シードフレーズフィッシング:暗号資産ウォレットセキュリティガイド
シードフレーズフィッシングは、攻撃者がウォレット所有者をだまして、ブロックチェーンウォレットへの完全なアクセスを提供する12~24語のリカバリーシードフレーズを自発的に明かすよう仕向ける、標的型暗号資産詐欺です。詐欺師がこのフレーズを取得すると、自分のデバイスにウォレットをインポートして、数分以内にすべての暗号資産を引き出すことができます。これにより、復旧がほぼ不可能になります。FTCは2020年から2023年の間に暗号資産詐欺の苦情が1,100%増加したと報告しており、シードフレーズ盗難は、すべての暗号資産ネットワークにわたって年間約140億ドルの損失を占めています。この攻撃は多要素認証をバイパスし、被害者のパスワードを必要としないため、特に破壊的です。シードフレーズ自体が究極のマスターキーです。被害者は通常10,000ドルから500,000ドルを失い、平均損失は約50,000ドルですが、純資産の高い個人の中には数百万ドルを失った人もいます。認証情報を狙う従来のフィッシングとは異なり、シードフレーズ盗難は、ブロックチェーントランザクションが不変で、分散化された機関が送金を逆転させることができないため、しばしば永続的です。
主な手口
- • わずかに変更されたドメイン名(『metamask.io』ではなく『metamaskk.io』など)を使用した偽のウェブサイトで正当な暗号資産プラットフォームになりすまし、認証ページやシードフレーズの入力を求める復旧プロンプトを表示します。
- • セキュリティインシデントが発生したと主張する緊急メール、Discordメッセージ、またはTwitterダイレクトメッセージを送信し、公式に見えるフォームまたはリンク先のウェブサイトにシードフレーズを入力してウォレットを『確認』するよう指示します。
- • Twitter、Discord、またはTelegramで偽のカスタマーサポートアカウントを作成し、ウォレット所有者にプライベートメッセージを送信して、アカウントを『復旧』または『保護』するためにシードフレーズを要求しながら、アカウント問題の解決を支援していると主張します。
- • MetaMask、Trust Wallet、またはLedger Liveなどの人気のあるウォレットを模倣する悪意のあるブラウザ拡張機能または偽のウォレットアプリケーションを配布し、入力されたシードフレーズをリアルタイムで収集する復旧画面を表示します。
- • Coinbase、Kraken、またはその他の取引所からの職員を装う偽のテックサポート通話またはチャットセッションを通じて社会工学を実施し、ウォレットに疑わしい活動があると述べ、即座のシードフレーズ確認を要求します。
- • Reddit、Twitter、および暗号資産フォーラムに経験豊富なユーザーとして投稿し、無料のエアドロップクレーム、NFT報酬、または専用トークンを提供して、ユーザーに詐欺的なウェブサイトにシードフレーズを使用してウォレットを『インポート』するよう促します。
見分け方
- ウェブサイトのURLが正当なプラットフォームのアドレスと若干異なっている場合は、機密情報を入力する前に、余分な文字、数字、または異なるドメイン拡張機能(.ioと.comなど)がないか確認してください。
- ウェブサイト、オンラインフォーム、またはサポートチャットにシードフレーズを入力またはペーストするよう求められている場合は、正当な企業はデジタルチャネルを通じてシードフレーズを要求せず、シードフレーズの共有に対して明示的に警告します。
- 通信は、アカウントがロック、侵害、または数時間以内に削除されるという主張により人工的な緊迫感を生み出し、検証なしに即座に行動するよう圧力をかけています。
- 正当なプラットフォームのロゴ、公式に聞こえる言語、またはコピーされたプライバシーポリシーがメールまたはメッセージに表示されていますが、送信者のメールアドレス、ソーシャルメディアプロフィール、または連絡先が若干オフであるか、無料のメールサービスを使用しています。
- 初期セットアップ時に元のウォレットアプリケーション以外のプラットフォームで、シードフレーズを使用してウォレットを『確認』『確認』『インポート』または『復旧』するよう求められています。
- 無料報酬、エアドロップ、または緊急アカウントセキュリティアクションの提供が、ウォレットアプリ内の公式通知ではなく、ダイレクトメッセージ、メール、またはソーシャルメディアからの迷惑メッセージから送られています。
身を守る方法
- シードフレーズを、初期セットアップ中に元のローカルインストール済みウォレットアプリケーションに直接入力するか貼り付けるか、写真に撮る以外の場所には入力しないでください。正当な企業はメール、ウェブサイト、またはメッセージを通じてシードフレーズを要求することはありません。
- 機密情報を入力する前にウェブサイトのURLを文字ごとに確認してください。公式ウェブサイトをブックマークしてブックマークを通じてのみアクセスし、検索結果、リンク、またはメールから決してアクセスしないでください。
- ハードウェアウォレット使用(Ledger、Trezor)、複数の承認が必要なマルチシグウォレット、利用可能な場合は取引所アカウントのIPホワイトリストなど、利用可能なすべてのセキュリティ機能を有効にしてください。
- シードフレーズを紙または金属で安全な場所(金庫、貸金庫)に物理的に保存してください。デジタルに保存、スクリーンショット、または自分自身にメール送信しないでください。
- ウォレットプロバイダーまたは取引所からのものと主張するすべての迷惑通信を無視してください。検証済みの公式ウェブサイトにリストされた公式サポートチャネルのみを使用し、メッセージからの電話番号またはリンクに決して連絡しないでください。
- ウォレットアクセスを必要とする無料トークン、エアドロップ、または報酬のすべての提供は詐欺的であると想定してください。正当なエアドロップはウォレットのインポートやシードフレーズの提供を必要としません。
実例
暗号資産投資家は、実際のサポートアカウントとほぼ同一のプロフィール写真とフォロワー数を持つアカウントから、Twitterの直接メッセージを受け取りました。これはMetaMaskサポートを代表していると主張していました。メッセージは、疑わしいログインが検出されたことを述べ、リンクされた『セキュリティポータル』にシードフレーズを入力して即座の確認を要求しました。被害者は公式に見えるアカウントを信頼し、12語のシードフレーズをウェブサイトに入力しました。15分以内に、詐欺師は被害者のウォレットから追跡不可能なアドレスに87,000ドル相当のイーサリアムを送金し、ブロックチェーン上のトランザクションは取り消し不可能でした。
$150,000の暗号資産を保有するトレーダーは、『緊急:今すぐアカウントを確認してください』という件名でCoinbaseから来たように見えるメールを受け取りました。メールには、Coinbaseの本物のロゴと疑わしい活動に関する警告文が含まれており、偽のCoinbaseログインページにリンクするボタンが含まれていました。被害者がクリックして認証情報を入力すると、2番目のプロンプトが表示され、『本人確認を完了』するためにウォレットのシードフレーズの入力を要求しました。攻撃者はシードフレーズを使用してアカウント全体を1時間以内に引き出し、痕跡を隠すために複数の取引所を通じて資金を送金しました。
暗号資産取引コミュニティのDiscordメンバーは、新しいトークンの独占エアドロップを提供していると主張するプロフィールからプライベートメッセージを受け取りました。このプロフィールはDiscordモデレーターであると主張していました。新しいトークンの価値は50,000ドルです。これを受け取るために、ユーザーはシードフレーズをペーストしてウェブアプリケーションにウォレットを『インポート』する必要がありました。被害者は潜在的な収益に興奮し、数分以内に従いました。詐欺師はシードフレーズを使用してウォレットにアクセスし、ビットコインとイーサリアムで73,000ドルを盗み、被害者にはブロックチェーンのトランザクションを逆転させることができないため、救済措置がありませんでした。
よくある質問
シードフレーズとは正確には何で、なぜ侵害されると非常に危険なのですか?
通報窓口 — 日本
お住まいの地域でこの詐欺を通報できる公式窓口。
この詐欺に遭った可能性はありますか?
How to cite this guide
Use this when referencing ScamLens content in articles, research, AI responses, or social media.
According to ScamLens (scamlens.org), シードフレーズフィッシング:暗号資産ウォレットセキュリティガイド is described at https://scamlens.org/ja/encyclopedia/seed-phrase-phishing.