可能性があります。

Wi-Fiを通じてマルウェアが送り込まれたり、通信内容が傍受されたりすることで、個人情報やデジタルアセットが盗まれる可能性があります。

これはウォレットそのものもそうですが、ウォレットに関する情報(リカバリー/シードフレーズなど)を保管している端末に関しても言えることです。

被害に遭わないための対策

【最重要】ウォレットの秘密鍵/リカバリーフレーズ(シードフレーズ)は絶対に教えない

ウォレットの秘密鍵やリカバリーフレーズ(シードフレーズ)は、あなたの財産である仮想通貨/NFTを管理するための「鍵」です。

これを他人に知られてしまうと、あなたのウォレットにアクセスされ、全ての資産が盗まれる可能性があります。

ここで、ウォレットアドレスと秘密鍵/リカバリーフレーズ(シードフレーズ)を混同しないように注意が必要です。

ウォレットアドレスは銀行の口座番号のようなもので、他人に教えることで仮想通貨やNFTを送受信することができます。

しかし、秘密鍵/リカバリーフレーズ(シードフレーズ)はいわば金庫を開ける鍵であり、これを他人に知られるとあなたのウォレットが危険に晒されます。

したがって、これらの情報は絶対に他人に教えないでください。

TwitterなどのSNSでメタマスクに関することをツイート/発信しない

一見無害に見える情報でも、悪意を持った第三者がそれを利用し、ハッキングや詐欺につなげる可能性があります。

ウォレットの使用方法や、取引の詳細など、ウォレットに関する情報は、SNSを含む公にアクセス可能な場所での共有は控えましょう。

公式のものかどうかを念入りに確認する

ウェブサイトやトークン、コレクションが公式のものであるかを確認することは重要です。

検索エンジンで上位に表示されていたとしても偽サイトの可能性はありますし、紹介されているURLやトークンアドレスが偽物の可能性もあります。

これらを回避するために、初回アクセス・利用時に念入りにチェックした上で、よく使うサイトはブックマークやアドレス帳などに保存しておくのがお勧めです。

DM(ダイレクトメッセージ)など1:1のやり取りは基本全て詐欺だと思っておく

不審なDMや1:1のやり取りは詐欺の可能性が高いです。

それらから来る秘密鍵やリカバリーフレーズの要求、不明なリンクへの誘導などには絶対に応じないでください。

怪しいNFTは買わない

NFTの市場は新しいため、詐欺に遭うリスクがあります。

出品者の信頼性、価格、品質などを念入りに確認してから購入しましょう。

身に覚えのないNFTが送られてきても受け取らない

無作為に送られてくる未知のNFTには注意が必要です。

それらは詐欺やハッキングの一部である可能性があります。

送信先のアドレスを十分に確認する

取引を行う際は送金先アドレスを十分に確認しましょう。

よく利用するアドレスはウォレットの「アドレス帳」に保存することで誤送金を防ぐことができます。

また、少額のテスト送金を行ったりすることで、アドレスが間違っていた場合でも被害額を抑えることが出来ます。

「SetApprovalForAll」という文言には最大限警戒しておく

「SetApprovalForAll」は、あなたのウォレット内の全てのNFTを他人が操作できる権限を与える命令です。

この文言が含まれる操作には最大限の注意を払ってください。

ウォレットを使い分ける

セキュリティを高めるためには、以下のように目的ごとにウォレットを使い分けることが有効です。

• 決済/取引用(仮想通貨での支払いやNFTの取引などがメイン)
• 資産管理/保管用(高額NFTや仮想通貨を資産として保管しておく用)
• フリーミント/ギブアウェイ用(無料のNFTを受け取る用)

それぞれのウォレットのセキュリティレベルを適切に管理しましょう。

リカバリーフレーズ(シードフレーズ)は必ずオフラインで管理する

ウォレットのリカバリーフレーズを守る基本的なルールは、それをオフラインで管理することです。

それを紙に書き留めて安全な場所に保管するか、ネットから切り離した状態で保存するのが一番です。

自分での管理に不安がある場合は、日本国内の信頼できる暗号資産取引所のウォレットを利用することも推奨します。

日本の取引所は厳しい規制に基づき運営され、高度なセキュリティ対策が施されています。

そのため、安全性は非常に高いと言えます。

フリーWi-Fiは使わない

公共のフリーWi-Fiはセキュリティが弱く、ハッキングのリスクが高いです。

ウォレットの操作は信頼性の高いインターネット環境で行うようにしましょう。

スマホでフリーWi-Fiの自動接続がオンになっている場合は、設定でオフにしておくことをお勧めします。

被害に遭ってしまったら

秘密鍵/リカバリーフレーズ(シードフレーズ)が流出しているかどうかを確認

メタマスクの詐欺/ハッキング被害に遭ってしまった場合、細かい状況によって対応の正解は変わりますが、大まかには秘密鍵/リカバリーフレーズ(シードフレーズ)が流出しているかどうかで対応が変わります。

確認方法

秘密鍵/リカバリーフレーズ(シードフレーズ)は95%以上がフィッシング詐欺(TwitterのDMなどで直接教えるなど)で流出しています。

残りの5%はウィルス感染などによるもので、リカバリーフレーズ(シードフレーズ)を端末やクラウド上で画像で保存していた場合は、それを盗み見られてハッキングされるなどのケースもあります。

流出していない⇒メタマスクをRevoke(リボーク)

秘密鍵やリカバリーフレーズ(シードフレーズ)が流出していない状況で被害に遭った場合は、悪意のある「SetApprovalForAll」を承認してしまった可能性が高いです。

この場合の対応としては、基本的にはメタマスクでRevoke(リボーク)するだけでOKです。

流出している⇒ウォレットを作り直して資産を移す

秘密鍵やリカバリーフレーズ(シードフレーズ)が流出している場合は、新しいウォレットを作り直す必要があります。

この際、出来れば別端末で作るのが好ましいです。

新たなウォレットを作成したら、そちらに資産を移しましょう。

また、ウィルス感染の恐れがある場合は端末の初期化をしておくことをお勧めします。

まとめ

上記内容の中で特に重要なポイントは以下の通り。

※SNSなどでメタマスクに関することを発信すると詐欺業者が反応してくるので注意。

メタマスクの関連記事

関連メディア

• メタマスク公式サイト：https://metamask.io
• メタマスク公式Twitter：https://twitter.com/MetaMask