大人気ウォレット【MetaMask】メタマスクを狙った詐欺被害が増加中
近年話題になりつつあるNFTアートでは詐欺被害の増加傾向にあります。
まだまだNFTそのものが法整備が追い付かない現状となっており、取り締まる事が難しいのが実態です。
そして今回取り上げる『MetaMask』は権力分散型が特徴のweb3のサービスへ接続する際に必要となるウォレットなので、基本的にトラブルに関しては自己責任となっています。
-
参考web3.0について|Web1.0や2.0との違いを図解で紹介!
Web3.0(web3)の時代は既に始まっています。 とはいえ、筆者もまだまだ理解が深まっていないのが現状です。 本記事では、Web3.0(ウェブスリー)の基礎知識や注目されている理由を初心者向けに分 ...
続きを見る
最大のNFTマーケットプレイスである「OpenSeaオープンシー」でも偽物のNFTが多く販売されているのが現状なので注意が必要です。
先日友人から「メタマスク詐欺」被害者のツイートを発見したので、情報共有してお互い気を付けようとの連絡を受けました。
改めて筆者自身も帯を締めなおす意味も込めて、実際に起こった事例を基に対策方法をご紹介していきます。
実際に『MetaMask』でETHが抜き取られた詐欺事案はコチラ
⚠️ご報告とお詫び⚠️拡散希望。
メタマスクのメインアカウォレットアドレスからETHを全て抜き盗れました。
すべて私の不注意が原因です。
応援、お迎え頂いたコレクター様、お迎えさせて頂いたクリエイター様、本当に申し訳ありません。
経緯と被害を記していきます👇1/7
— クレイジー⚡️CRAZYUKIYOE⚡️MIDNIGHT CRAZY⚡️ (@Crazy_Ukiyo_E) January 30, 2023
— グッキー@NFTゲーム (@gukkyblog) January 30, 2023
↑の方は検索結果に表示されたリンクからメタマスクへ遷移した際のサイトが偽サイトだった模様。
この事案の確認後、実際に筆者も「メタマスク」のワード検索をかけてみた結果がコチラ↓↓
google広告を利用する事によって、本物のMetaMaskより検索結果で上位表示させた偽サイトへ誘導させられてしまい、ごっそりとETH(イーサリアム)を抜き取られてしまったようです・・・。
確かによく見てみると、偽サイトのアドレスの左側に「広告」の表記がされており、アドレス自体も本物の「http://metamask.io」ではないので偽物に気付ける機会は有りましたが、なかなか気づけないのが実態なのかもしれません。
ちなみにこのケースでは、偽サイトでウォレットの「シークレットリカバリーフレーズ」の入力を要求されたようで、安易に入力してしまった結果として被害に遭われてしまった模様。
MetaMask被害を含めたネット詐欺に遭わない為の対策方法とは?
いくらネットリテラシーが高くても、誰でもネット詐欺に遭遇してしまう可能性はあります。
筆者は今のところ詐欺被害には遭った事はありませんが、いつ悲惨な目に遭ってしまうか分かりません 😥
ある程度は詐欺被害に遭う事を未然に防ぐ事はできるので、有効な方法をいくつか紹介していきます 🙂
対策その①:事前にブラウザでお気に入り(ブックマーク)登録しておく
MetaMaskの偽サイトは、検索での広告表示やツイッターやメールでのリンクを経由して遷移してしまう場合が多いです。
これを未然に防ぐには、あらかじめ正規サイトをブラウザー側でお気に入り(ブックマーク)登録しておく事で防ぐことが可能となります。
ちなみにメタマスクの利用にはメールアドレスの登録は必要ありません。ですので、メールでのメタマスク関連の通知に関してはほぼ詐欺だと思って間違いありません。
MetaMaskに限らず、使用頻度の高いWebサイトに関しては、毎回ググるのではなく、ブラウザ側で正規サイトをあらかじめお気に入り登録しておく事で詐欺被害に遭う可能性を低減させる事ができます。
対策その②URLアドレスを確認する
検索エンジンを利用してサイトにアクセスする際には、検索結果画面に表示されているURLや広告表示を確認する事をおすすめします。
MetaMaskに関しては、「https://metamask.io」が正しいアドレスなのですが、この文字列に違和感を感じた際には安易にタップしてアクセスする事は控えましょう。(グーグルクロームのプラグインの場合は別のアドレスになります。)
明らかに胡散臭いURLアドレスなら気付きやすいのですが、サブドメインを利用したパッと見では気づきにくいアドレスも有るので注意が必要です。
サブドメインを利用した詐欺サイト(架空です)の例:
https://metamask-io.sagidesuyo.xyz
最近ではコピペを利用したMetaMask詐欺も新たに登場
2023年1月12日、『Metamask(メタマスク)』のツイッター公式アカウントより、「アドレスポイズニング」という新たな詐欺手法が発生しているとしてユーザーに注意喚起を投稿しました。
A new scam called 'Address Poisoning' is on the rise. Here's how it works: after you send a normal transaction, the scammer sends a $0 token txn, 'poisoning' the txn history. (1/3)
— MetaMask Support (@MetaMaskSupport) January 11, 2023
アドレスポイズニングの手法とは
メタマスク公式より注意喚起された、新たな詐欺手法「アドレスポイズニング」では、ターゲットとなるユーザーの取引を参照し、取引履歴に記録された受取人のアドレスと類似した文字列で、詐欺用のウォレットアドレスを犯人が作成。
次に犯人は、作成した詐欺用アドレスからターゲットとなるユーザーのウォレットに、ごくわずかな量のETH等のトークンを送金。そうする事によって、この取引もターゲットとなるユーザーの取引履歴に記録される事になります。
ウォレットの取引履歴に記録された詐欺用の“偽のアドレス”を“本物のアドレス”と誤認したユーザーが、“偽のアドレス”の方をコピー&ペーストとして送金しまうと不正なトークンの搾取が成立してしまうといった手口です。
ココに注意
入力ミスを防ぐ意味では、本来安全であるはずの手法となる「アドレスのコピー&ペースト」を悪用した詐欺手法がアドレスポイズニングの特徴です。
まとめ
仮想通貨やNFTといった暗号資産関連に関しては、まだまだ法整備が進んでいない事に加え、繰り返しになりますがweb3関連のトラブル事案に関しては「自己責任」で片付けられてしまう事が多いのが現状です。
リテラシーの高い方であっても、詐欺の被害に遭ってしまう事は十分に考えられるので、より確実な知識や手法を身につける事が大切です。
MetaMaskに代表されるウォレットを扱う際には、少しでも分からない事や不安がある際には、事前に真偽を検索するなどしてから操作を行う事が重要だと考えられます。