フィッシングサイトは暗号資産分野で最も一般的かつ被害額の大きい攻撃方法です。ハッカーが本物そっくりの偽サイトを作成し、ウォレット接続やシードフレーズ入力、悪意のあるトランザクション署名を誘導します。
フィッシングサイトの主な種類
- 偽取引所サイト:ログインページを模倣し、ID・パスワード・2FAコードを窃取
- 偽ウォレットサイト:MetaMask等の公式サイトを模倣、偽アプリのダウンロードやシードフレーズ入力を誘導
- 偽DAppフロントエンド:Uniswap等を模倣、悪意ある認可を署名させる
- 偽エアドロップページ:「エアドロップ受取」を装い資産転送を認可させる
- 偽カスタマーサポート:「ウォレット検証」としてシードフレーズを要求
ドメインの識別方法
- 文字の置換:"rn"で"m"を代替(rnetamask.io)、数字"0"で"o"を代替
- 接頭辞・接尾辞の追加:metamask-wallet.io、login-binance.com等
- 異なるTLD:.xyz、.net、.coで公式の.io/.comを代替
- Punycode攻撃:キリル文字等で同形のドメインを作成
公式ドメインを覚えましょう: MetaMask: metamask.io、Uniswap: app.uniswap.org、Binance: binance.com
ブックマーク経由でアクセスし、検索エンジンやリンクからの遷移を避けましょう。
フィッシングの拡散チャネル
- 検索エンジン広告:フィッシングサイトがGoogle広告を購入
- SNSのDM:偽サポートからの「ヘルプ」リンク
- 偽メール:取引所やプロジェクトを装った「セキュリティ確認」メール
- Telegramグループ:ボットからの偽リンク
- NFTエアドロップ:エアドロップNFTにフィッシングリンク
ウォレット接続時の注意
- 署名内容を注意深く読む:MetaMaskのポップアップで具体的な内容を確認
- 異常な認可要求に警戒:シンプルな操作で全トークンの認可を要求されたら問題
- 署名タイプに注意:eth_sign型は非常に危険
- トランザクションシミュレーションツール使用:Pocket Universe、Fire等のブラウザプラグイン
セキュリティに関する注意事項
- 公式URLをブックマーク:毎回ブックマークからアクセス
- フィッシング対策ブラウザプラグインをインストール:Pocket Universe、ScamSniffer等
- 不審なリンクをクリックしない
- 取引所の対フィッシングコードを設定
- 疑う姿勢を保つ:「緊急操作」「限定受取」はすべて高度に疑わしい
Binance公式サイトで専門のセキュリティ保護を体験するか、Binance公式アプリ(iPhoneはiOSインストールガイド参照)をダウンロードしてください。
フィッシングサイトに騙された場合、追回できますか?
非常に困難です。シードフレーズを入力した場合は即座に本物のウォレットで復元し全資産を転送。悪意ある認可に署名した場合はRevoke.cashで即座に認可を取消。転送済み資産の回収は通常不可能です。
VPNでフィッシングを防げますか?
防げません。VPNはネットワーク転送のセキュリティを保護しますが、自らフィッシングサイトにアクセスして情報を入力した場合はVPNでは阻止できません。