フィッシングは、セルフカストディユーザーが資産を失う最も一般的な原因です。暗号技術が破られたわけでも、秘密鍵が解読されたわけでもありません。説得力のあるメッセージ、本物そっくりのウェブサイト、または一見普通に見えるトランザクションが罠となります。ウォレットの背後にある暗号技術は堅牢であり、攻撃者もそれをよく知っています。だからこそ彼らはそこを狙わず、システムの中で言葉巧みに誘導できる唯一の部分——つまり「あなた」——を狙います。毎年、数十億ドルが仮想通貨関連の詐欺やソーシャルエンジニアリングにより失われており、その大半は技術的な攻撃ではなくフィッシングメッセージから始まります。
この記事では、仮想通貨フィッシングが実際に何を狙っているのか、見ればすぐに気づける具体的なパターン、そしてSSPの設計がどこを守り、どこを守れないかを正直に解説します。
フィッシングが実際に狙うもの
セルフカストディユーザーへのフィッシング攻撃が狙うものは3つです。シードフレーズ、承認、署名のいずれかです。シードフレーズを盗まれれば、そこから派生するすべてのアカウントが永久に乗っ取られます。トークン承認を騙し取られれば、攻撃者は都合の良いタイミングで特定の資産を引き出せます。悪意あるトランザクションに一度署名させられれば、1ブロックで資金が移動します。
この3つに共通するのは、あなたが行動しなければならないという点です。攻撃者はあなたのウォレットに手を伸ばして何かを奪うことはできません。入力させ、クリックさせ、承認させ、署名させる必要があります。この依存性こそがあなたの優位点でもあります。すべての攻撃には、その瞬間がわかれば止められるタイミングが必ずあります。
見分けられるパターン
仮想通貨フィッシングは、限られた手口を使いまわしています。それぞれを名前で識別できるようになれば、引っかかるのがずっと難しくなります。
偽ウォレットサイトと検索広告のタイポスクワット
最も古典的な手口は、本物のウォレットや取引所サイトを模倣したクローンで、そっくりなドメインから配信され、しばしば有料広告として検索結果の上位に表示されます。ページは見た目が完璧に再現されており、ただ1つの目的——シードフレーズを収集すること、またはウォレットを接続させて署名させること——のために作られています。検索バーを敵として扱ってください。本物のサイトを一度見つけて確認し、ブックマークに登録し、以降は常にそのブックマークからアクセスしてください。SSPは公式ウェブサイト上でシードフレーズを求めることはなく、本物の拡張機能は検索広告からではなく公式ブラウザストアからインストールします。正規の拡張機能ウォレットがどのようなものか把握したい場合は、ブラウザ拡張機能ウォレットの解説をお読みください。
シードフレーズの入力要求
これは独立したルールとして扱う必要があります。絶対的なルールです。正規のウォレットが、ウェブサイト、フォーム、ポップアップ、またはDMにシードフレーズを入力するよう求めることは絶対にありません。「確認」のためでも、「同期」のためでも、「受け取り」のためでもありません。シードフレーズを入力する場所はただ1つ——ウォレットソフトウェアの内部で、初期設定またはリカバリー時のみです。SSPは拡張機能またはモバイルアプリの内部でのみシードを受け付け、ウェブページ上では決して求めません。他に何かが尋ねてきたら、それは盗難の試みです。例外なく。より広範な保護の実践については、シードフレーズのベストプラクティスをご覧ください。
承認フィッシングとウォレットドレイナー
より新しく、より狡猾な手口です。悪意あるdAppはシードフレーズを一切求めません。代わりに、通常のトランザクションのように見えるものへの署名を求めます——しかしその内容は、攻撃者のコントラクトにトークンやNFTsを移動する権限を与えるトークン承認やsetApprovalForAllです。あなたは鍵の管理権を持ち続けています。ただ、資産に対する権利に署名してしまったのです。ウォレットドレイナーは後で、場合によっては数週間後に資産を一掃します。防御策は、承認が何であるかを理解し、有効期間を短くすることです。トークン承認——あなたが与え続けているパーミッションを読んで、不要なものは取り消してください。
アドレスポイズニング
アドレスポイズニングは、コピー&ペーストの習慣を利用します。攻撃者は、あなたがすでに使っているアドレスに似せて作られたアドレス——最初と最後の4文字が同じ——から少額またはゼロ価値の送金を行います。それがあなたの取引履歴に残るため、次に過去の取引から「知っているアドレス」をコピーすると、攻撃者のアドレスを掴んでしまい、資金を直接攻撃者に送ってしまいます。対策は機械的なものです。取引履歴からアドレスをコピーしないこと、そしてアドレス全体を確認すること——最初と最後の4文字だけでなく、一字一句確認してください。そっくりなアドレスは両端が完全に一致していても、中間部分が全く異なる場合があります。
DMでのなりすまし
Discord、Telegram、またはXで「公式サポート」を名乗って最初にメッセージを送ってくる人物は、デフォルトで詐欺と見なしてください。本物のサポートはDMに滑り込んでくることはなく、管理者、モデレーター、「認証ボット」と称する者が、シードフレーズ、秘密鍵、またはウォレット接続による「確認」を求めることも決してありません。緊急性がサインです——「あなたの資金が危険にさらされています、今すぐ行動を」という言葉は、あなたの思考を止めさせるために存在します。そのDMを閉じて、自分でアクセスしたチャンネルからのみサポートに連絡してください。
悪意ある署名要求/ブラインド署名
最も技術的な手口は、トランザクションではなくメッセージへの署名を求めてきます——Permit、eth_signペイロード、または読み取れない不透明なデータです。これらはオフチェーンでトークン転送や承認を実行できる場合があり、ガス代なしで処理されることもあり、明確な警告も表示されません。ルールは明確です。署名する前に署名内容を理解し、解読できないリクエストは強く疑ってください。dAppに接続するとき、セッションとその署名リクエストがどのように機能するかを理解してください——WalletConnectとは何か、SSPとの連携方法でその仕組みを説明しています。
SSPの設計が助けになる部分——そうでない部分
SSPは2-of-2 multisigウォレットです。すべてのトランザクションは、ブロードキャストされる前に、SSP Keyという2台目のデバイスで共同署名される必要があります。これにより、リクエストが通過する前にもう一度表示される2台目のスクリーン——シングルデバイスウォレットにはない本物の2回目のレビュー画面——が確保されます。また、拡張機能はウェブページ上でシードを求めることがなく、これにより設計上、最も一般的な収集ルートが遮断されます。
正直に言っておく必要があります。**multisigはフィッシングの万能薬ではありません。**悪意あるトランザクションがあなたの前にある状態で、拡張機能で承認しかつSSP Keyでも確認してしまえば、ウォレットはあなたが命令した通りのことを実行します。2台目のデバイスは、1台のデバイスが単独で侵害されて署名するのを防ぎますが、悪い行動を2度承認することからは守れません。だから両方のスクリーンをよく読んでください。送金先、金額、またはアクションが意図したものと一致しない場合は、SSP Keyで拒否してください。フィッシング対策の責任は最終的にあなたにあります。その責任を負う価値がある理由は、セルフカストディが今重要な理由の核心にあります。
60秒でできるフィッシング自己チェック
署名する前に、次のことを確認してください:
- URLチェック ——自分のブックマークからアクセスしましたか、それとも誰かから渡されたリンクや広告からですか?自分のブックマークでなければ、止まってください。
- シードチェック ——シードフレーズを求められていますか?「はい」なら、それは例外なく詐欺です。
- SSP Keyを読む ——2台目のデバイスに表示されているアクションと金額は、あなたが意図したものと完全に一致していますか?
- 送金先チェック ——最初と最後の4文字だけでなく、受取人のアドレス全体を確認してください。
- DMチェック ——これは迷惑メッセージや「今すぐ行動」という緊急の要求から始まりましたか?敵として扱ってください。
- 承認の衛生管理 ——不要になった古いトークン承認を取り消し、忘れていたものが後で引き出されないようにしてください。
いずれかのステップで問題があれば、拒否して立ち去ってください。機会を逃してもコストはゼロですが、ドレイナーに署名するとすべてを失う可能性があります。
学習を続ける
フィッシングは、個人セキュリティの実践という大きな取り組みの一層に過ぎません。仮想通貨ユーザーのためのブラウザ拡張機能の衛生管理でさらに堅固にし、仮想通貨のOpSecチェックリストで定期的なスケジュールを組んでください。こうした攻撃をエコシステム全体でどのように追跡しているかについては、APWGフィッシング活動トレンドレポートとFBIのIC3が信頼できる一次情報源です。
