著作者:vectorjuice/出典:Freepik
こんなお悩みに答えます。
本記事の内容
- メタマスクハッキング被害事例8つ
- メタマスクのハッキング対策15選
この記事を読めば、メタマスクのセキュリティレベルが劇的に上がり、大切な仮想通貨やNFTをハッカーから守れますよ。
メタマスクはとても便利ですが惰弱です。盗まれてから後悔しないためにもしっかりハッキング対策して防御力を高めましょう。
【コインチェックやビットフライヤーを使っていると損する】
コインチェックやビットフライヤーは仮想通貨の送金手数料が高いです。
| ビットコイン | イーサリアム | |
| コインチェック | 0.0005BTC(5,000円) | 0.005ETH(3,000円) |
| ビットフライヤー | 0.0004BTC(4,000円) | 0.005 ETH(3,000円) |
| GMOコイン | 無料 | 無料 |
上記の通り、GMOコインは送金手数料が無料なので圧倒的に安いです。
よって、GMOコインを送金用の取引所として利用しましょう。
\無料10分・スマホでもかんたん/
この記事を書いた人
仮想通貨ブロガー
NFTコレクター
NFTの含み益7桁
過去に起きたメタマスクハッキング被害事例8つ
著作者:Freepik
まずはハッカーがどういった手法でぼくたちの仮想通貨やNFTを盗むのか知っていただければと思います。
1. DMで送られたきたリンクを踏んで抜かれる
DiscordやTwitterのDMで偽サイトに誘導し、盗むパターンがハッキング被害で一番多いです。
具体的な詐欺パターンをご紹介します。
まず海外の投資家から「あなたのNFTを高く買うから売ってほしい」とDMが届きます。
NFTを売ることにしたあなたは「承諾しました。OpenSeaで売りますね」と返信したとしましょう。
すると投資家は「OpenSeaは手数料が高いから〇〇(他のNFTマーケットプレイス)で売って欲しい。」といい偽サイトのURLを送ってきます。
この偽サイトにメタマスクウォレットを繋いでトランザクションを送るとすべて盗まれます。
その他のパターンとしては、
「〇〇の最新NFTがゲットできますよ!」
「あなたにだけ〇〇のNFTをプレゼントします!」
などといったDMが届きます。
どれも偽サイトにアクセスさせることが目的ですね。
対策が知りたい方はこちらをクリックして『DMは詐欺!Discord・Twitter通知設定』にジャンプする。
具体的な詐欺パターン追記↓↓
【恥を承知で共有します】#CNP ×1#musubi ×3
盗まれました。身に覚えのあるメタバースPJからエアドロのメールを受信。
いかにも公式というアドレスでした。
確かに少しは利用したし、もらえるものはもらっておこうと思い、ウォレットを接続。… pic.twitter.com/4Y9O779y9g— 🐧yoshibow.eth (@chad78xx) January 12, 2024
上記の通り、エアドロップのメールが来てNFTが盗まれる事例も発生しています。NFTや仮想通貨が盛り上がっているときこそ要注意です。
2. DMで仕事を受注して抜かれる
2/
7点のNFTを勝手に販売&財布の中身を送金されて、すっからかんになりました。理由は怪しいソフトをぼく自身がPCにインストールしたからです。
なぜ、そんな初歩的なミスを犯したか?
— てってぃ│ライター×仮想通貨 (@tettiblog) September 30, 2022
上記のようにおいしい話が来てもDMは詐欺だと思いましょう。
NFTハッキング被害にあいました。
その状況を細かく書いていこうと思います。何かの参考になれば幸いです。その人物からTwitter上でメッセージが来たのは3日ぐらい前でした。
Twitter上の名前や説明などは嘘かもしれないし変えてツイートするかもしれないので、あて書かない事にする。— Tohru Hanayama | Pixel Geisya NFTs (@PixelGeisya) March 3, 2022
DM(メール)でウィルスが仕込まれたファイルを開いて盗まれるパターンはNFTクリエイターの方が狙われます。
中にはゲームの体験版をプレイしてほしいと言われ、インストールすると盗まれたパターンもあります。
3. Discordサーバーが乗っ取られて二次被害
Discordとは、NFTプロジェクトでよく利用されるチャットサービスです。このDiscordサーバーの運営者アカウントがハッカーによって乗っ取られるケールがあります。
管理者アカウントを乗っ取ったハッカーはDiscordチャンネル内にスキャムリンクを貼って偽サイトに誘導するのです。
当然、偽サイトのリンクを踏んでしまった方の仮想通貨やNFTは盗まれてしまいます。
下記で実際にハッキング被害に遭ったNFTプロジェクト(DAO)をご紹介します。
1)
🚨OKCatCafeのDiscordサーバーハッキング被害について🚨この度は多くの方に多大なご迷惑をお掛けして申し訳ありません。
現在の状況とハッキングされた経緯をお伝えします。
— OkCat NFT (@OkCat_NFT) February 19, 2023
上記のとおり、OkCatのDiscordはハッキングされて詐欺グループに乗っ取られてしまいました。
こういったことが起きるので公式Discordだからと油断せずにリンクを踏む場合は乗っ取りが起きていないか確認する癖をつけましょう。
【緊急】
チムニータウンDAOがハッキングされて、CNP20点くらい盗まれました……。まだ被害出そうです!アナウンスにあるメッセージは詐欺です。
必ずCNPは保管用ウォレットに!! pic.twitter.com/EZmohmClO4
— 🍺 ikehaya (@IHayato) October 31, 2022
過去にキングコング西野さんが監修しているチムニータウンDAOでもハッキングがありました。
Web3の世界は基本的に自己責任なので盗まれた仮想通貨やNFTは戻ってきません。しかし、西野さんは被害者があまりにもかわいそうということで今回に限り、被害に遭った方々にNFTが配られました。
4. シードフレーズや秘密鍵を教えて抜かれる
シーフレーズ抜かれるとは…
やってしまいました。詐欺サイトでシーフレーズ入力しちゃった…
裏日本さんに泣きついてなんとかメインの資産は死守しましたが、現物でウォレットにあった$3600は一瞬で抜かれました…。あと、ガス代のBNBも。裏さんいなかったら全部抜かれてました😭— 種蒔き🌻.Lens (@7805SW) September 8, 2021
シードフレーズや秘密鍵は他人に絶対教えてはいけません。
シードフレーズ・秘密鍵を聞かれたり、入力を求められたら詐欺だと思いましょう。
5. 見覚えのないNFTをさわって抜かれる
OpenSeaにウォレットを接続すると、Hidden(非表示)に見覚えのないNFTが入っているときがあります。
そういった見覚えのないNFTには悪意のあるプログラムが仕込まれているのでさわらないようにしましょう。
🔰ハッキング事例🔰
OpenSeaのオファー機能をつかった詐欺に要注意です‼️1⃣知らないNFTがエアドロ
2⃣エアドロNFTにオファーがつく
3⃣オファーをうける
4⃣ウォレットからNFTが盗まれる知らないNFTのオファーメールは無視しよう🙌きのう送られてきている人多いと思うので本当に気をつけてください⚠️ pic.twitter.com/mwmcJw50VV
— おもち💎omochi.eth (@omochibigaku) September 25, 2022
中には上記のようにNFTを送信し、そのNFTに対してオファーしてくる2段階仕掛けの詐欺もあります。
6. Googleの検索エンジンを信用して抜かれる
おいおいおい、これはやばいぞ。
NFT のインフルエンサーに周知してほしいやつ。いま Google 検索で「OpenSea」で検索して一番上に広告で出てくるものは「詐欺(scam)」です。
絶対に、シードフレーズは入力しちゃダメです。URL 違くて2度見した。 pic.twitter.com/iRiOxeRoWV
— Luin Aozora@VTuber / NFT Gamer (@luin_aozora) October 11, 2021
Googleの検索エンジンを信用してはいけません。
広告費を支払えば偽サイトであろうと上位表示されてしまうのです。
1/
海外インフルエンサー『NFT GOD』氏がハッキング被害に...被害総額 ●億円...
誰もがハマる可能性のあるので、絶対に注意しましょう。
ドバイからNFTトレンドを解説します↓ https://t.co/5te6gZxAPD
— まとん🇦🇪Web3 (@MatonNFT) January 15, 2023
海外のインフルエンサーも被害に遭っています。OBSというソフトウェアをダウンロードしようとしたところハッキングされたようです。
対策が知りたい方はこちらをクリックして『Googleの検索エンジンを信じない』にジャンプする。
7. ホテルやカフェのフリーWi-Fiを利用して抜かれる
終わりました…メタマスクがハッキングされて全財産抜かれていました。
エアドロとか手出さず、approveも気をつけていたのですが…ステーキングも丁寧にすべて抜かれてました。
いやー、、、旅行中にドン底に突き落とされました😭
— Tepezen CORE/STEPN/MMPRO (@tpemrhsp0301) May 28, 2022
ホテルやカフェなどのフリーWi-Fiは惰弱です。利用しないようにしましょう。
対策が知りたい方はこちらをクリックして『VPNを利用する』にジャンプする。
8. アドレスポイズニング(address poisoning)
聞き慣れない言葉ですがアドレスポイズニングという詐欺もあります。
下記の図を使って説明しますね。
NFTをメインウォレットから保管用ウォレットに移動させると取引履歴が残ります(逆もしかり)。
この取引履歴からアドレスをコピーして取引している方もいるはずです。
しかし、パッと見は同じアドレスでもハッカーが仕込んだアドレスが紛れている可能性があるので、取引履歴からアドレスをコピーするのは危険です。
ウォレットアドレスは長いので「...」で省略されます。ハッカーはこの「...」の部分だけを変えて偽物ウォレットをつくるのです。
そして、ハッカーは偽物ウォレットからあなたのメインウォレットに価値のないトークンを送って取引履歴に偽物のウォレットアドレスを仕込みます。
もし偽物ウォレット宛にNFTを送信してしまうと当然NFTは戻ってきません。
対策が知りたい方はこちらをクリックして『アドレスポイズニング』にジャンプする。
【無知は抜かれる】メタマスクのハッキング対策15選
具体的なハッキング対策を解説していきます。
1. メタマスクウォレットを複数作成して使いわける
メタマスクのウォレットをメインで使う用と保管用にわけるだけでもかなり防御力が上がりますよ。
万が一メインウォレットがハッキングされても保管用ウォレットに入っている資産は守れます。
メタマスクのウォレットを複数つくる方法は下記の記事をどうぞ。
2. ウォレットに入れる資金は必要最低限にする
ウォレットに入れる資金は必要最低限にしましょう。
これだけでもハッキングされた際の損失を抑えられます。
メタマスクのセキュリティは惰弱なのでハッキングされる前提で利用すべきです。
3. ハードウェアウォレットを導入する
仮想通貨やNFTをより安全に保管するならハードウェアウォレットを導入しましょう。
下記の記事でハードウェアウォレットの必要性を学んでいただければと思います。また、おすすめのハードウェアウォレットも紹介しているので参考にしてみてください。
>>【防御力アップ】NFTを安全に保管する方法【基礎から解説】
4. 定期的にRevoke(リボーク)する
NFTマーケットプレイスであるOpenSeaなどで取引するときにApprove(承認)しますが、Approveしたままになっていると危険な場合があります。
そのため、下記の記事でApproveを取り消すRevoke(リボーク)のやり方を学び、定期的にRevokeする癖をつけましょう。
>>メタマスクをRevoke(リボーク)する2つのやり方を解説
5. DMは詐欺!Discord・Twitter通知設定
NFTはDMがきっかけで盗まれている方が多いです。そのため、詐欺DMが来ないようにDiscordとTwitterの通知設定をしておきましょう。
Discord通知設定
デフォルトではDM通知設定がオンになっているのでオフにしてきます。
※PC画面で解説
Discordをひらき、画面左下の「歯車アイコン」をクリックします。
次に「プライバシー・安全」をクリック。
最後に「サーバーにいるメンバーからのダイレクトメッセージを許可する」をオフにすればOKです。
Twitter通知設定
以下の設定をしていただくとDMだけでなく、詐欺のメンションもミュートされるのでかなり防御力が上がりますよ。
※スマホ画面で解説
「ご自身のアイコン」→「設定とプライバシー」をタップします。
次に「通知」→「フィルター」をタップ。
「ミュートしている通知」→「赤枠内オン」
以上で完了です!
6. Googleの検索エンジンを信じない
OpenSeaなどの偽サイトが上位表示されている場合があるため、Googleの検索エンジンを信用しないようにしましょう。
対策としては、
- アクセスする前にURLをよく確認する
- NFTプロジェクトの公式Discordからアクセスする
- 信頼できるブログサイトからアクセスする
- 本物のサイトをブックマークしておく
などなど。
7. VPNを利用する
Wi-Fiを普通に利用すると、ハッカーにのぞき見されるリスクがあります。特にフリーWi-Fiが危険です。
下記の記事でVPNの必要性や導入方法を解説しています。大切な仮想通貨やNFTが盗まれ、後悔しないためにもしっかり対策しておく必要があります。
>>【Wi-Fiは危険】NordVPNの特徴や使い方を解説【クリプト民必見】
8. Brave(ブレイブ)ブラウザを使う
Braveブラウザは、
- 無料で利用できる
- 広告をブロックしてくれる
- マルウェアやフィッシングから保護してくれる
- 利用するだけで仮想通貨BATが貯まる
- YouTubeを広告なしでサクサク見れる&バックグラウンド再生できる
などなど、うれしい機能が盛りだくさんです。
導入するとセキュリティレベルや利便性が上がりますよ。
詳しくは『Brave(ブレイブ)の使い方【特徴やダウンロード方法も併せて解説】』をご覧ください。
9. Revoke.cashの拡張機能を導入する
Revoke.cashはリボークするツールとして利用している方が多いと思いますが、ハッキング対策として使える拡張機能もあります。
Revoke.cashの拡張機能については下記の記事をどうぞ。
>>Revoke.cashの拡張機能をダウンロードする方法【防御力アップ】
10. 秘密鍵・シードフレーズの保管方法
秘密鍵やシードフレーズはクラウドサービス(オンライン)で保管しているとハッキングされた場合、盗まれてしまいます。
よって紙にメモして厳重に保管しましょう。
中には紙だと火事になったときに燃えてしまうので金属板で保管している人もいます。
11. メタマスクをこまめにロックする
単純ですがメタマスクを使わないときは、こまめにロックをかけておきましょう。
メタマスクのパスワードを複雑にしても開きっぱなしにしていては簡単に突破されてしまいますからね。
12. 怪しいリンクを踏まない
とにかく怪しいリンクはさわらないことが重量です。
特にTwitterには本当に詐欺リンクが多いので十分ご注意ください。
13. 見覚えのないNFTはさわらない
ハッキング事例で紹介したとおり、見覚えのないNFTには悪意のあるプログラムが仕込まれている可能性があるので『さわらない』を徹底しましょう。
14. 端末を使いわける
保有している仮想通貨・NFTの額が増えてきたら作業用の端末と保管用の端末をわけることも検討してみてください。
作業用の端末にはメタマスクを入れずに保管用の端末にだけメタマスクを入れるのです。
そうすることで作業用の端末がウィルスに感染してもメタマスクが入っていないので盗まれずに済みます。
15. アドレスポイズニング
取引履歴からウォレットアドレスをコピーするのは危険なので、OpenSeaのプロフィールページやメタマスクのトップページからコピーするようにしましょう。
メタマスクのハッキング対策のQ&A
多くの方が疑問に思いそうなことをQ&A形式でまとめました。
ハッキングされたときの対処方法は?
ハッキングされてもまだ資産が残っているならすぐに他のウォレットに移動させてください。
レジャーナノを持っているならレジャーナノへ、ない場合はもうひとつのメタマスクへ避難させましょう。
レジャーナノの使い方については下記の記事をどうぞ。
>>Ledger Nano(ハードウェアウォレット)の使い方【初期設定からNFT送受信方法まで徹底解説】
メタマスクのウォレットを一つしか持っていない方は下記の記事をどうぞ。
ハッキングされたウォレットは引き続き使ってOK?
一度ハッキングされたウォレットは使わない方がいいです。新しくウォレットを作成しましょう。
また、端末がウィルスに感染している疑いがある場合はクリーンインストールしてください。
1/
またNFT盗まれた…😭パソコンを初期化して安心しきってたけど、バカでした…。勝手に0.7ETHで売られて、いま2ETHで市場に出てる。
大切な #LLAC を失って悔しいですが、同じ被害ができないように対策をまとめます pic.twitter.com/doYSh0W4Kt
— てってぃ│ライター×仮想通貨 (@tettiblog) February 25, 2023
ハードウェアウォレットは本当に必要?
結論、もっとセキュリティレベルを上げたいなら導入すべきですね。
しかし、ハードウェアウォレットを導入しても絶対に安全というわけではないです。
ハードウェアウォレットを購入するか迷っている方は一度下記の記事を読んでいただければと思います。
>>【防御力アップ】NFTを安全に保管する方法【基礎から解説】
【まとめ】仮想通貨・NFTをハッカーから守ろう
今回はメタマスクのハッキング事例と対策について解説しました。
詐欺について動画でも勉強したい方はオリラジの中田さんがわかりやすく解説してくれているのでぜひ見てみてください。
以上です。
