" />

NFTのハッキング対策を初心者目線でのセキュリティー講座

この記事には広告を含む場合があります。

 
 

ハッカーにNFTを盗まれる人が多いと聞きました。セキュリティーを学なんでNFT・仮想通貨を安全に取引したい…

そんな悩みにお答えします。

この記事をかいている私は自称「サラリーマン仮想通貨オタク」で2016年から暗号資産(仮想通貨)をやってます。最近ではDeFiなんかもやってて、最新テクノロジーオタクでもあります。今はNFTにはまってます。

初心者はセキュリティーのことは意外と学びません。目先の仮想通貨の価格上がった、下がったに関心があり一喜一憂する傾向にあるようです。

仕方がないと思いますが、自分の資産を防御するといった意識が薄いように思われます。


なぜかというと、自分がハッキングされるとは思ってないからです。

被害にあって「しまった!」ではあとの祭りです。
だからセキュリティは、理解しておかなければなりません

セキュリティーを学ぶ理由

NFT・仮想通貨の取引ではセキュリティー対策は重要で、何も考えずに作業してしまうと詐欺師のいいかもになり、NFT・仮想通貨を盗まれてしまうことになります。


セキュリティーをしっかりと理解しておけば、詐欺師から大事な資産を守ることができ、安心してNFT・仮想通貨の取引をすることが出来ます。

なので、この講座ではセキュリティーを理解することが出来るように、詐欺事例をもとに対策を解説してますので最低限必要なレベルの知識を学べます。

この記事は初心者のためのセキュリティー講座です。

記事の内容は…

  1. DMは詐欺「Discord・Twitter」
  2. 検索エンジンの偽アカウント詐欺「Google広告詐欺」
  3. 偽メール詐欺「フィシング詐欺」
  4. フリーミントは注意
  5. フリーWi-Fiで取引しない
  6. NFTの購入にも注意「Approve(アプルーブ)の悪用」
  7. 盗品NFTが存在する

NFT・仮想通貨を盗まれる被害がでているのがハッキングです。
とくに初心者を狙っています。

なので具体的事例から被害にあわないように知識をつけましょう。

それでは、はじめていきましょう!

DMは詐欺

DMは全部詐欺!

とにかく多い被害がDM詐欺です。
Discord・Twitterからの詐欺DMが多い。

DM詐欺
  1. Discord詐欺
  2. Twitter詐欺

Discord詐欺

特にDiscordのDMに注意!
DiscordのDM詐欺にあう人が増えています。

実際に私のDiscordにきた詐欺DMの事例として「翻訳もしておきます」

出典:NinjaDAO

所属しているコミュニのアイコンで限定販売中、ボーナスセール中なので特別にNFTを購入(ミント)できます。「ミントするにはここをクリツク」という具合に、メリットのあるオファーで詐欺サイトへ誘導してます。

クリツクすると、誘導されてNFTを全部抜かれることになります。
実際に運営からこんなオファーはありません。

初心者はコミュニティーのアイコンだからということで信用して騙されてしまいます。

Discordの詐欺DMはいろんなパターンで送られてくるので、対策する必要があります。

対策といっても単純。
DiscordのDM機能をオフにしておく。「友達のDMは受け取れるで問題はありません」

DiscordのDM機能をオフにする方法
ユーザー設定から歯車⚙をクリック
出典:NinjaDAO
「プライバシー・安全」を選択
出典:NinjaDAO

「サーバーにいるメンバーからダイレクメッセージを許可する」をオフにする。

設定変更が完了
出典:NinjaDAO

これでDM機能がオフになりました。

Twitterの詐欺

偽のアカウントに注意する。
偽アカウントにもフォロワーが数万人もいますが、騙されないように。

数千円でフォロワーは買うことができます。

偽のサイトはコピペでまっく同じで見分けがつきません。偽サイトへの誘導リンクが貼ってあったりします。

偽アカウントのリンクを踏まない対策は…

偽アカウントを見抜く方法
  1. フォロワーは数万人いるがツイートが数十件と異常に少ない
  2. アカウントのURLを確認する「文字列が微妙に違っている」
  3. どこかの公式サイト「オープンシー・Discord」などのTwitterリンクから飛んで見る

最低これは確認してアカウントのリンクを踏むようにしてください。

クリエータさん向け

仕事の依頼を装おつてDMを送りつけてくる。
Twitterで公開されている詐欺事例を紹介します。「手の混んだ手法です」

これってすごくないですか!よく踏みとどまったと思います。ファイルにウィルスが仕込まれていたかもしれませんね。

クリエイターさんは注意しましょう。

検索エンジンの偽アカウント詐欺

検索から偽のアカウントに誘導する詐欺です。

検索エンジン偽アカウント詐欺
  1. Googleの広告詐欺
  2. DSNハイジャック

Googleの広告詐欺

Googleは検索の1位に広告をだすことができます。
偽物の公式サイトがでてくることがあります。「え…そんなことあるの!」

はい!あるんです…

アカウントのURLを確認すると、微妙に文字列が違っています。

検索エンジン詐欺の流れ
詐欺サイト

ハッカーが詐欺サイトを作ってGoogleに広告を出し上位表示させる。

詐欺サイトに誘導

言葉たくみに詐欺サイトにユーザーを誘導します。

ユーザーから情報を抜き取る

ユーザーは上位表示しているから、詐欺サイトとは思わず、ハッカーの言われるがままに、シードフレーズ「秘密鍵」や署名の許可をあたえてしまう。

NFT・資金が盗まれる

シードフレーズ「秘密鍵」を知られてしまったら終わりです。シードフレーズは絶対に教えてはいけません。

最近の事例でいえば、NFTマーケットプレイスのオープンシーの偽サイトが1位に表示されていました。

偽オープンシーの広告詐欺の画像

偽サイトの名称を公式アカウントのURLにしていて、間違えてしまいます。偽アカウントを踏むと、メタマスクのシードフレーズ「秘密鍵」を求めてきます。

入力すると、NFTと仮想通貨を盗まれます。

これってヤバいですよね。

対策は…

Google偽アカウント対策
  1. アカウントのURLに間違いはないか確認する
  2. 公式アカウントをPCにブックマークしておく

毎回、Googleで検索してURLを確認するのは面倒なので、公式のアカウントをブックマークしておけばOKです。

DNSハイジャックに注意!

DNSハイジャックって…「DNS:ドメイン・ネイム・システム」
URLは本物なのに中身は偽もの、見分けるのは難しい。

普通にブックマークからログインするけど、何かいつもとちがう?偽サイトが表示されている。
なぜかメタマスクのシードフレーズ「秘密鍵」を聞き出そうとする。

この時点でおかしいと気づけば踏みとどまれるのですが、そのままシードフレーズ「秘密鍵」を教えてしまう人もいます。
これで全部の資産は盗まれます。

DEXの大手のパンケーキスワップでこの事件があり、多くの人の資産が盗まれました。

そんなのどうしようも、ないじゃない!

対策は…

DNSハイジャック対策
  1. シードフレーズ「秘密鍵」は、どんな場合でも他人には教えない
  2. いつもと違うと思ったらTwitter等の公式アカウントを確認「情報がでていることもある」

サイトが普段と違って不自然な動きを見せた時は、アカウントに接続するのはやめて、Twitter等の公式アカウントから情報が発信されてないか確認する。
パンケーキスワップのケースは注意喚起がなされてました。

DNSハイジャックはめったにある詐欺ではないのですが、知っておいてください。

偽メール詐欺「フィシング詐欺」

メール詐欺もいろんなケースがあります。

偽メール詐欺
  1. 送信元を装って偽メールを送りつける(オープンシーなど公式)
  2. 仕事の依頼を装った偽メール
  3. 偽サイトへの誘導メール
  4. 初心者を狙ったサポート詐欺メール
  5. ウィルスをしこませたZIPファイルを送りつける詐欺メール

以上のようなメール詐欺と疑いましょう。

送信元を偽装したフィシング詐欺メール

NFTマーケットプレイスのOpenSea(オープンシー)は2022年6月30日に顧客のメールアドレスが外部に流出したと報告があり、ユーザーに警戒するように発表されています。

これによってOpenSea(オープンシー)の公式を装った詐欺メールが、あなたのメールアドレスに届く可能性があるということです。

すでにOpenSea(オープンシー)でフィシング詐欺事件はおきています。

具体例として…

ハッカーは、その公式文章をコピペしてメールで送りつけていた。そこには偽サイトへ誘導するリンクが貼られていて、信じたユーザーが被害にあった事例があります。

対策…

偽メール詐欺「フィシング詐欺」対策
  1. OpenSea(オープンシー)の公式メールドメインか確認する
  2. 自分がPCにブックマークしているOpenSea(オープンシー)公式にログインして情報をとる
  3. 怪しいメールのリンク・添付ファイルは絶対に開かない

OpenSea(オープンシー)から偽物メールドメインが公開されてます。
公式と偽メールドメインを確認しておいてください。

公式のメールドメイン
  • opensea.io
偽物のメールドメイン例
  • opensae.io 「saeになっている」
  • opensea.org
  • opensea.xyz

偽メールドメインは本物ぽく偽装しているので、十分に注意するようにしましょう。

仕事の依頼をを装ったメール詐欺

Twitterの詐欺のところでも言いましたが、メールでも偽の仕事の依頼が届きます。

こんなメールが届いたりします。

「私たちのプロジェクトを手伝てくれるYouTuberを探しています。直接、話をしませんか…」というメールから指定されたリンクに誘導してきます。

しばらくすると、大半のサイトは削除されています。

偽サイトへの誘導メール詐欺

あなたのNFTコレクションはレアなものなので、通常の価格2倍で購入させてください。

この手の詐欺はオープンシーでの取引ではなく、偽サイトでの取引を要求してきます。

そこで、取り引きするとNFTは盗まれます。

初心者を狙ったお悩みごと解決します!サポート詐欺メール

Twitter・Discordでも同様の詐欺があります。

「何かお困りはありませんか。サポートしますよ…」とサポートスタップを装ってメタマスクのシードフレーズ「秘密鍵」を聞き出してNFT・資産を盗む詐欺。

偽ものサポートスタップ詐欺です。

初心者の方はこの手詐欺にやられるケースが多いように思われます。

なぜでしょうか?

分からないで悩んでいると誰かに聞いて簡単に解決したい。そんな感情になるでしょう。ですがNFT・仮想通貨を操作する場合は自分で調べて、自分で解決することが基本中の基本です。

例えば、Twitterなどで「◯◯◯について悩んでいます、誰か教えてくれませんか!」というツイートをすれば詐欺師のいいかもになります。


何度かやり取りし信頼を構築した上で、メタマスクのシードフレーズ「秘密鍵」を聞き出して資産を盗みだします。

分からないことを聞くなら


信頼おける人、信頼のおけるコミュニティーで質問するようにしてください。「この場合でもシードフレーズは教えてはダメです」

ただし調べれば簡単に分かる質問をすると嫌われるので、自分で調べ尽くした上で質問してください。

ウィルスをしこませたZIPファイルを送りつける詐欺メール

ウィルスをしこませたZIPファイルを開かせるメール。

言葉たくにみ、ZIPファイルを開封させようと誘導します。開いてしまうと、ウィルスに感染しメタマスクのシードフレーズ「秘密鍵」を抜かれてNFTや資産を盗まれてしまいます。

どうしても開封したいなら「自己責任です」

どうしてもZIPファイルを開封したいのであれば、いつも使っているPCではないもの、もって言えば自分のウォレット「メタマスクなどすべて」が入ってないもので開封する。

基本は絶対に開封はダメです。

開封は自己責任で行ってください

メール詐欺対策…

メール詐欺対策
  1. 送りつけてきたメールは開封しない
  2. ZIPファイルは開封しない
  3. メールには返信しない

とにかく怪しいメールは開封しない。これにつきます。

ご自身のPCに怪しいメールが届いても、普通は開封しないじゃないですか。ことNFTは意外と開封してしまう傾向にあるようです。

なので日頃の危機管理対応をやっていればOKです。

フリーミントには注意

そもそもMint(ミント)って何?

Mint(ミント)とはNFTを作りだすことです。

なので、詐欺師はTwitterでDMを送ってきて、NFTをフリーミントさせようとします。

詐欺サイトに自分のメタマスクを接続するとメタマスク内のNFT・資産をすべて盗まれます。

対策…

  1. NFT保管用のウォレットと取引用のウォレット(サブウォレット)を使い分ける
  2. 取引用のウォレット(サブウォレット)からMint(ミント)する

フリーミントする場合は、必ず取引用のウォレットからMint(ミント)する。ウォレットには最低限のイーサリアムしか入れておかない。「ガス代程度」
別のウォレットは盗みようがない。

こうしておけば、かりにハッキングされても最低限の損失ですみます。

保管にはハードウェアウォレットを使うのもおすすめです。

Ledger Nano S Plus 暗号通貨ハードウェアウォレット

フリーWi-Fiは使わない

フリーWi-Fiでの仮想通貨の取引はしない。「フリーWi-Fiとはオープンなネットワークで誰でも使える」

スタバやホテルの公共のWi-FiからIDやパスワードを盗まれることがあります。
なので公共Wi-Fiは仮想通貨の操作はやらない。

VPN「バーチャル プライベート ネットワーク」サービスを利用する

もし公共のWi-Fiを利用するなら、VPNを使うとリスクは減らすことができます。
仮想通貨・NFTを取引するならVPNは必須…

対策…

フリーWi-Fi対策
  1. VPNサービスを利用する

私はVPNを常に使用してます。
大切な資産を守るために利用をおすすめします。

VPNについての記事はこちらからどうぞ▼

NFT購入にも注意!Approve(アプルーブ)が悪用されている

Approve(アプルーブ)って何?


自分のメタマスク(ウォレット)からNFTを誰か買いたい人がいたら送ってもOKという許可をオープンシーに与えたことを言います。

もって言えば…
NFTを購入したい人にタイムリーにオープンシーが自動で取引をやってくれる。

Approve(アプルーブ)することで、NFTを送ることをオープンシーに許可しているから、スムーズに取引することが出来ているんですね。

ところがそんな便利な機能を、ハッカーが悪用してNFTを盗まれる被害がでています。

Approve(アプルーブ)の危険性

ハッカーの用意した詐欺サイトでApprove(アプルーブ)してしまうと「自分のNFTを送っていいよって…」許可してるので、ハッカーは簡単にNFTを盗むことができます。

対策…

対策
  1. 怪しいNFTは買わない「信頼できないサイトでは買わない」
  2. メタマスクのApprove(アプルーブ)は内容を良く確認する「怪しげな名称は操作しない」
  3. イーサスキャンでコントラクトアドレスを確認する「確認の難易度は高い」

実はApprove(アプルーブ)って危険な操作なんです。
安易に操作している人が多いので理解して上で操作しましょう。

Approve(アプルーブ)したらRevoke(リボーグ)しよう。

Revoke(リボーグ)

1回でもApprove(アプルーブ)をしたら状態は継続しています。


なので信頼が出来るサイト以外でApprove(アプルーブ)したら、必ずRevoke(リボーグ)をする必要があります。

Revoke(リボーグ)って何?
簡単に言えばNFTを送る許可の取り消しです。

Revoke(リボーグ)するとNFTを自動で送ることが出来なくり、ハッキングリスクが下がります。

だから怪しいサイトでApprove(アプルーブ)した場合は、必ずRevoke(リボーグ)しておいて下さい。

Revoke(リボーグ)についての記事はこちら▼

NFTの盗品に注意

NFTが凍結されて転売ができなくなる。「被害者がオープンシーに報告すると転売ができなくなる」

見分け方は…

見分け方
  1. 取引履歴を確認して警告「!」がでているものは盗品の可能性が高い
  2. フロア価格が安のも盗品だと思われます

こういったもの購入は避けましょう。

まとめ:セキュリティーを学んで安全にNFT・仮想通貨を取引しよう

NFTを取引する際のセキュリティー対策について、詐欺被害の事例をもとに解説しました。

初心者は自分がハッキングされるとは思ってもおらず、セキュリティーを学んでいません。

講座内容…

講座内容
  • DM詐欺
  • 検索エンジン詐欺
  • 偽メール詐欺
  • フリーミント詐欺
  • フリーWi-Fiは使わない
  • Approve(アプルーブ)の悪用
  • NFTの盗品に注意

上記の内容を事例と対策を解説してきました。

今回解説した内容は最低限、必要な知識になるのでしっかり理解して充実したNFTライフを楽しみましょう。

フリーWi-Fiの章で紹介しました、VPNサービスはNFT・仮想通貨をガッチリ取り扱うのであれば、VPNサービスの導入を検討してみてはどうでしょうか?

使い勝手の良いサービスを紹介している記事があるので、こちらからどうぞ▼

最後まで読んでいただき、ありがとうございました。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です