Security ·

シードフレーズを狙う5つの詐欺と身を守る方法

シードフレーズの窃盗は、暗号資産における最も効果的な攻撃ベクトルです。スマートコントラクトのバグ悪用や51%攻撃とは異なり、シードフレーズを盗むことはシンプルでスケーラブルであり、被害者の資金に対する完全で取り消し不可能な制御を攻撃者に与えます。ここで説明する5つの詐欺は、シードフレーズ窃盗事件の大多数を占めています。それぞれを理解し防御法を知ることは、暗号資産を保有するすべての人にとって必須の知識です。

これらの詐欺はすべて、ユーザーが起こっていると思っていることと実際に起こっていることのギャップを利用します。すべてのケースで防御となるのは検証です:使用するツール、訪問するサイト、やり取りする人が主張通りであるか確認する方法を知ることです。

詐欺1:偽のシードフレーズジェネレーター

偽のシードフレーズジェネレーターは、正規のBIP39ツールに見せかけながら、生成するすべてのシードフレーズを密かに記録するウェブサイトまたはアプリケーションです。攻撃者はシードフレーズのセットをハードコードするか(すべてのユーザーが攻撃者が既に知っているフレーズを受け取る)、生成されたフレーズをリモートサーバーに送信します。

仕組み

攻撃者はランダムなシードフレーズを生成するように見えるプロフェッショナルなウェブサイトを作成します。最も単純なバージョンでは、攻撃者が既に制御する事前計算されたフレーズのリストから選択します。より洗練されたバージョンでは、Web Crypto APIを使用して本物に見えるフレーズを生成しながら、同時に隠されたネットワークリクエストを通じてエントロピーまたは最終フレーズを攻撃者のサーバーに送信します。

被害者は有効に見える12語または24語のフレーズを見て、ウォレットを作成し、資金を入金します。攻撃者は対応するアドレスを監視し、資金を抜き取ります。

身を守る方法

  • ツールがクライアントサイドであることを確認する。 ページをロードし、インターネット接続を切断してからフレーズを生成します。接続なしでツールが失敗する場合、サーバー通信が必要であり信頼すべきではありません。詳細な検証手順はオンラインシードフレーズジェネレーターは安全か?をご覧ください。
  • ネットワークトラフィックを検査する。 生成前にブラウザの開発者ツールのNetworkタブを開きます。生成中に送信リクエストがゼロであるべきです。
  • オープンソースツールを使用する。 ソースコードが公開監査可能なジェネレーターのみ使用してください。SafeSeedのBitcoin Seed Phrase GeneratorEthereum Seed Phrase Generatorは完全オープンソースでクライアントサイドです。
  • 結果を相互検証する。 フレーズを生成し、2つ以上の独立したツールで同じアドレスが生成されるか確認します。

詐欺2:本物のウォレットを模倣するフィッシングサイト

フィッシングサイトはMetaMask、Phantom、ハードウェアウォレットのWebインターフェースなどの人気ウォレットのインターフェースを複製し、ユーザーに既存のシードフレーズを入力させようとします。攻撃者の目標は新しいフレーズを生成することではなく、既に持っているフレーズをキャプチャすることです。

仕組み

攻撃者は正規のウォレットサイトに酷似したドメインを登録します。実際のサイトのビジュアルデザインを複製し、シードフレーズを入力してウォレットを「復元」または「確認」するよう促すプロンプトを表示します。

これらのフィッシングサイトは以下を通じて配布されます:

  • ウォレット関連の検索クエリに表示されるGoogleおよびソーシャルメディア広告
  • Telegram、Discord、X(Twitter)の偽のサポートチャンネル
  • ウォレットの「確認」や「セキュリティ更新」が必要だと主張するメール
  • 「MetaMaskウォレット復元」のようなクエリにランキングするSEO最適化ページ

被害者がフィッシングページにシードフレーズを入力すると、攻撃者のサーバーに送信されます。攻撃者はフレーズを自分のウォレットにインポートし、通常数分以内にすべての資金を引き出します。

身を守る方法

  • いかなるウェブサイトにもシードフレーズを入力しない。 正規のウォレットソフトウェアはブラウザでシードフレーズの入力を求めません。ウォレットの復元はウォレットアプリケーション内部で行われます。
  • 公式サイトをブックマークする。 検索結果やメッセージのリンクではなく、自分で設定したブックマークのみを通じてウォレットインターフェースにアクセスします。
  • URLを文字ごとに確認する。 フィッシングドメインは文字の置換(小文字l vs 1rn vs m)や追加の単語で欺きます。
  • 復元にはハードウェアウォレットを使用する。 ウォレットを復元する必要がある場合、ハードウェアデバイス自体またはメーカーの検証済みサイトからダウンロードした公式デスクトップアプリケーションで行います。

詐欺3:事前生成ウォレットカード

この詐欺は秘密鍵の仕組みをまだ理解していない暗号資産の初心者をターゲットにしています。攻撃者は事前生成されたシードフレーズや秘密鍵が含まれた物理的なカードを販売または無料配布します。カードはQRコードと公開アドレスを備えた正規のペーパーウォレットのように見えます。

仕組み

攻撃者は数千のシードフレーズを生成し、すべて記録してプロフェッショナルに見えるカードに印刷します。被害者は安全なペーパーウォレットがあると信じて、印刷されたアドレスに資金を送ります。同じシードフレーズのコピーを保持する攻撃者が都合の良い時に資金を引き出します。

身を守る方法

  • 常に自分で鍵を生成する。 他の誰かが作成したシードフレーズや秘密鍵を決して使用しないでください。唯一安全な鍵は、自分が管理するデバイスで自分で生成した鍵です。
  • 鍵は秘密であることを理解する。 他の誰かがシードフレーズを見たことがある場合、その人がコピーを持っていると仮定しなければなりません。
  • オフラインで生成する。 SafeSeedのクライアントサイドツールや他の信頼できるジェネレーターをエアギャップマシンで使用して、ゼロから自分の鍵を作成します。

詐欺4:クリップボードマルウェア

クリップボードマルウェア、「クリッパー」とも呼ばれるこれは、クリップボード上の暗号資産関連データを監視し、攻撃者のデータに静かに置き換える悪意のあるソフトウェアです。

仕組み

最も一般的な変種はクリップボード上のBitcoinまたはEthereumアドレスを監視します。支払いのためにアドレスをコピーすると、マルウェアが攻撃者のアドレスに置き換えます。確認せずに貼り付けると、資金が攻撃者に直接送られます。

より危険な変種はシードフレーズを対象にします。シードフレーズをコピーすると、クリッパーがキャプチャして攻撃者に送信します。

身を守る方法

  • シードフレーズをクリップボードにコピーしない。 手書きで書き留めます。
  • 貼り付けたアドレスを必ず確認する。 トランザクションを確認する前に、貼り付けたアドレスの最初と最後の数文字を意図したアドレスと比較します。アドレスバリデーターを使用してフォーマットが正しいか確認します。
  • 検証済みソフトウェアのみ使用する。 公式ソースからのみウォレットアプリケーションとツールをダウンロードします。特に暗号資産に使用するマシンでは海賊版ソフトウェアを完全に避けます。
  • 最新のアンチウイルスを実行する。 完璧ではないですが、現代のアンチウイルスソフトウェアは多くの既知のクリッパーを検出します。
  • クリップボードの内容を確認する。 アドレスをコピーした後、プレーンテキストエディタに貼り付けてトランザクションで使用する前に一致するか確認します。

詐欺5:ソーシャルエンジニアリング攻撃

ソーシャルエンジニアリングは最も古い形態の窃盗であり、暗号資産時代に適応されたものです。攻撃者はシードフレーズを自発的に公開するか、鍵を危険にさらす行動を取るよう操作します。

仕組み

偽の技術サポート。 攻撃者がウォレットプロバイダー、取引所、ブロックチェーンプロジェクトのサポートスタッフを装います。問題を「診断」したり身元を「確認」するためにシードフレーズが必要だと主張します。正規のサポートチームがシードフレーズを求めることは絶対にありません。

「閉じ込められた資金」の餌。 攻撃者がソーシャルメディアにシードフレーズを公開的に投稿し「うっかり」共有したと主張します。関連するウォレットには目に見える資金があります。誰かが資金を請求するためにフレーズをインポートすると、ガス手数料が必要なネットワーク上にトークンがあることがわかります。ガストークンを入金すると、攻撃者が制御するスイーパーボットが即座に入金されたトークンを抜き取ります。

投資メンター。 詐欺師がソーシャルメディアやマッチングアプリを通じて関係を構築し、最終的にウォレットアクセスの共有や特定の(悪意ある)ツールの使用を必要とする「特別な投資機会」に導きます。

エアドロップの主張。 悪意あるdAppにウォレットを「接続」する必要がある無料トークンエアドロップを提供するメッセージで、資金移転の許可を要求したりシードフレーズの入力を求めたりします。

身を守る方法

  • シードフレーズを核の発射コードのように扱う。 正規のサービス、サポートチーム、友人、家族 — 誰もシードフレーズを必要としません。絶対に。いかなる理由でも。
  • 求めていない助けに懐疑的になる。 特にソーシャルメディアやメッセージングプラットフォームで暗号資産の支援を提供する人から連絡があった場合、証明されるまで詐欺と仮定します。
  • 公式チャンネルで身元を確認する。 ウォレットプロバイダーや取引所のサポートが必要な場合、公式ウェブサイトに直接移動し、そこに記載されているサポートフォームやチャットを使用します。
  • 「閉じ込められた資金」のトリックを理解する。 資金のある公開されたシードフレーズを見つけたら、それは餌です。
  • スマートコントラクトの権限を確認する。 dAppが無制限のトークン承認や目的と一致しない権限を要求する場合、トランザクションを拒否します。

使用するすべてのツールを検証する方法

上記のすべての詐欺に対する防御は1つのスキルに収束します:検証。暗号資産ツールを評価するための統合アプローチは以下の通りです。

ソースコードの透明性

ツールがオープンソースでなければ、何をしているか確認できません。オープンソースコードは安全性の保証ではありませんが、クローズドソースのツールは無条件の信頼を要求します。鍵やシードフレーズに関わるすべての操作にはオープンソースツールを優先します。

クライアントサイド実行

鍵生成ツールの場合、初期ページロード後にインターネット接続を切断してクライアントサイド実行を確認します。ツールがオフラインで動作すれば、暗号操作はWeb Crypto APIを通じてブラウザで実行されています。エントロピーソースがなぜ重要かを理解するには暗号資産におけるエントロピーとは?をお読みください。

ネットワーク動作

ブラウザの開発者ツールを使用してすべてのネットワークリクエストを監視します。機密操作(鍵生成、シードフレーズ表示、トランザクション署名)中は送信リクエストがゼロであるべきです。分析サービスへのリクエストでさえ、データ漏洩の潜在的なベクトルです。

ドメインと証明書の確認

ウェブサイトに情報を入力する前に、正確なドメイン名を確認しHTTPSがアクティブであることを確認します。頻繁にアクセスする暗号資産ツールにはブックマークを使用します。

コミュニティの評判

ツールが独立したセキュリティ研究者によってレビューされているか確認します。監査レポート、信頼できる暗号資産フォーラムでの議論、セキュリティ重視の出版物での言及を探します。

結果の相互検証

シードフレーズジェネレーターを使用する際、別の信頼できるツールを使用して同じアドレスを導出し、出力を検証します。SafeSeedのBitcoin Address GeneratorEthereum Address Generatorが参照ポイントとして機能します。2つの独立したツールが同じシードフレーズから同じアドレスを生成すれば、両方とも標準を正しく実装している可能性が高いです。

暗号資産エコシステムの最大の強みであるセルフカストディは、同時に最大の脆弱性でもあります。問い合わせる詐欺防止部門もなく、要求するチャージバックもなく、資金が盗まれた後の復旧プロセスもありません。これら5つの詐欺を理解し検証習慣を身につけることが、暗号資産セキュリティにおいて最も価値ある投資です。基本的な鍵セキュリティの概念についてさらに学ぶには秘密鍵セキュリティのベストプラクティスシードフレーズ vs 秘密鍵をご覧ください。