PR

MetaMaskのハッキング事例と対策を紹介【詐欺の手口から仮想通貨やNFTの資産を守る方法】

MetaMaskハッキング対策 CRYPTO
2022.10.02
記事内に広告が含まれています。

「暗号資産(仮想通貨)やNFTを盗まれたくない!」
「ハッキング被害の事例が気になる!」
「ハッキング対策を強化したい」

そんな方へ向けて。

Web3のおいて、暗号資産(仮想通貨)やNFTといったデジタル資産を管理するのに欠かせないのがMetaMask(メタマスク)。
その中身をハッカーは虎視眈々と狙っており、日々盗難やハッキング被害の報告が上がってきます。

うっかりしていると、今度はあなたが被害者となるかもしれません

メタマスクが奪われる手口は様々ですが、これまでの事例を知っておけば、事前に対策が打てます。
知識を蓄え、意識を変えることで、資産の紛失を未然に防ぐことができるでしょう。

このページではメタマスクのハッキング事例と、仮想通貨やNFTといった資産をハッカーから守る方法・対策をメモっていきます。

本記事のメリット
・過去の事例からハッキングの手口が分かる
・詐欺に騙されない人になれる
・MetaMask内のNFTや仮想通貨をハッカーから守れる

1. MetaMaskのハッキング事例(詐欺の手口)

ハッキング≒詐欺です。
その手口は常に進化・改良し続け、ニュースを見ない日はありません。

こと仮想通貨やNFTの世界においては、

  1. Twitter
  2. Google
  3. Discord
  4. メール
  5. MetaMaskのApprove(承認)

以下の経路で騙されやすくなっています。

事例①:Twitter詐欺

SNSを使用している方が引っ掛かりやすいのがTwitterを経由したハッキング
あらゆる手を駆使しながら、詐欺師が資産を狙っています。

①偽アカウント

まず、最も多いのが偽アカウントを使った詐欺です。
例えば、↓な感じ。

MetaMaskハッキング対策①公式のアカウント

MetaMaskハッキング対策②偽物のアカウント

ユーザー名やプロフィール、アイコンは全く同じですが、後者をよく見ると、アカウント名が異なっています。

見分け方としては、

  • @の後の綴りをよく確認する
  • アカウント作成日が最近
  • フォロワー数が少ない
  • ツイート数も少ない

です。

一見すると公式っぽく、また大々的に宣伝されると、すぐに偽物だと気付きません。
なので、まずは上記の項目をよくチェックしてみてください。
(説明文に怪しいリンクが付いている場合も要注意です)

さらに今では、数万フォロワーのアカウントを使いまわして(プロフィール写真や紹介文を変更して)、あたかも正規のように振る舞うアカウントも現れました。

MetaMaskハッキング対策③

↑の偽アカウントは、「期間限定」「特別イベント」と題した投稿を通じてハッキングサイトへ誘導。
最終的にはメタマスクの秘密鍵や個人情報を手に入れようという魂胆です。

この辺りはAmazonやメルカリなどの偽サイトの手口と似ていますね。
迂闊に入力してしまうと、即アウト。

仮想通貨やNFTが盗まれてしまう可能性があるため、くれぐれも注意しましょう(というか絶対にリンクを踏まないでください)。

②公式サポートっぽいコメントやDM

特定のワードを使って投稿すると、Botが反応してコメントが寄せられるケースもあります。
例えば、「MetaMask」を含めてツイートすると……、

MetaMaskハッキング対策④

↑のような感じですね。

即座に公式っぽいアカウントから反応がありました。
はい、99.9%の確率で詐欺師が寄ってきます。

また偽アカウントをフォローしようものなら、DM(ダイレクトメッセージ)が送られてくるでしょう。

MetaMaskハッキング対策⑤

「当選しました!」的なメッセージを送り付け、フィッシングサイトへ誘導するパターンです。
こちらも絶対にアクセスせず、無視してください。

内容はいわずもがな、100%詐欺です。

③アカウント乗っ取り

公式アカウント自体がハッキングされるケースもあります。
こればっかりは対策とはいかず、すぐに判断はつきません。

ハッカーによって「数量限定、超レアNFTが無料で手に入る」と投稿されようものなら、すぐに飛びついてしまうでしょう。
それがハッキングされた後の行為+偽サイトへの誘導とは知らずに……。

ですが、そんなケースもSNSでキャッチが可能。
ハッキング被害に合ったメンバーは、すぐに別の方法で被害報告をするはずです。

これを拾えれば、公式アカウントが元に戻るまで、静観し続けられるでしょう。
偽サイトでメタマスクを接続して、危険な目に合うこともありません。

こういったアナウンスはDAOやコミュニティで即座に共有されます。
最新の情報を得られれば、より事前対策を強化できますよ。

事例②:Google詐欺

Googleの検索結果にて、常に正規・本物のサイトが上位にくるわけではありません。
偽サイトが広告(Ad)の箇所に表示されたり、検索1ページ目に現われるケースも見られます。

世界最大のNFTオープンマーケットプレイスのOpenSeaの場合、公式サイトのアドレスと正常な検索結果は↓の通り。

■OpenSea
https://opensea.io/

MetaMaskハッキング対策⑥

しかしながら、稀に偽物が紛れ込んでいることがあります。
広告を使った偽サイトは↓

MetaMaskハッキング対策⑧

英語圏向けGoogleの通常の検索結果(キーワードは「OpenSea」)では↓な具合。

MetaMaskハッキング対策⑨

サイト名や紹介文章は本物そっくり。
初見の方は誤ってクリックしてしまうでしょう。

MetaMaskハッキング対策⑩

実際、偽サイトのデザインも公式と全く同じデザインだったりします。

しかしながら、URLが怪しさ満載で、公式ではありません

必ず公式で発表されているアドレスを確認。
そして本物のURLをブックマークに登録しておきましょう。

2回目以降はブックマークから訪問すれば安心です。

事例③:Discord詐欺

DiscordはWeb3におけるDAO活動において、主流となっているコミュニケーションツール。
CryptoNinjaから派生する様々なプロジェクトは、Discord内で生まれました。

①管理アカウントがハッキング

各サーバーは創設者(ファウンダー)やコアメンバーによって管理されています。
チャンネル作成や発言制限、コメント削除などは彼らが権限を持っており、公式的なアナウンスも一部のコアメンバーに限られて行われます。

ところが、管理者のアカウントがハッキングされ、ハッカーによりDiscordが乗っ取られる事件が発生。
最近だと、「Doodles」が被害に遭っています。

MetaMaskハッキング対策⑪

流れとしては、

管理アカウントがハッキングされる

ハッカーがフィッシングサイトへ誘導するリンクをDiscord内で共有する

公式からのメッセージと思いこんだメンバーがアクセスし、情報を抜き取られる(NFTなどを盗まれる)

でした。

ファウンダーやコアメンバーからの通知だと、100%信じてしまうでしょう。
このようなケースだとハッキングされたか否かは、すぐには判断できないかもしれません。

また「ANIM」というNFTコレクションも同様にトラブルに巻き込まれました。

MetaMaskハッキング対策⑦

そこまで多くはありませんが、頭の片隅に覚えておいた方が良い事例かなと思います。

②なりすましアカウント

Ninja DAOの場合、ファウンダーのイケハヤさんや公式を名乗る偽アカウントが存在しています。

MetaMaskハッキング対策⑫本物のイケハヤさんのアカウント

MetaMaskハッキング対策⑬なりすましのアカウント(若干アイコンが大きい)

MetaMaskハッキング対策⑭偽物のNinja DAOアカウント(大量に存在)

このように一見するとコアメンバーのようですが、中身は全くの別人。
なので、Twitterと同じく、偽・なりすましアカウントをよく観察して、本物かどうかを見極めましょう。

③DMで偽情報・偽情報

②の流れから急にDMが届くパターン。

  • 激安でNFTを販売
  • 限定でNFTをプレゼント
  • 無料でNFTを入手できる(フリーミント)

などの甘い文句でフィッシングを誘います。

MetaMaskハッキング対策⑮

しかしながら、Ninja DAOでは「DM設定はOFF」「DMは詐欺」が徹底周知されており、個別で情報が送られてくることはありません。

なので、この手のケースでもDMのリンクには一切触れないようにしましょう。

事例④:メール詐欺

昨今はメールのタイトルや文章が巧妙化されていて、一見すると真偽が判断できません。
送信アドレスも公式に似ており、最も騙されやすいのがメール詐欺だと思います。

一番の対策はメールにあるリンクから直接サイトに飛ばないこと。
もちろん、添付ファイルも開かないようにしましょう。
(返信もNGです)

メールは情報を読み取るものという認識で、実際の確認はブックマークなど正規のサイトからアクセス・確認するのが安全です。

事例⑤:MetaMaskのApprove詐欺

Approveとは「承認」の意味。
TwitterやDiscordのDMなどを通じて提示された偽サイトにメタマスクで接続し、Approveしてしまうと、全ての処理を委任することとなり、仮想通貨やNFTが盗まれてしまいます。

↓の画像だと、確認画面にて「Set Approval For All」の文字がありますね。

MetaMaskハッキング対策⑯

OpenSeaに対して「無制限の許可」を与えている状態です。
これはメタマスク側での手続きに起因しており、「承認」によってNFTの送付(販売)が自動化されました。

自分が出品したNFTに買い手が現れたら、自動的に受け渡し(移動)が行われるため、こちらで追加操作をする必要はありません。

スムーズに取引が行え、とても便利ですね。

一方、偽サイトなどに対して「承認」してしまうと……ハッカーに全権限を与えることになります。
万が一、誤って(騙されて)操作しようものなら、メタマスクの中身を全て別のウォレットへ移動されてしまうでしょう。

怪しいNFTサイトなどには近づかず、またメタマスクの認証画面をよく読むことが被害から守る一つの方法です。

2. NFTのハッキング対策(ハッカーから守る方法)

上記を踏まえ、ハッキングから身を守る思考法をご紹介します。

対策①:怪しいサイトにアクセスしない

もっとも大事な部分。
絶対にURLには触れないでください。
これだけで、9割以上はハッキングに遭うことはないでしょう。
(残りの1割はパソコンのウイルス感染など)

対策②:DMは完全に無視

TwitterやDiscordでどれだけ親しくなっても、顔の見えない方からのDMお誘いはお断りです。
相互フォローした瞬間に勧誘が届くこともありますが、無視するか、丁重に拒否しましょう。

安易に絡むとトラブルの元にものなりますので。

※ただし、本当に信頼できる人(DAOのコアメンバー、リアルに会ったことがある知人・友人、実名公表している人など)なら問題ないかと思います。

対策③:Twitterの通知設定

「設定とプライバシー」→「通知」→「フィルター」→「ミュートしている通知」にて、通知を受け取りたくないアカウントの条件を設定しましょう。

MetaMaskハッキング対策⑰

特にメールアドレスや電話番号が未認証のアカウントは要注意。
チェックを入れておくと、該当するアカウントのツイートや投稿が、自分のタイムラインに表示されなくなります。

これでTwitterからの防衛力がアップするでしょう。

対策④:フリーWiFiを利用しない

カフェやショッピングモール、ホテルに設置されたフリーWiFiにも注意。
パソコンやスマホの中身をのぞき見される恐れがあります。

たとえ、要パスワードで接続したとしても、100%安全とは言えません。

大切な資産(仮想通貨やNFT)が入っていたり、メタマスクがON状態となっている端末を公共のWiFiに繋ぐのは避けましょう。

本当にネットが必要なら、スマホ端末でデザリング→パソコンに接続、がオススメです。

対策⑤:ウォレットを使い分ける

厳密には複数の端末で管理するといったところでしょうか。
対策③の通り、外でネットに繋げるパソコンと、家の中のみで使用するパソコンを分ける、とかです。

もしくはNFT購入用のウォレットと、保管用のウォレットの2つを用意。
外部からの不正アクセスには気をつけたいところ。

さらに厳重にするには、ハードウェアウォレットでの管理も検討しましょう。

ハードウェアウォレットとは仮想通貨を通信環境から隔離した状態で保管することのできるウォレット。
取引所のハッキングや通信環境下のハッキング被害に合わないように、自分で秘密キーを管理するアイテムです。

対策⑥:MetaMaskを徹底管理

最終的な目的は、如何に自分のメタマスクを盗まれないか。

対策としては、

  • メタマスクの接続状態を定期的に整理(接続解除)
  • コントラクトアドレスを登録
  • いままでの承認をRevoke(取り消し)

ですね。
日々日頃から徹底管理したいところです。

①メタマスクの接続状態を定期的に整理(接続解除)

ハッキングの手口&対策は様々ですが、有効な手段の一つとして、遠い昔に訪問したサイトからメタマスクの接続を解除させる、というのがあります。

例え当時は安全であったとしても、ハッカーの悪だくみによって、密かにサイトからメタマスクの情報が抜き取られている可能性もあります。

なので、まずは今までどんなサイトとメタマスクを接続していたかを確認。
二度と訪れることがないアドレスからは、メタマスクとの接続を断ち切ってしまいましょう。

MetaMaskが接続済みのサイトの確認方法と接続を解除する手順【NFTハッキング対策①】
「いまMetaMaskが接続されているサイトを知りたい」 「もう使わなくなったサイトとの接続を解除したい」 「ハッキング対策を強化したい」 そんな方に向けて。 このページではメタマスクが接続済みのサイトの確認方法と、接続を解除する手順を画像...
www.tanny-side.com

②コントラクトアドレスを登録

コントラクトアドレス(Contract Address)は契約情報が書かれたアドレスのこと。
各サイト(トークン)固有で唯一無二のアドレスであり、これが本物と一致しているか否かで真偽を見分けます。

予め正規のコントラクトアドレスをメタマスクに登録すると、取引・契約時の承認・確認場面にて、接続・承認する対象のアドレスが本物か偽物かの判別ができるようになります。

コントラクトアドレスの確認方法とMetaMaskに登録する手順を画像付きで解説【NFTハッキング対策②】
「MetaMaskで接続・確認する時に、本当に承認して良いのかいつも不安」 「怪しいサイトや偽サイトでないか、イマイチ見分けが付かない」 「まずはハッキング対策を強化したい」 そんな方に向けて。 コントラクトアドレス(Contract Ad...
www.tanny-side.com

③いままでの承認をRevoke(取り消し)

Revoke(リボーク)とは、今まで与えた「承認」をキャンセル・取り消すこと。

一度「承認」をしてしまうと、その許可がそのまま残り続けるといったデメリット(!?)がメタマスクにあります。
この機能を逆手にとって、ハッカーたちが虎視眈々と資産の中身を狙っています。

うかつにも偽サイトや悪意のあるサービスに、知らず知らずのうちに接続しまった場合。
「承認」をしようものなら、メタマスク内の仮想通貨やNFTが抜き取られてしまうでしょう。

Web3の世界では全てが自己責任なので、自分の身は自分で守らなければいけません。
Revokeでメタマスクの承認を解除&ハッキング対策を強化して、大切な資産を守りましょう。

MetaMask(メタマスク)での承認をRevoke(取り消し)する方法【NFTハッキング対策③】
「いままでMetaMaskで承認してきたサイトを知りたい」 「以前承認・許可を与えた状態を取り消したい」 「ハッキング対策を強化したい」 そんな方へ向けて。 このページではメタマスクでの承認をRevoke(取り消し)する方法を、画像付きでメ...
www.tanny-side.com
最後に…

メタマスクやNFT・仮想通貨がハッキングされる手口のほとんどが、

  • SNSのDMを通じて紹介されたサイトへのアクセス
  • 偽サイトとメタマスクの連携・接続
  • フリーミントを装ってデータを盗み取るサイトへの誘導

です。
さらに昨今は巧妙化しつつあり、さらに複雑かつ気付かれにくい手法が取られています。

とは言え、「DMは詐欺」であり、「本物のサイトはブックマーク保存」しつつ、「無料という甘い言葉に安易に乗っからない」のが対策の一つです。

Web3.0によって中央集権から解放された一方で、ハッキング被害からは誰も守ってくれません。
(当然ながら、盗まれたNFTが戻ってきたり、保障があったりするわけでは無く、全て自己責任です)

兎にも角にも、自分の身は自分で守る意識・リテラシーを高める必要があるでしょう。

タイトルとURLをコピーしました