暗号資産(仮想通貨)は買わない!無料でもらう方法 >>

【NFT詐欺】MetaMask(メタマスク)のハッキング事例と対策

この記事はプロモーションを含みます

NFTが盗まれた!

ウォレットの中身を全部抜かれました…

仮想通貨やNFTをはじめると、このような悲痛な叫びに出会うことがあります。

残念ながら、世の中には騙して儲けようとする悪意のある人々が存在します。

では、どうすれば被害を防げるのでしょうか?

オレオレ詐欺の手口を知ることで被害が減ったように、「知識で武装する」ことが最善の対策です。

この記事を読んで、防御力を高めましょう。

この記事でわかること
  • 実際のハッキング事例を見て学べる
  • メタマスクのハッキング対策方法
この記事を読むことで、詐欺・ハッキングの被害にあう確率を減らすことができます

他人ごとではなく、自分ごととして捉えましょう。
後悔しても遅いので、防御力をしっかりと高めてください。

手数料で2,500円オトク


取引所からメタマスクへ送金すると、数百円〜2,500円の手数料が発生します。
※コインチェック・ビットフライヤーの送金手数料は0.005ETH(約2,500円)

GMOコインをつかえば無料にできます。
大切なお金を手数料で減らさない!
損をしないために、普段づかいは無料で送金できるGMOコインを利用しましょう!

送金・出金手数料が無料

>>>無料で口座を開設する

今だけ暗号資産の購入で1,000円当たるキャンペーン実施中

この記事を書いた人
HiD
ハイディー
  • NFTコレクター
  • NFT投資で含み益200万円超
  • NFT保有数:600点以上
  • 音楽NFTコレクションを運営
  • バンドマンでギターリスト
  • 元ECサイト運営マネージャー:年商10億
もくじ

2021年7月から1年間で盗まれたNFTは140億円以上

1年間で140億円以上の価値のあるNFTが盗難被害にあいました。
この驚異的な数字は、ブロックチェーン調査会社Ellipticが発表しています。
少なくない被害額。他人ごとではありません。

なぜ詐欺が多いのか

騙される人が多いからです。

歴史の浅いweb3では、利用者の多くが初心者です。
まだ十分な知識がないことを逆手に取り、詐欺師がだましてきます。

匿名性が高いことも、詐欺が多発する要因です

メタマスクをつかったことがある方ならご存知かもしれませんが、ウォレットは個人情報ナシで何個でもつくれます。
メールアドレスすら不要です。

「自分は気をつけているから大丈夫」は過信かもしれません。
騙されないためには、知識を身につけて防御力を高めることが重要です。

ハッキング事例を見て学ぶ

DMは詐欺

標語のように使われている「DMは詐欺」という言葉。
大袈裟ではなく、DMによる詐欺が多発しています。
DM詐欺の例
  • すぐにウォレット接続して!→英語に焦って接続したらOUT
  • あなただけ24時間で購入できる特別なサイトを教えます→偽サイト
  • 限定セール!5体上限で777個のみのNFTを販売します→偽サイト
  • 初心者を助ける内容で、メタマスクのシードフレーズを聞き出す

など、DMで公式サイトや親切な人を装って近づいてきますが、

何度も言います「DMは詐欺」なので、すべて無視しましょう。

Discord(ディスコード)のDMを受け取らない設定

「DMは詐欺」なので、そもそもDMを受け取らない設定にしましょう
スマホの場合
プライバシー
下のメニューから自分の画像をタップして「プライバシー・安全」を選択
プライバシー
「安全第一」を選択し、
「サーバーにいるメンバーからのダイレクトメッセージを許可する」をOFFにしてください
PCの場合
設定
左下の設定マークをクリック
プライバシー
プライバシー・安全で「安全第一」を選び
「サーバーにいるメンバーからのダイレクトメッセージを許可する」をOFFにしてください

Discordの詳しい使い方は「Discordの使い方」で解説しています。

X(Twitter)のDMも詐欺

知り合いとX(Twitter)のDMでやり取りすることはあると思いますが、知らない人からのDMは詐欺を疑いましょう。
特に、「今だけ安くNFTが手に入りますよ」というメッセージには注意!
DMのURLからウォレットを接続して盗まれるケースが多発しています。

仲良くなってから騙すケースもあります。

X(Twitter)で怪しい誘いをブロックする設定を紹介します。
Twitter設定
X(Twitter)の「設定とプライバシー」をタップ
Twitter設定
「プライバシーと安全」をタップ
Twitter設定
「ミュートとブロック」をタップ
Twitter設定
「ミュートしている通知」をタップ
Twitter設定
「メールアドレスが未認証のアカウント」をONにする

詐欺アカウントは大量に作って実行してくるので、メールアドレス認証をしてない場合が多いです。
この設定をしておくことで、怪しい通知が減ります。
詐欺アカウント
NFT画像をアイコンにしてフォローしてくる詐欺アカウントも増えています。
リプライ(返信)をする中で、偽URLを教えてくる手口にも注意!

X(Twitter)認証マークに騙されない

2023年以降、増えている手口「X(Twitter)ブルーから、詐欺サイトへの誘導」
課金すれば「X(Twitter)ブルー」をつけられるようになったため、
Twitterブルー(認証マーク)に騙されない
本物のアカウントのリプ(返信)で、
Twitterブルー(認証マーク)に騙されない
ニセモノが、詐欺リンクを貼るという手口。

長文ツイートは連投で投稿されることも多く、油断していると騙されます。
こういう手口があることを知っているだけで、被害にあう確率を下げられます。

X(Twitter)のメンションで誘導

Twitterのメンションで誘導
X(Twitter)でメンションをつけて、詐欺サイトにウォレット接続をさせる手口があります。
うまい話はないので注意!

Voicyコメントで詐欺サイトへ誘導

Voicy(ボイシー)コメントで詐欺サイトへ誘導

Voicyコメント欄に、偽アカウントが詐欺サイトへ誘導するリンクが貼られる場合があります。

チャプターや放送概要のリンクは、発信者本人が書き込んだものです。
コメント欄は誰でも書き込み可能なので、注意しましょう。

安易にインストールしない

AIサービスが乱立し、オモシロそうだから使ってみたいアプリがたくさんあります。

ただし、インストールするのは注意が必要。

こればっかりは、後から詐欺と気づくだけなので、

  • 発信者の身元・経歴がわかれば確認
  • ウォレットをインストールしていない端末で操作
  • 口コミをチェック
  • 発信者の身元・経歴がわかれば確認
  • ウォレットをインストールしていない端末で操作

をしないと防ぐのは難しいです。

ウォレットの知らないNFTは触らない

NFTを買うと、嬉しくて自分の買った画像を眺めてしまいますよね。
その中に買った覚えのない見知らぬNFTを見たら注意。
OpenSeaだと、「Hidden」の中に隠れています。
Hidden
Hidden
ウォレットアドレスはだれでも見れるため、送られてくるのを防ぐことはできません。
自宅の郵便ポストにいらないチラシを入れられるのと一緒です。
ハイディー

家のポストにチラシが入ってるのと一緒

詐欺のオファー

勝手に送ってくるだけでなく、「そのNFTを買います」とオファーをされることも。
「2万円くらいで売れるなら」なんて考えたらアウトです

オファーを受けてしまうと、ウォレットの中身は全部ぬすまれます。

「さわらず放置」することが1番の手です。

Discordのリンクも疑う

Discord(チャットアプリ)のリンクも疑ったほうがよい
コミュニティでつかうDiscord。
オフィシャルサイト的な役割を持つ反面、管理者のアカウントが乗っ取られて「詐欺サイトへ誘導」の手口があります。

管理者のアカウントからアナウンスされるので、信じてしまうのもしょうがないですが

・NFTをプレゼント(エアドロ)しますは疑う
・知らないサイトへのURLは確認する
・ウォレット(メタマスク)を簡単に接続しない
・怪しいと思ったら、複数人に確認する

以上のことは注意します。
うまい話はすべて詐欺と思ってください。

Discordのテキストリンク機能に注意

2023年9月のアップデートで、テキストにリンクが貼れるようになりました。
しかし、リンク先を偽装できるので注意が必要です。

Discordのテキストリンク機能に注意

表示させるテキストとリンク先のURLを、画像のように入力すると

Discordのテキストリンク機能に注意

OpenSeaのURLに見せかけて、違うサイトを表示するリンクがつくれます。

Discordのテキストリンク機能に注意

リンクをタップしないように注意し、タップした場合は「移動先のURL」をしっかり確認しましょう。

サーバー管理者の対策
Discordのテキストリンク機能に注意

サーバー管理者は、詐欺リンクを作られないように対策をしましょう。
サーバー設定から

Discordのテキストリンク機能に注意

AutoMod→カスタムワードをブロックを追加します。

Discordのテキストリンク機能に注意

「高度なマッチングのための正規表現を使用(任意)」に以下の文字列を入力します。
コピペでOK。

(\[.+\]\(.+\))

管理者はルールが適用できないので、動作確認は一般ユーザーでしてください。

キンコン西野さんのNFT詐欺事件

Discord(チャットアプリ)のリンクも疑ったほうがよい
キンコン西野さんが監修しているチムニータウンDAOで、乗っ取り詐欺が発生しました。
ハロウィンプペルNFTが完売して、お祭り状態になっているところを狙われています。
STEP
2022年10月31日の深夜、チムニータウンDAOの管理者アカウントがハッキングされる
STEP
Discordで管理者権限のあるアカウントをban(削除)し、対応ができないようにされる
STEP
公式アナウンスとして、偽サイトのURLをお知らせする
STEP
偽サイトにウォレットをつないだ人のNFT・仮想通貨が盗まれる
  • X(Twitter)からのリンクはふまないこと
  • 購入するときはDiscordの公式アナウンスのURLから
と注意喚起はされていたところ、公式アカウントが乗っ取られるという事件。
常に警戒しておかないと防ぐのが難しいケースでした。

>>>ハロウィンNFTプペルとは?特徴・買い方を解説

被害にあった方への対応は、さすがキンコン西野さん

DAOは「自己責任」の世界です。
本来、被害にあっても補償をされません。
被害者に補償をすることはリーダーがいることになってしまい、リーダーがいらないDAOという考えとは逆になります。
CHIMNEY TOWN SCOOPチムニータウン・スコップ
今回の被害者は、あまりにもかわいそうなのでNFTがプレゼントされました。
あくまで今回限り。キンコン西野さんの計らいです。

アニメ「ルパン3世」がお宝を盗んだとき、「ルパン参上!」のカードが現場に置いてあることに着眼。
お宝はいくらでもあるけど、ルパン参上のカードはほぼ手に入らない。
「お宝よりも、ルパンのカードの方が貴重でしょう」と、「22人のNFT盗まれた人にだけ、詐欺にあったとわかるNFT」がプレゼントされました。
被害にあったことはショックと思いますが、キンコン西野さんの対応はさすがです。

とはいえ、「公式リンクも疑うぐらい慎重にしないといけない」という貴重なハッキングケースでした。

音声リンクに詐欺を仕掛ける

STEP
再生ボタンをクリックする
STEP
ポップが開くので閉じる

(この時点で署名がキャンセルできていない!?)

STEP
他のNFTを買う時に署名したタイミングで資産を盗まれる

手口が巧妙で、引っかかってしまう人は多そうです。

  • むやみにタップ(クリック)しない
  • ウォレットを分けておく
  • ウォレットのないブラウザで開く

など、自己防衛していきましょう。

Google検索のリンク先が偽サイト

Googleなど、ブラウザは偽サイトでも広告を出すと検索上位に表示されます。
知らずに見た目はほんものと区別がつかない偽サイトでウォレットをつなぐと…

はい、おしまいです。中身を全て抜かれます。

検索表示は偽サイトの可能性があるので、
公式サイトからのリンクか、ブックマークからサイトを訪問しましょう。

>>>NFTの盗難詐欺にあってみた【ハッキング体験】

広告がブロックできるBraveブラウザの利用で防御力UP

Google検索のリンク先が偽サイト
詐欺リンクを踏まないためには、セキュリティレベルが高い「Braveブラウザ」を使いましょう。
Braveブラウザは、第三者機関である「ダブリン大学トリニティ・カレッジ(アイルランド最古の国立大学)」の調査で、ChromeやFirefox、Safariなどと比べ「最もプライバシーが確保されたブラウザ」に選ばれています。

Brave Browserは初期設定ではIPアドレスの追跡をさせるような識別子は確認できず、バックエンドサーバと訪れたWebページの詳細を共有することもなかった。Chrome,Firefox,Safariではバックエンドサーバとページの詳細を共有していた。

引用元:Web Browser Privacy
広告ブロック機能とともに、マルウェアなどの有害プログラムをブロックする機能も搭載されています。

デフォルトで広告がブロックされる、セキュリティレベルの高い次世代高速ブラウザです。
Google検索のリンク先が偽サイト
例えばGoogle Chromeで「ビットコイン」と検索すると「広告」が多数表示されるところ、
Google検索のリンク先が偽サイト
Braveの場合、「広告」なし。

Braveは、広告が表示されない以外にもメリットだらけのブラウザなので、正直つかわないと損します。
Braveブラウザの特徴
  • 広告が表示されない(YouTubeも!)
  • セキュリティレベルが高い
  • 表示速度が高速
  • 他ブラウザからの移行が簡単
  • つかうだけで仮想通貨がもらえる
「無料でYouTube広告もブロックされる」というだけで使う理由になるのに、つかうだけで稼げちゃうブラウザなので、この機会に導入しましょう。

Braveについては、「Braveブラウザとは」で詳しく解説しています。

送金履歴をつくってお金を送金させる(アドレスポイズニング詐欺)

  1. 詐欺師が狙ったウォレットと前後が同じアドレスのウォレットをつくる
  2. ゼロ価値の送金・受信をし、履歴を残す
  3. 狙われた人が送金履歴からお金を送ると、詐欺師のウォレットに送金してしまう
送金履歴をつくってお金を送金させる(アドレスポイズニング詐欺)
ウォレットアドレスは長いので、前後の数桁だけ表示されることが多いです。
送金履歴をつくってお金を送金させる(アドレスポイズニング詐欺)
詐欺師は省略されることを利用して、前後が同じウォレットアドレスを作成した上で、送金履歴を作ります。
知っておくべきポイントは
  • 詐欺師はアドレスを作成することができる
  • 受信履歴だけでなく、送金履歴もつくられる
アドレスポイズニング詐欺に引っかからないようにするには
  • 履歴から送金しない
  • ウォレットアドレスは前後だけでなく、全部確認する
手口を知っておくだけで、引っかかる確率を下げられます。

リボークをさせてガス代に見せかけたお金を送金させる

リボークをさせてガス代に見せかけたお金を送金させる
webウォレット「Rabby」で使われた手口。

ウォレットに「ハッキングされてるから、リボーク(承認取り消し)をすぐにして!」とメッセージを出し、リボークするとガス代に見せかけてお金が送金されてしまいます。

メタマスクではないですが、ウォレットに警告を出す詐欺があることを知っておきましょう。

>>>Rabby(ラビー)のインストール方法と使い方

運営がお金を持って逃げる|ラグプル

運営が売上を持ち逃げする詐欺「ラグプル」があります。

・初めから詐欺のために仕込んだ
・運営が難しくなったので持ち逃げした

上記2パターンがありますが、特に後者の場合は見破るのが難しいです。

運営が実名を出して、しっかりしたプロジェクトなのかはチェックした上で購入しましょう。

オークションの入札詐欺

オークション販売は、最高額の入札者がNFTを購入できます。

・まだ入札額が少額の時に、最高額で入札(例:0.1ETH)
・すぐに、かなり高値で入札(例:5ETH)
・価格が高いので、他の入札者は諦める
・オークション終了間際でキャンセルし(5ETHの入札)、次の最高額(0.1ETH)で落札

騙されてお金が盗まれる詐欺ではありませんが、そういう例もあることは知っておきましょう。

Ninja DAOで被害の実例をみて学ぶ

Ninja DAOには被害事例を報告するチャンネルがあります。
ニンジャDAO
コチラから だれでも無料でDiscordに入ることができます。

Ninja DAOは10万人以上の人が参加している国内最大級のDAO組織。

多くのチャンネルがありますが
ハッキング駆け込み寺
#ハッキング駆け込み寺-被害の手口共有 に被害者にあわれた方が手口を書き込み、対策方法を教えてもらっています。
チャンネルのやり取りを読むだけでも、防御力が上がるのでオススメです。

【防御】ハッキング対策はメタマスクのアカウントを複数作る

ハッキングは、次々と新しい手口でおこなわれています。
自分は大丈夫と過信することが危険。
ハッキングにあうことを前提の心構えで、
「ハッキングされた時に被害を最小限にする」行動をしていきましょう。

Braveで3つのアカウントをつくる

メタマスクが使えるBraveブラウザはプロフィールをわけることができます。

プロフィールの追加方法は
プロフィール追加
上メニューのプロフィールから「プロフィールを追加」をクリック
プロフィール
名前をつけて「完了」します。
アカウント切り替え
プロフィールの切り替えは、右上からできます。

>>>メタマスクで複数アカウントをつくる方法

3つのアカウントの使い分け

オススメの使い分け方
  • 購入用:購入する最小限の資金で運用(被害にあってもOK)
  • メイン:安全なサイトだけに接続。メインの資金とDiscordのロールで必要なNFTを保管
  • 保管用:大切なNFTを保管
  • 購入用→小銭入れ
  • メイン→財布
  • 保管用→金庫
とイメージしてもらえれば、わかりやすいかと。

金庫を持ち歩いて、買い物をしないですよね?
札束の入った財布を持ち歩くのも、ちょっと怖いですね。
必要最低限のお金だけ持って、買い物しましょう!
ハイディー

多過ぎても管理が大変なので3つくらいが丁度いいよ

>>>メタマスク運用方法

メタマスク内のアカウント追加はNG

アカウント追加
メタマスク内でアカウントを作成できますが、オススメしません。
ハッキングされた場合、同じメタマスク内ウォレットの中身も盗まれる可能性が高いです。

メタマスクを3つ作って運用しましょう。

>>>メタマスクで複数アカウントをつくる方法

フリーWi-FiをつなぐときはVPN接続

フリーWi-Fiは、悪い人からすると情報が丸見えなので危険です。

ID・パスワードなど、大事なデータが盗まれることも。

ハイディー

ホテルやレストランでフリーWi-Fi使っていたら注意!

対策はVPN接続をすること

VPN接続は情報を暗号化するので、セキュリティレベルが上がります。

といったVPNサービスを利用して、情報漏洩を防ぎましょう。

VPNについては、「フリーWi-Fi使うならVPNでセキュリティ対策しよう」を参考にしてください。

定期的なRevokeで安全性を上げる

「あやしいサイトにウォレットをつなげてしまった!」
そんな時は、リボーク(承認取り消し)をしましょう。

Revoke(リボーク)とは、NFTや暗号資産の送付許可(Approve)を取り消すこと。

詳しい手順は、「リボークのやり方」で解説しています。

むずかしくないので、過去に接続したサイトとのつながりは解除しておきましょう。
ウォレットが外部サイトとつながっている状態は、危険でもあるのです。

ウォレットを接続する時は慎重に

ハッキング事例を紹介してきましたが、
実際に被害にあうタイミングは次の2パターンがほとんど。
  1. シードフレーズを教えてしまった
  2. 偽サイトに接続してしまった

シードフレーズは誰にも教えない

あの手この手でシードフレーズを聞き出そうとしてきますが、絶対ダメ。
財布を渡すのと同じ行為です。

偽サイトに接続してしまった

どんなに気をつけていても、偽サイトのリンクをふんでしまうことはあります。
でも、ウォレット接続をする前なら、まだ大丈夫。
偽サイトに接続してしまった
メタマスク接続するときは、内容を必ず確認すること!

確認画面で繋げてはダメな内容
  • 転送
  • Transfer
  • ETHを送信中
ハイディー

英語も翻訳して、内容を確認してから接続!

NFTの詐欺被害にあった時の対応マニュアル

被害に気づいたら、なるべく早く行動することで被害を抑えることができます。
NFT詐欺被害の対応マニュアル
  1. リボークで承認を取り消す
  2. 接続済みサイトを切断
  3. NFTを別ウォレットに退避
まだ救出できるかもしれないので、落ち着いて順に対処しましょう。

詐欺にあってしまったら、「NFT詐欺被害の対応マニュアル」を見て対応してください。

まとめ:メタマスクの中身を抜かれる前に!事例を見てハッキング対策しよう

100%ハッキング被害を防ぐことはできません。
ビクビクしているぐらいで、ちょうどよいと思います。
  • DMは詐欺
  • ブックマークでサイトを表示
  • ウォレット内の見知らぬNFTは無視
  • ウォレットは使い分けて被害を最小限に
  • メタマスクのシードフレーズは誰にも教えない
  • ウォレット接続は、内容を確認してから
そんなに用心しなくてはいけないの?
というぐらい防御してください。

せっかく買ったNFTが盗まれたら悲しいし、被害にあってNFTをやめてしまうのももったいない。

NFTは楽しいものなので、防御力を高めてエンジョイしましょう!

【手数料を払っていたら無料にできます】

知らないと損をします!

仮想通貨取引所の口座から、直接NFTを購入することはできません。
NFTは、メタマスクをつかって取引をします。
つまり、仮想通貨取引所からメタマスクの送金は必須です。

必須である送金手数料が無料になったら、大きな節約に!

コインチェックやビットフライヤーの送金手数料は0.005ETH(約2,500円)

GMOコインなら

送金手数料は無料です!

大事なお金を手数料で減らさないために、普段つかう口座はGMOコインにするべきです!

GMOコインをすすめる理由4選

\ 無料・最短10分 /

>>>無料でGMOコイン口座を開設する

今だけ暗号資産の購入で1,000円当たるキャンペーン実施中

【NFT詐欺】MetaMask(メタマスク)のハッキング事例と対策

この記事が気に入ったら
フォローしてね!

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!
もくじ