ブロックチェーンのセキュリティ業界は厳戒態勢を敷いている。人気のある暗号通貨ウォレットであるMetaMaskのユーザーをターゲットに、新たな陰湿なフィッシングキャンペーンが行われています。
この攻撃の特殊性は、その極端な真実味にあります。詐欺師は偽の「2要素認証」(2FA)ストリームを使い、被害者を騙して回復フレーズを自発的に渡しているのです。
手口の解剖:進化したソーシャルエンジニアリング
セキュリティ会社ブロックチェーンのCSOであるSlowMist on Xによると、この作戦は技術的にも心理的にも平均レベル以上に洗練されているという。騙しのプロセスは、一見公式なコミュニケーションから始まる。
MetaMaskのプロフェッショナルなブランディング、オオカミのロゴ、オリジナルのカラーパレットを利用したこれらのメッセージは、二要素認証の必須要件の導入を告知しています。
2FA偽装の罠
リンクをクリックすると、ユーザーはミラーサイトにたどり着き、そこで一見合法的なセキュリティ手順を案内されます。最後のステップで、ユーザーは2FAのセキュリティチェックを完了するという口実で、「シードフレーズ」(ニモニック回復フレーズ)を入力するよう求められます。
ここが戻れないポイントです。リカバリーフレーズはデジタルウォレットのマスターキーなのだ。
- 所有者の承認や知識なしに資金を送金する
- 数秒で別のデバイスにウォレットを再作成する
- 関連するすべての秘密鍵を完全に制御する
- ことができます。
- 完全に独立して署名し、取引を実行する。
要するに、詐欺師がいったんシードフレーズを入手すれば、パスワードやデバイスの承認をバイパスすることができ、通常のセキュリティ保護は無効になります。
2025年のパラドックス:損失は少なく、危険は多い
この脅威の出現は、特異な市場状況の中で起こっている。2025年のデータでは、暗号通貨の世界でフィッシングに関連する損失が激減していることが示されています。2024年に盗まれた約4億9400万ドルと比較すると、盗難額は約83%減少し、約8400万ドルとなりました。
しかし、この減少は誤った安心感につながるものではありません。
自分の身を守る方法
この詐欺の逆説は、ユーザーを欺くために、守るために生まれたツールである2FAの非常にポジティブな評判を悪用していることです。
デジタル資産に対する新たな熱狂が見られる中、フィッシングの手口に対する認識と慎重なクレデンシャル管理は、依然として唯一の真に効果的な防御策です。シードフレーズはいかなる理由であれ、誰とも決して共有してはならないという黄金律は変わりません。
