仮想通貨、NFTをはじめてみて、 「NFTが盗まれた!」 「ウォレットの中身を全部抜かれました…」 という書き込みを目にしたことがあると思います。 残念ながら騙して儲けようとする悪い人はいます。 では被害にあわないようにするにはどうしたらよいか? オレオレ詐欺の手口を知ることで騙される人が減ったように、「知識で武装する」しかありません。 この記事を読んで、防御力を高めましょう。
この記事でわかること
- 実際にあったハッキング事例を見て学べる
- メタマスクのハッキング対策方法
この記事を読むことで、詐欺・ハッキングの被害にあう確率を減らすことができます。 他人ごとではなく自分ごとにしておかないと、後悔しても遅いので防御力を上げていきましょう!
この記事を書いた人
- NFTコレクター
- NFT投資で含み益450万円超
- 音楽NFTコレクションを運営
- バンドマンでギターリスト
- 元ECサイト(年商10億円)運営マネージャー
もくじ
2021年7月からの1年間で盗まれたNFTは140億円以上
1年間で140億円以上の価値のあるNFTが盗難被害にあいました。 この驚異的な数字は、ブロックチェーン調査会社Ellipticが発表しています。
🚨Over $100 million worth of NFTs were publicly reported as stolen through scams between July 2021 and July 2022, netting perpetrators $300,000 per scam on average.
— elliptic (@elliptic) August 24, 2022
Head to https://t.co/u6iPLjXgpR to read our NFTs and Financial Crime Report.#nft #crypto #aml
少なくない被害額。他人ごとではありません。
なぜ詐欺が多いのか
騙される人が多いからです。 歴史の浅いweb3では利用者も初心者が多く、まだ知識がないことを逆手にとって詐欺師がだましてきます。 匿名性が高いのも要因のひとつ。 メタマスクを作ったことがあればわかりますが、個人情報ナシで何個でもつくれます。 メールアドレスもいりません。 「自分は気をつけているから大丈夫」は過信かもしれません。 騙されないためには知識で防御力を上げましょう。
ハッキング事例を見て学ぶ
DMは詐欺
標語のように使われている「DMは詐欺」という言葉。 大袈裟ではなく、DMによる詐欺が多発しています。
DM詐欺の例
- すぐにウォレット接続して!→英語に焦って接続したらOUT
- あなただけ24時間で購入できる特別なサイトを教えます→偽サイト
- 限定セール!5体上限で777個のみのNFTを販売します→偽サイト
- 初心者をたすける内容で、メタマスクのシードフレーズを聞き出す
など、DMで公式サイトや親切な人を装って近づいてきますが、
何度も言います「DMは詐欺」なので、すべて無視しましょう。
Discord(ディスコード)のDMを受け取らない設定
「DMは詐欺」なので、そもそもDMを受け取らない設定にしましょう
スマホの場合
下のメニューから自分の画像をタップして「プライバシー・安全」を選択
「安全第一」を選択し、 「サーバーにいるメンバーからのダイレクトメッセージを許可する」をOFFにしてください
PCの場合
左下の設定マークをクリック
プライバシー・安全で「安全第一」を選び 「サーバーにいるメンバーからのダイレクトメッセージを許可する」をOFFにしてください
X(Twitter)のDMも詐欺
知り合いとX(Twitter)のDMでやり取りすることはあると思いますが、知らない人からのDMは詐欺を疑いましょう。 特に、「今だけ安くNFTが手に入りますよ」というメッセージには注意! DMのURLからウォレットを接続して盗まれるケースが多発しています。
X(Twitter)で怪しい誘いをブロックする設定を紹介します。
X(Twitter)の「設定とプライバシー」をタップ
「プライバシーと安全」をタップ
「ミュートとブロック」をタップ
「ミュートしている通知」をタップ
「メールアドレスが未認証のアカウント」をONにする 詐欺アカウントは大量に作って実行してくるので、メールアドレス認証をしてない場合が多いです。 この設定をしておくことで、怪しい通知が減ります。
NFT画像をアイコンにしてフォローしてくる詐欺アカウントも増えています。 リプライ(返信)をする中で、偽URLを教えてくる手口にも注意!
X(Twitter)ブルー(認証マーク)に騙されない
2023年以降、増えている手口「X(Twitter)ブルーから、詐欺サイトへの誘導」 課金すれば「X(Twitter)ブルー」をつけられるようになったため、
本物のアカウントのリプ(返信)で、
ニセモノが、詐欺リンクを貼るという手口。 長文ツイートは連投で投稿されることも多く、油断していると騙されます。 こういう手口があることを知っているだけで、被害にあうかどうか違ってきますね。
X(Twitter)のメンションで誘導
X(Twitter)でメンションをつけて、詐欺サイトにウォレット接続をさせる手口があります。 うまい話はないので注意!
OpenSeaで自分のウォレットに入っている知らないNFTは触らない
NFTを買うと、嬉しくて自分の買った画像を眺めてしまいますよね
ハイディーみんなやってるはず。とくに最初のころは…
そこで、買った覚えのない見知らぬNFTを見たら注意 「Hidden」の中にあることが多いです
ウォレットアドレスはだれでも見れるため、送られてくるのを防ぐことはできません。 自宅の郵便ポストにいらないチラシを入れられるのと一緒です。
ハイディー家のポストにチラシが入ってるのと一緒
勝手に送ってくるだけでなく、「そのNFTを買います」とオファーをされることも。 「2万円くらいで売れるなら」なんて考えたらアウトです。 オファーを受けてしまうと、ウォレットの中身は全部ぬすまれますよ。 「さわらず放置」することが防御になります。
Discord(チャットアプリ)のリンクも疑ったほうがよい
コミュニティでつかうDiscord。 オフィシャルサイト的な役割を持つ反面、管理者のアカウントが乗っ取られて「詐欺サイトへ誘導」の手口があります。 管理者のアカウントからアナウンスされるので、信じてしまうのもしょうがないですが
・NFTをプレゼント(エアドロ)しますは疑う
・知らないサイトへのURLは確認する
・ウォレット(メタマスク)を簡単に接続しない
・怪しいと思ったら、複数人に確認する
以上のことは注意します。 うまい話はすべて詐欺と思ってください。
Discordのテキストリンク機能に注意
2023年9月のアップデートで、テキストにリンクが貼れるようになりました。
しかし、リンク先を偽装できるので注意が必要です。
表示させるテキストとリンク先のURLを、画像のように入力すると
OpenSeaのURLに見せかけて、違うサイトを表示するリンクがつくれます。
リンクをタップしないように注意し、タップした場合は「移動先のURL」をしっかり確認しましょう。
サーバー管理者の対策
サーバー管理者は、詐欺リンクを作られないように対策をしましょう。
サーバー設定から
AutoMod→カスタムワードをブロックを追加します。
「高度なマッチングのための正規表現を使用(任意)」に以下の文字列を入力します。
コピペでOK。
管理者はルールが適用できないので、動作確認は一般ユーザーでしてください。
キンコン西野さんのNFT詐欺事件
キンコン西野さんが監修しているチムニータウンDAOで、乗っ取り詐欺が発生しました。 ハロウィンプペルNFTが完売して、お祭り状態になっているところを狙われています。
STEP
2022年10月31日の深夜、チムニータウンDAOの管理者アカウントがハッキングされる
STEP
Discordで管理者権限のあるアカウントをban(削除)し、対応ができないようにされる
STEP
公式アナウンスとして、偽サイトのURLをお知らせする
STEP
偽サイトにウォレットをつないだ人のNFT・仮想通貨が盗まれる
- X(Twitter)からのリンクはふまないこと
- 購入するときはDiscordの公式アナウンスのURLから
と注意喚起はされていたところ、公式アカウントが乗っ取られるという事件。 常に警戒しておかないと防ぐのが難しいケースでした。
被害にあった方への対応は、さすがキンコン西野さん
DAOは「自己責任」の世界です。 本来、被害にあっても補償をされません。 被害者に補償をすることはリーダーがいることになってしまい、リーダーがいらないDAOという考えとは逆になります。
今回の被害者は、あまりにもかわいそうなのでNFTがプレゼントされました。
あくまで今回限り。キンコン西野さんの計らいです。
アニメ「ルパン3世」がお宝を盗んだとき、「ルパン参上!」のカードが現場に置いてあることに着眼。
お宝はいくらでもあるけど、ルパン参上のカードはほぼ手に入らない。
「お宝よりも、ルパンのカードの方が貴重でしょう」と、「22人のNFT盗まれた人にだけ、詐欺にあったとわかるNFT」がプレゼントされました。
被害にあったことはショックと思いますが、キンコン西野さんの対応はさすがです。
とはいえ、「公式リンクも疑うぐらい慎重にしないといけない」という貴重なハッキングケースでした。
>>>【キンコン西野】CHIMNEY TOWN DAO(チムニータウン ダオ)へ参加する手順
Google検索のリンク先が偽サイト
Googleなど、ブラウザは偽サイトでも広告を出すと検索上位に表示されます。 知らずに見た目はほんものと区別がつかない偽サイトでウォレットをつなぐと… はい、おしまいです。中身を全て抜かれます。 検索表示は偽サイトの可能性があるので、 公式サイトからのリンクか、ブックマークからサイトを訪問しましょう。
広告がブロックできるBraveブラウザの利用で防御力UP
詐欺リンクを踏まないためには、セキュリティレベルが高い「Braveブラウザ」を使いましょう。
Braveブラウザは、第三者機関である「ダブリン大学トリニティ・カレッジ(アイルランド最古の国立大学)」の調査で、ChromeやFirefox、Safariなどと比べ「最もプライバシーが確保されたブラウザ」に選ばれています。
Brave Browserは初期設定ではIPアドレスの追跡をさせるような識別子は確認できず、バックエンドサーバと訪れたWebページの詳細を共有することもなかった。Chrome,Firefox,Safariではバックエンドサーバとページの詳細を共有していた。
引用元:Web Browser Privacy
広告ブロック機能とともに、マルウェアなどの有害プログラムをブロックする機能も搭載されています。 デフォルトで広告がブロックされる、セキュリティレベルの高い次世代高速ブラウザです。
例えばGoogle Chromeで「ビットコイン」と検索すると「広告」が多数表示されるところ、
Braveの場合、「広告」なし。 Braveは、広告が表示されない以外にもメリットだらけのブラウザなので、正直つかわないと損します。
Braveブラウザの特徴
- 広告が表示されない(YouTubeも!)
- セキュリティレベルが高い
- 表示速度が高速
- 他ブラウザからの移行が簡単
- つかうだけで仮想通貨がもらえる
「無料でYouTube広告もブロックされる」というだけで使う理由になるのに、つかうだけで稼げちゃうブラウザなので、この機会に導入しましょう。
送金履歴をつくってお金を送金させる(アドレスポイズニング詐欺)
- 詐欺師が狙ったウォレットと前後が同じアドレスのウォレットをつくる
- ゼロ価値の送金・受信をし、履歴を残す
- 狙われた人が送金履歴からお金を送ると、詐欺師のウォレットに送金してしまう
ウォレットアドレスは長いので、前後の数桁だけ表示されることが多いです。
詐欺師は省略されることを利用して、前後が同じウォレットアドレスを作成した上で、送金履歴を作ります。
知っておくべきポイントは
- 詐欺師はアドレスを作成することができる
- 受信履歴だけでなく、送金履歴もつくられる
アドレスポイズニング詐欺に引っかからないようにするには
- 履歴から送金しない
- ウォレットアドレスは前後だけでなく、全部確認する
手口を知っておくだけで、引っかかる確率は下がります。
リボークをさせてガス代に見せかけたお金を送金させる
webウォレット「Rabby」で使われた手口。 ウォレットに「ハッキングされてるから、リボーク(承認取り消し)をすぐにして!」とメッセージを出し、リボークするとガス代に見せかけてお金が送金されてしまいます。 メタマスクではないですが、ウォレットに警告を出す詐欺があることを知っておきましょう。
運営がお金を持って逃げる|ラグプル
⚠️注意⚠️
— 空水(Kuusui).shm | 🐐 | ⚙️ | (🎮, 🚢) | 🛸 (@invest_kuusui) August 31, 2022
私がMODをしていた@GearverseNft #Gearverse
のDiscordが突如消えました…
恐らくRugだと思われます…
ホルダーの方は申し訳ありません…
購入を検討されてる方は購入しないでください‼️
拡散お願いします🙇♂️
運営が売上を持ち逃げする詐欺「ラグプル」があります。 ・初めから詐欺のために仕込んだ ・運営が難しくなったので持ち逃げした 上記2パターンがありますが、特に後者の場合は見破るのが難しいです。 運営が実名を出して、しっかりしたプロジェクトなのかはチェックした上で購入しましょう。
オークションの入札詐欺
オークション販売は、最高額の入札者がNFTを購入できます。 ・まだ入札額が少額の時に、最高額で入札(例:0.1ETH) ・すぐに、かなり高値で入札(例:5ETH) ・価格が高いので、他の入札者は諦める ・オークション終了間際でキャンセルし(5ETHの入札)、次の最高額(0.1ETH)で落札 騙されてお金が盗まれる詐欺ではありませんが、そういう例もあることは知っておきましょう。
Ninja DAOで被害の実例をみて学ぶ
Ninja DAOには被害事例を報告するチャンネルがあります。
コチラから だれでも無料でDiscordに入ることができます。 Ninja DAOは10万人以上の人が参加している国内最大級のDAO組織。 多くのチャンネルがありますが
#ハッキング駆け込み寺-被害の手口共有 に被害者にあわれた方が手口を書き込み、対策方法を教えてもらっています。 チャンネルのやり取りを読むだけでも、防御力が上がるのでオススメです。
【防御】ハッキング対策は、メタマスクのアカウントを複数作る
ハッキングは、次々と新しい手口でおこなわれています。 自分は大丈夫と過信することが危険。 ハッキングにあうことを前提の心構えで、 「ハッキングされた時に被害を最小限にする」行動をしていきましょう。
Braveで3つのアカウントをつくる
メタマスクが使えるBraveブラウザはプロフィールをわけることができます。 プロフィールの追加方法は
上メニューのプロフィールから「プロフィールを追加」をクリック
名前をつけて「完了」します。
プロフィールの切り替えは、右上からできます。
3つのアカウントの使い分け
オススメの使い分け方
- 購入用:購入する最小限の資金で運用(被害にあってもOK)
- メイン:安全なサイトだけに接続。メインの資金とDiscordのロールで必要なNFTを保管
- 保管用:大切なNFTを保管
- 購入用→小銭入れ
- メイン→財布
- 保管用→金庫
とイメージしてもらえれば、わかりやすいかと。 金庫を持ち歩いて、買い物をしないですよね? 札束の入った財布を持ち歩くのも、ちょっと怖いですね。 必要最低限のお金だけ持って、買い物しましょう!
ハイディー多過ぎても管理が大変なので3つくらいが丁度いいよ
メタマスク内のアカウント追加はNG
メタマスク内でアカウントを作成できますが、オススメしません。 ハッキングされた場合、同じメタマスク内ウォレットの中身も盗まれる可能性が高いです。 メタマスクを3つ作って運用しましょう。
フリーWi-FiをつなぐときはVPN接続をする
フリーWi-FIは、悪い人からすると情報まる見えなので危険です。 NordVPN
やMillenVPN
、SurfsharkVPN
のようなVPNを利用すれば通信が暗号化されるので、フリーWi-Fiでもセキュリティが向上します。
>>>【NordVPN】フリーWi-Fi使うならVPNでセキュリティ対策しよう
定期的なRevoke(リボーク)で安全性を上げる
「あやしいサイトにウォレットをつなげてしまった!」 そんな時は、リボーク(承認取り消し)をしましょう。 Revoke(リボーク)とは、NFTや暗号資産の送付許可(Approve)を取り消すこと。 詳しい手順はコチラの記事 で解説しています。 むずかしくないので、過去に接続したサイトとのつながりは解除しておきましょう。 ウォレットが外部サイトとつながっている状態は、危険でもあるのです。
あわせて読みたい
【Revoke】メタマスクのハッキング対策!リボーク(承認取り消し)のやりかた
あやしいサイトに接続してしまった! そんな時は今すぐにリボークすれば間に合うかもしれません。関係ないなと思っている人も、防御力を上げるために知っておきましょう…
ウォレットを接続する時は慎重に
ハッキング事例を紹介してきましたが、 実際に被害にあうタイミングは次の2パターンがほとんど。
- シードフレーズを教えてしまった
- 偽サイトに接続してしまった
シードフレーズは誰にも教えない
あの手この手でシードフレーズを聞き出そうとしてきますが、絶対ダメ。 財布を渡すのと同じ行為です。
偽サイトに接続してしまった
どんなに気をつけていても、偽サイトのリンクをふんでしまうことはあります。 でも、ウォレット接続をする前なら、まだ大丈夫。
メタマスク接続するときは、内容を必ず確認すること! 確認画面で繋げてはダメな内容
- 転送
- Transfer
- ETHを送信中
ハイディー英語も翻訳して、内容を確認してから接続!
NFTの詐欺被害にあった時の対応マニュアル
被害に気づいたら、なるべく早く行動することで被害を抑えることができます。
NFT詐欺被害の対応マニュアル
- リボークで承認を取り消す
- 接続済みサイトを切断
- NFTを別ウォレットに退避
まだ救出できるかもしれないので、落ち着いて順に対処しましょう。
まとめ
だいぶビビりましたか? 100%ハッキング被害を防ぐことはできません。 ビクビクしているぐらいで、ちょうどよいと思います。
- DMは詐欺
- ブックマークでサイトを表示
- ウォレット内の見知らぬNFTは無視
- ウォレットは使い分けて被害を最小限に
- メタマスクのシードフレーズは誰にも教えない
- ウォレット接続は、内容を確認してから
そんなに用心しなくてはいけないの? というぐらい防御してください。 せっかく買ったNFTが盗まれたら悲しいし、被害にあってNFTをやめてしまうのももったいない。 NFTは楽しいものなので、防御力を高めてエンジョイしましょう!
>>>Braveブラウザを使うだけで仮想通貨(暗号資産)BATを稼ぐ方法
【手数料を払っていたら無料にできます】
無料にできる手数料
メタマスクへ送金→1,000円
販売所でETHを購入→最大5%(10万円の売買で5,000円)
GMOコイン
なら
・送金手数料が無料
・取引所(板取引)でETHが買える
※人気のコインチェックは「販売所」でしかETHが買えません
大事なお金を手数料で減らさないために、GMOコインを利用しましょう!
【ためしに20円のNFTを買ってみる】
新しいことに乗り遅れると、「今さらついていこうとしても、なんか損しそう」と考える人も多いのでは。
日本でNFTを買ったことがある人は約1万7,000人、日本人口のたった0.014%。
今からNFTを始めたら、乗り遅れてるどころではなく「先駆者」です。
あわせて読みたい
【Revoke】メタマスクのハッキング対策!リボーク(承認取り消し)のやりかた
あやしいサイトに接続してしまった! そんな時は今すぐにリボークすれば間に合うかもしれません。関係ないなと思っている人も、防御力を上げるために知っておきましょう…
あわせて読みたい
【初心者むけ】NFT詐欺被害の対応マニュアル|メタマスクのハッキング対応
・詐欺にあってNFTを盗まれた…どうすればいい?・NFT盗難の対応方法を教えてほしい そんな悩みにお答えします。 NFTが盗まれた…の報告はTwitterやDiscordで毎日目にしま…
あわせて読みたい
OpenSeaでアカウントをロックする方法|詐欺被害の通報
詐欺被害にあってしまい、メタマスク(ウォレット)が乗っ取られた場合は、OpenSeaに通報してアカウントをロックすることができます。 この記事でわかること OpenSeaの…
あわせて読みたい
NFTの盗難詐欺にあってみた【ハッキング体験】
・NFTが盗まれました…・詐欺リンクを踏んでしまいました…・急いでいたので確認がおろそかになってました… 日々、Twitterで悲しいさけびがつぶやかれています。 心のどこ…
あわせて読みたい
【2023年最新】無料で仮想通貨・日本円がもらえるキャンペーンまとめ
・仮想通貨がもらえるの?・お得なキャンペーンを教えて・無料なら欲しい! そんな声にお答えします!仮想通貨はインターネットで配ってます。もちろん日本円に換金でき…
あわせて読みたい
【NFTで副業収入】1ヶ月で66万円稼いだ方法・稼ぎ方|初心者むけ
NFTを700円で買ったら、1ヶ月で66万円になりました。(含み益) 買ったNFTは、パンダのキャラクターで人気の「APP(Aopanda Party)」3体。 この記事では「実際にNFTで…
あわせて読みたい
【NordVPN】フリーWi-Fi使うならVPNでセキュリティ対策しよう【NFT】
ホテルやカフェでフリーWi-Fi使ってると危ないって聞いたけど、大丈夫? 悪い人からすると情報まる見えだから、正直、危ないねVPNを利用すれば通信が暗号化されるので、…
あわせて読みたい
【初心者】誰でもできるNFTの始め方「まだ間に合います」
・NFTを始めてみたい・始めるにはもう遅いかな? そんな疑問にお答えします! NFTが怪しいと思うのは普通のこと。 人間の習性で、新しいものや知らないことは怪しく感じ…
あわせて読みたい
【初心者むけ】NFT詐欺被害の対応マニュアル|メタマスクのハッキング対応
・詐欺にあってNFTを盗まれた…どうすればいい?・NFT盗難の対応方法を教えてほしい そんな悩みにお答えします。 NFTが盗まれた…の報告はTwitterやDiscordで毎日目にしま…
あわせて読みたい
NFTの詐欺防止機能「CAL(キャル)」を解説|Contract Allow List
・新しいCNPにCALが仕込まれたらしいけど、どういうもの?・詐欺防止機能のCALって何?・CALってどういう仕組みなの? そんな疑問に答えます。 CALは、Contract Allow L…
あわせて読みたい
【未経験から】どうやってNFTブログで月3万円を稼いだか
ブログで稼いでみたいけど、どうすればイイかわからない本業以外の収入がほしい独立したいからブログを始めたい未経験からブログで月3万円稼げるまでの手順を教えてほし…
あわせて読みたい
【通知】日本NFT情報局(N局)で、忘れた・逃した・追いきれないを解決【あっきー】
・あのNFTの発売日はいつだっけ?・アローリスト(AL)持ってたのに買い忘れた・ALの獲得方法が知りたい・あのNFTのフロアプライス(最低価格)今いくらだろう? そんな…
