Crypto Navi
この記事には広告を含みます。
ハッカーにNFTを盗まれる人が多いと聞きました。セキュリティーを学なんでNFT・仮想通貨を安全に取引したい…
そんな悩みにお答えします。
この記事をかいている私は自称「サラリーマン仮想通貨オタク」で2016年から暗号資産(仮想通貨)をやってます。最近ではDeFiなんかもやってて、最新テクノロジーオタクでもあります。今はNFTにはまってます。
初心者はセキュリティーのことは意外と学びません。目先の仮想通貨の価格上がった、下がったに関心があり一喜一憂する傾向にあるようです。
仕方がないと思いますが、自分の資産を防御するといった意識が薄いように思われます。
なぜかというと、自分がハッキングされるとは思ってないからです。
被害にあって「しまった!」ではあとの祭りです。
だからセキュリティは、理解しておかなければなりません。
NFT・仮想通貨の取引ではセキュリティー対策は重要で、何も考えずに作業してしまうと詐欺師のいいかもになり、NFT・仮想通貨を盗まれてしまうことになります。
セキュリティーをしっかりと理解しておけば、詐欺師から大事な資産を守ることができ、安心してNFT・仮想通貨の取引をすることが出来ます。
なので、この講座ではセキュリティーを理解することが出来るように、詐欺事例をもとに対策を解説してますので最低限必要なレベルの知識を学べます。
この記事は初心者のためのセキュリティー講座です。
記事の内容は…
- DMは詐欺「Discord・Twitter」
- 検索エンジンの偽アカウント詐欺「Google広告詐欺」
- 偽メール詐欺「フィシング詐欺」
- フリーミントは注意
- フリーWi-Fiで取引しない
- NFTの購入にも注意「Approve(アプルーブ)の悪用」
- 盗品NFTが存在する
NFT・仮想通貨を盗まれる被害がでているのがハッキングです。
とくに初心者を狙っています。
なので具体的事例から被害にあわないように知識をつけましょう。
それでは、はじめていきましょう!
DMは全部詐欺!
とにかく多い被害がDM詐欺です。
Discord・Twitterからの詐欺DMが多い。
- Discord詐欺
- Twitter詐欺
特にDiscordのDMに注意!
DiscordのDM詐欺にあう人が増えています。
実際に私のDiscordにきた詐欺DMの事例として「翻訳もしておきます」
所属しているコミュニのアイコンで限定販売中、ボーナスセール中なので特別にNFTを購入(ミント)できます。「ミントするにはここをクリツク」という具合に、メリットのあるオファーで詐欺サイトへ誘導してます。
クリツクすると、誘導されてNFTを全部抜かれることになります。
実際に運営からこんなオファーはありません。
初心者はコミュニティーのアイコンだからということで信用して騙されてしまいます。
Discordの詐欺DMはいろんなパターンで送られてくるので、対策する必要があります。
対策といっても単純。
DiscordのDM機能をオフにしておく。「友達のDMは受け取れるで問題はありません」
「サーバーにいるメンバーからダイレクメッセージを許可する」をオフにする。
これでDM機能がオフになりました。
偽のアカウントに注意する。
偽アカウントにもフォロワーが数万人もいますが、騙されないように。
数千円でフォロワーは買うことができます。
偽のサイトはコピペでまっく同じで見分けがつきません。偽サイトへの誘導リンクが貼ってあったりします。
偽アカウントのリンクを踏まない対策は…
- フォロワーは数万人いるがツイートが数十件と異常に少ない
- アカウントのURLを確認する「文字列が微妙に違っている」
- どこかの公式サイト「オープンシー・Discord」などのTwitterリンクから飛んで見る
最低これは確認してアカウントのリンクを踏むようにしてください。
クリエータさん向け
仕事の依頼を装おつてDMを送りつけてくる。
Twitterで公開されている詐欺事例を紹介します。「手の混んだ手法です」
③自分「イラストレーターが本職ではなくVRMを使ったスクショや動画を加工して楽しんでいるだけなので、他の適切な人を探してね!そういう人材が必要なら紹介するけん」と断る
— Kuromonchaya NFT (@KuromonchayaNFT) July 25, 2022
④相手「まって!良案件だし一応作品の仕様書とかギャラ予算とか送るから見るだけでも」とDropboxのリンクとパスが来る
これってすごくないですか!よく踏みとどまったと思います。ファイルにウィルスが仕込まれていたかもしれませんね。
クリエイターさんは注意しましょう。
検索から偽のアカウントに誘導する詐欺です。
- Googleの広告詐欺
- DSNハイジャック
Googleは検索の1位に広告をだすことができます。
偽物の公式サイトがでてくることがあります。「え…そんなことあるの!」
はい!あるんです…
アカウントのURLを確認すると、微妙に文字列が違っています。
ハッカーが詐欺サイトを作ってGoogleに広告を出し上位表示させる。
言葉たくみに詐欺サイトにユーザーを誘導します。
ユーザーは上位表示しているから、詐欺サイトとは思わず、ハッカーの言われるがままに、シードフレーズ「秘密鍵」や署名の許可をあたえてしまう。
シードフレーズ「秘密鍵」を知られてしまったら終わりです。シードフレーズは絶対に教えてはいけません。
最近の事例でいえば、NFTマーケットプレイスのオープンシーの偽サイトが1位に表示されていました。
偽オープンシーの広告詐欺の画像
偽サイトの名称を公式アカウントのURLにしていて、間違えてしまいます。偽アカウントを踏むと、メタマスクのシードフレーズ「秘密鍵」を求めてきます。
入力すると、NFTと仮想通貨を盗まれます。
これってヤバいですよね。
対策は…
- アカウントのURLに間違いはないか確認する
- 公式アカウントをPCにブックマークしておく
毎回、Googleで検索してURLを確認するのは面倒なので、公式のアカウントをブックマークしておけばOKです。
DNSハイジャックって…「DNS:ドメイン・ネイム・システム」
URLは本物なのに中身は偽もの、見分けるのは難しい。
普通にブックマークからログインするけど、何かいつもとちがう?偽サイトが表示されている。
なぜかメタマスクのシードフレーズ「秘密鍵」を聞き出そうとする。
この時点でおかしいと気づけば踏みとどまれるのですが、そのままシードフレーズ「秘密鍵」を教えてしまう人もいます。
これで全部の資産は盗まれます。
DEXの大手のパンケーキスワップでこの事件があり、多くの人の資産が盗まれました。
そんなのどうしようも、ないじゃない!
対策は…
- シードフレーズ「秘密鍵」は、どんな場合でも他人には教えない
- いつもと違うと思ったらTwitter等の公式アカウントを確認「情報がでていることもある」
サイトが普段と違って不自然な動きを見せた時は、アカウントに接続するのはやめて、Twitter等の公式アカウントから情報が発信されてないか確認する。
パンケーキスワップのケースは注意喚起がなされてました。
DNSハイジャックはめったにある詐欺ではないのですが、知っておいてください。
メール詐欺もいろんなケースがあります。
- 送信元を装って偽メールを送りつける(オープンシーなど公式)
- 仕事の依頼を装った偽メール
- 偽サイトへの誘導メール
- 初心者を狙ったサポート詐欺メール
- ウィルスをしこませたZIPファイルを送りつける詐欺メール
以上のようなメール詐欺と疑いましょう。
NFTマーケットプレイスのOpenSea(オープンシー)は2022年6月30日に顧客のメールアドレスが外部に流出したと報告があり、ユーザーに警戒するように発表されています。
これによってOpenSea(オープンシー)の公式を装った詐欺メールが、あなたのメールアドレスに届く可能性があるということです。
すでにOpenSea(オープンシー)でフィシング詐欺事件はおきています。
ハッカーは、その公式文章をコピペしてメールで送りつけていた。そこには偽サイトへ誘導するリンクが貼られていて、信じたユーザーが被害にあった事例があります。
対策…
- OpenSea(オープンシー)の公式メールドメインか確認する
- 自分がPCにブックマークしているOpenSea(オープンシー)公式にログインして情報をとる
- 怪しいメールのリンク・添付ファイルは絶対に開かない
OpenSea(オープンシー)から偽物メールドメインが公開されてます。
公式と偽メールドメインを確認しておいてください。
- opensea.io
- opensae.io 「saeになっている」
- opensea.org
- opensea.xyz
偽メールドメインは本物ぽく偽装しているので、十分に注意するようにしましょう。
Twitterの詐欺のところでも言いましたが、メールでも偽の仕事の依頼が届きます。
こんなメールが届いたりします。
「私たちのプロジェクトを手伝てくれるYouTuberを探しています。直接、話をしませんか…」というメールから指定されたリンクに誘導してきます。
しばらくすると、大半のサイトは削除されています。
あなたのNFTコレクションはレアなものなので、通常の価格2倍で購入させてください。
この手の詐欺はオープンシーでの取引ではなく、偽サイトでの取引を要求してきます。
そこで、取り引きするとNFTは盗まれます。
初心者を狙ったお悩みごと解決します!サポート詐欺メール
Twitter・Discordでも同様の詐欺があります。
「何かお困りはありませんか。サポートしますよ…」とサポートスタップを装ってメタマスクのシードフレーズ「秘密鍵」を聞き出してNFT・資産を盗む詐欺。
偽ものサポートスタップ詐欺です。
初心者の方はこの手詐欺にやられるケースが多いように思われます。
なぜでしょうか?
分からないで悩んでいると誰かに聞いて簡単に解決したい。そんな感情になるでしょう。ですがNFT・仮想通貨を操作する場合は自分で調べて、自分で解決することが基本中の基本です。
例えば、Twitterなどで「◯◯◯について悩んでいます、誰か教えてくれませんか!」というツイートをすれば詐欺師のいいかもになります。
何度かやり取りし信頼を構築した上で、メタマスクのシードフレーズ「秘密鍵」を聞き出して資産を盗みだします。
分からないことを聞くなら
信頼おける人、信頼のおけるコミュニティーで質問するようにしてください。「この場合でもシードフレーズは教えてはダメです」
ただし調べれば簡単に分かる質問をすると嫌われるので、自分で調べ尽くした上で質問してください。
ウィルスをしこませたZIPファイルを開かせるメール。
言葉たくにみ、ZIPファイルを開封させようと誘導します。開いてしまうと、ウィルスに感染しメタマスクのシードフレーズ「秘密鍵」を抜かれてNFTや資産を盗まれてしまいます。
どうしてもZIPファイルを開封したいのであれば、いつも使っているPCではないもの、もって言えば自分のウォレット「メタマスクなどすべて」が入ってないもので開封する。
基本は絶対に開封はダメです。
開封は自己責任で行ってください!
メール詐欺対策…
- 送りつけてきたメールは開封しない
- ZIPファイルは開封しない
- メールには返信しない
とにかく怪しいメールは開封しない。これにつきます。
ご自身のPCに怪しいメールが届いても、普通は開封しないじゃないですか。ことNFTは意外と開封してしまう傾向にあるようです。
なので日頃の危機管理対応をやっていればOKです。
そもそもMint(ミント)って何?
Mint(ミント)とはNFTを作りだすことです。
なので、詐欺師はTwitterでDMを送ってきて、NFTをフリーミントさせようとします。
詐欺サイトに自分のメタマスクを接続するとメタマスク内のNFT・資産をすべて盗まれます。
本日フリーミントを利用した詐欺がありました。
— Glass (@kashooji_MAGIC) March 12, 2022
MINTボタンがTransferになっており、ウォレット内のETHが抜かれるという事態が発生してます。
今回のは名前が元々怪しい(Smolpenis笑)のでメインウォレットでミントした人は少ないと思いますが、今後巧妙な手口の詐欺が増えることは十分考えられます。
対策…
- NFT保管用のウォレットと取引用のウォレット(サブウォレット)を使い分ける
- 取引用のウォレット(サブウォレット)からMint(ミント)する
フリーミントする場合は、必ず取引用のウォレットからMint(ミント)する。ウォレットには最低限のイーサリアムしか入れておかない。「ガス代程度」
別のウォレットは盗みようがない。
こうしておけば、かりにハッキングされても最低限の損失ですみます。
保管にはハードウェアウォレットを使うのもおすすめです。
Ledger Nano S Plus 暗号通貨ハードウェアウォレット 
フリーWi-Fiでの仮想通貨の取引はしない。「フリーWi-Fiとはオープンなネットワークで誰でも使える」
スタバやホテルの公共のWi-FiからIDやパスワードを盗まれることがあります。
なので公共Wi-Fiは仮想通貨の操作はやらない。
もし公共のWi-Fiを利用するなら、VPNを使うとリスクは減らすことができます。
仮想通貨・NFTを取引するならVPNは必須…
対策…
- VPNサービスを利用する
私はVPNを常に使用してます。
大切な資産を守るために利用をおすすめします。
VPNについての記事はこちらからどうぞ▼
Approve(アプルーブ)って何?
自分のメタマスク(ウォレット)からNFTを誰か買いたい人がいたら送ってもOKという許可をオープンシーに与えたことを言います。
もって言えば…
NFTを購入したい人にタイムリーにオープンシーが自動で取引をやってくれる。
Approve(アプルーブ)することで、NFTを送ることをオープンシーに許可しているから、スムーズに取引することが出来ているんですね。
ところがそんな便利な機能を、ハッカーが悪用してNFTを盗まれる被害がでています。
ハッカーの用意した詐欺サイトでApprove(アプルーブ)してしまうと「自分のNFTを送っていいよって…」許可してるので、ハッカーは簡単にNFTを盗むことができます。
というわけで、最後に「ハッキング対策」を書きます。
— Manabu (@manabubannai) February 2, 2022
・怪しいNFTを購入しない
・Metamaskの認証を読む
繰り返しですが、メタマスクの認証画面が出てきたら、内容を確認しましょう。画像の赤枠を確認します。ここに怪しい名称があるなら、触らないほうが良いです。次のツイートでラストです pic.twitter.com/RKyYlah7e4
対策…
- 怪しいNFTは買わない「信頼できないサイトでは買わない」
- メタマスクのApprove(アプルーブ)は内容を良く確認する「怪しげな名称は操作しない」
- イーサスキャンでコントラクトアドレスを確認する「確認の難易度は高い」
実はApprove(アプルーブ)って危険な操作なんです。
安易に操作している人が多いので理解して上で操作しましょう。
Approve(アプルーブ)したらRevoke(リボーグ)しよう。
1回でもApprove(アプルーブ)をしたら状態は継続しています。
なので信頼が出来るサイト以外でApprove(アプルーブ)したら、必ずRevoke(リボーグ)をする必要があります。
Revoke(リボーグ)って何?
簡単に言えばNFTを送る許可の取り消しです。
Revoke(リボーグ)するとNFTを自動で送ることが出来なくり、ハッキングリスクが下がります。
だから怪しいサイトでApprove(アプルーブ)した場合は、必ずRevoke(リボーグ)しておいて下さい。
Revoke(リボーグ)についての記事はこちら▼
NFTが凍結されて転売ができなくなる。「被害者がオープンシーに報告すると転売ができなくなる」
フロア下げてるこの2体は盗品です……OpenSea、ダメですね、ぜんぜん凍結してくれない……。
— 🍺 ikehaya (@IHayato) June 25, 2022
購入するときは、盗品でないか確認しましょう。
特に、履歴に「!」が付いてるのは高確率で盗品なので、スルー推奨です。
不自然に安いNFTはリスクがあります。 pic.twitter.com/CjALbfn5Ws
見分け方は…
- 取引履歴を確認して警告「!」がでているものは盗品の可能性が高い
- フロア価格が安のも盗品だと思われます
こういったもの購入は避けましょう。
NFTを取引する際のセキュリティー対策について、詐欺被害の事例をもとに解説しました。
初心者は自分がハッキングされるとは思ってもおらず、セキュリティーを学んでいません。
講座内容…
- DM詐欺
- 検索エンジン詐欺
- 偽メール詐欺
- フリーミント詐欺
- フリーWi-Fiは使わない
- Approve(アプルーブ)の悪用
- NFTの盗品に注意
上記の内容を事例と対策を解説してきました。
今回解説した内容は最低限、必要な知識になるのでしっかり理解して充実したNFTライフを楽しみましょう。
フリーWi-Fiの章で紹介しました、VPNサービスはNFT・仮想通貨をガッチリ取り扱うのであれば、VPNサービスの導入を検討してみてはどうでしょうか?
使い勝手の良いサービスを紹介している記事があるので、こちらからどうぞ▼
最後まで読んでいただき、ありがとうございました。
