NFTの詐欺(Scam:スキャム)、窃盗、乗っ取り事例とその防止方法
様々なメディアで「NFT」「Web3.0」「メタバース」のようなキーワードをタイトルに入れた記事をよく見かけるようになった昨今、NFTへの参入をご検討中の方や、すでにNFTを購入したり、事業参入したりしている人が増えてきたのではないでしょうか。NFTが盛り上がりを見せる反面、NFTを取り扱うことで発生するリスクも、徐々に深刻化してきています。
NFT関係の詐欺や窃盗などの犯罪行為が増加する中、被害を受ける人が少しでも少なくなるよう、今回は実際にあった詐欺の事例と、その対策についてご紹介していきましょう。
NFTを楽しんでいる皆さんにとって、この記事が少しでも参考になれば幸いです。
そもそもNFTにおける詐欺とは?
NFTにおける犯罪には、大きく分けると2つの種類が存在します。まずひとつめが「窃盗」で、もうひとつが「詐欺」です。
窃盗とは、相手の同意がないまま、勝手に他人のお金や物を持ちだしてしまうという犯罪です。アカウントの乗っ取りなども、窃盗罪に該当します。これに対して詐欺とは、相手を騙すことで、何らかの損害を与える犯罪です。この二つは似て非なる犯罪ですが、悪質なことには変わりないので、しっかり対策していきたいですね。
ちなみにNFT界隈や仮想通貨を取り扱う世界では、こういった詐欺のことを「Scam(スキャム)」と呼ぶことが多いので、この呼び方も覚えておくといいかも知れません。
それではさっそく、NFTにおける窃盗と詐欺のパターンについて、詳しくお伝えしていきましょう。
パソコンを乗っ取られる【窃盗】
まず始めに、パソコンを乗っ取られてしまったという事例パターンからご紹介します。
最近よく聞く乗っ取り被害ですが、急に動作が遅くなったり、カーソルが勝手に動くなどの不具合が生じた場合には、パソコンがウイルスに感染し、遠隔操作されている可能性もあります。
では、一体どんな手口でパソコンは乗っ取られてしまうのでしょうか。
今、最も多いと言われている乗っ取りの手法は「安全に見せかけた添付ファイルを解凍させる」というものです。不審なEメールやTwitterのDM、Discordのプライベートメッセージなどは無視するのが常識ではありますが、「自分はそんな怪しいファイルなんて絶対に開かない」と思っていても、思いがけずに開いてしまうようなシチュエーションも存在します。
例えば、海外から絵の依頼を受けたNFTクリエイターのあなたは、先方から資料としてもらった、パスワード付きの圧縮ファイルを解凍しダウンロードを行いました。やり取りの流れで、あくまでこれは、絵を描くためのただの資料だと思っていたからです。しかし、実際には気付かないうちに犯罪の手口に巻き込まれており、一時間後にはパソコンが乗っ取られてしまっていました。こうした業務関連を装ってウイルス付きのメールを送り付け、機密情報を盗み取ることを目的とし、特定の個人や組織を狙った攻撃は、標的型攻撃と言います。
こういった事例に対する対策としては、怪しいメールや、不審な添付ファイルは開かないようにすること、また、宛先に覚えがあるものでも、必ずウィルスチェックをしてから開くように徹底しましょう。
ほかにも、「日本人の友達が欲しい」「あなたのNFTが私の著作権を侵害しているので訴えようと思っている」など、心を揺さぶる内容のメッセージが来た場合も、不審なメールは無視するに越したことはありません。これからご紹介する詐欺や窃盗の事例も、ほぼ全てが始まりはメールでの連絡です。
標的型攻撃の他にも、直接侵入型の乗っ取りも流行っています。こちらは、脆弱性のあるルーターやサーバーを攻撃して侵入するだけでなく、カフェでパスワードを背中越しに盗み見たり、席を離れた瞬間にウィルスを仕込まれたりするものもあるので、外で作業するときには重々気をつけましょう。
攻撃の内容としては、ランサムウェアやキーロギング、リモートアクセスなどがあげられます。ランサムウェアはパソコンデータを勝手に暗号化され、戻してほしければ金を振り込めと言われるなど、いわばデータを人質に取る攻撃で、大企業や政府機関に対しても非常に流行しています。キーロギングは、押したキーがすべて保存・送信されてしまい、クレジットカード番号やパスワードを抜かれるといった被害に繋がっています。
これらの被害に合わないためには、Gmail 等のフィルタリングが強いメーラーを使うようにするか、仮想通貨や銀行口座など大事なデータの入っているPCと、普段の仕事や作業用で使うPCを分けてしまうのも手かもしれません。さらに、ルータのソフトウェアは常に最新版にしておくことも忘れないようにしましょう。NFTを扱う上では、自分の身を守るために上記はとても大切なことなので、ぜひ覚えておいてください。
MetaMask(メタマスク)ウォレットを乗っ取られる【窃盗】
次に、MetaMask(メタマスク)ウォレットを乗っ取られてしまったという事例パターンを見ていきましょう。
銀行口座や仮想通貨ウォレットの詐取は、パソコンに保存されているデータを盗んで仮想通貨のウォレット(財布)から、直接お金を抜き取るといった手法の窃盗になります。MetaMask(メタマスク)ウォレットを乗っ取られる被害は、ウォレットを乗っ取られたからと言ってもパソコンにある個人情報が抜かれる、ということは原理的にありえないので、先ほどご紹介したパソコンそのものを乗っ取られる窃盗よりも、被害は少ないと言われていますが、できればそういった詐欺の標的になんてなりたくないですよね。
MetaMask(メタマスク)ウォレットを乗っ取る主な手口は、Twitterなどで"Metamask"という単語をつぶやいている人に、公式のサポートリンクと偽ったリプライを付けるやり方です。「Metamask」とつぶやいている人は、大体の場合「Metamaskがうまく動かない…誰か教えて…」と困っている人です。Twitter上では、Metamaskという単語を巡回し、そのTweetに「このリンクが公式サポートでここに入れるとサポートしてくれるよ」とリンクをつけます。もちろんそのリンクは偽物で、「名前、症状、Eメール、そしてシードフレーズを入力するように」と書いてあり、シードフレーズを入力したらウォレットを乗っ取られてしまうという流れです。
こうした事例に関する対策として、まず第一にシードフレーズは絶対に人に教えないこと、絶対にネット上で入力しないことがあげられます。NFTにおけるシードフレーズは、マスターパスワードのようなものなので、共用フォルダや、他人もアクセスできるフォルダにデータで置いておくのも控えましょう。
また、Twitterで「Metamask」とつぶやかないのも大事です。加えて、「NFT」や「NFTArt」、あるいはNFTゲームのタイトルなどをつぶやいている人も、標的にされる可能性があるので、こうしたワードをつぶやくのは、意識して避ける方が無難かも知れません。
「メタマスク」「めたますく」など、日本語の入力であれば、海外の人に引っかかりにくいので、どうしてもこの単語がTwitterの文脈上必要になった場合は、カタカナやひらがなで書くことをおすすめします。
NFTプロジェクトごと乗っ取られる【窃盗】
悪質な窃盗の中には、NFTプロジェクトと呼ばれる、NFTゲームやNFTを活用するサービスを丸ごと乗っ取られてしまうといったケースもあります。具体的には、Discordなどの運営も参加するコミュニティチャットツールで、あたかも運営のようになりすましを行い、ユーザに向かって虚偽のリンクを発生することで、ユーザの資産を奪い取るというものです。また、このケースでも標的型攻撃が使われることがあります。
今回のパターンは、コレクター向けではなく、どちらかというとクリエイター向けの注意喚起になりますが、もし良かったらコレクターの皆さんも、こういった事例があることも知っておいてください。
運営になりすまされると、本物と見分けがつかないリンクをプレイヤーに案内してしまうことができるので、NFTプロジェクト内部にストックされた資産が流出するだけでなく、そのNFTプロジェクトに参加しているプレイヤーの資産も盗まれてしまうので非常に重大な問題となります。後ほど、実際あった事例についても解説いたします。
NFTプロジェクトを運営する上では、こうしたリスク事例があることも把握し、十分に注意することが大切です。
フェイクのNFTを買わせる【詐欺】
NFTにおける詐欺は、ひとえに「価値がないものを価値があると思わされて購入させられる」ことに尽きます。
有名NFTのプライベートセールが当選したという案内が届く詐欺では、「ここでMint出来ます」と、Mintサイトに誘導されるのですが、実際にはそのサイトに繋いでETHを支払ってもNFTは手に入りません。甘い話には騙されず、公式がリリースしているMintサイトしか信用しないようにしましょう。
次に、有名NFTのコピペやパクリNFTを購入してしまうというものがあります。これは買う人のリテラシーにもよりますが、知らずにうっかり買ってしまうということもあるので、気を付けてください。
NFT界隈においては、実は偽物の定義がかなり曖昧です。そもそも「CC0(クリエイティブコモンズゼロ:著作権フリー)」のプロジェクトもあるので、その場合、そのNFTを完全に模倣していても、それは「問題無い作品」とみなされます。また、CC0でなくても「公式公認派生プロジェクト」があったり、「公式が二次創作作品のNFT化」を許可している場合や、許可をしていなくても黙認している場合などがありますので、一概に偽物とも言えないのです。とはいえ、NFTのメリットは「絶対に発行者がたどれる」なので、きちんと自分の目で発行者を確認し、自分で納得して買うようにしましょう。
思いがけず偽物を買ってしまわないようにする対策としては、やはり公式がリリースしているサイトやOpenSea以外からは買わないことが大切です。もちろん、それを理解した上で、偽物のNFTやパクリNFT、あるいは公認や黙認されている派生作品を購入するのは個人の自由だと私は思っています。
詐欺、窃盗事例3選
それでは、実際にあったNFTにおける詐欺・窃盗の事例を3つ見ていきましょう。
Axie Infinityの詐欺事例
遊びながらお金を稼げるPlay to EarnのNFTゲームの中でも特に人気が高い「Axie Infinity」。ですが、人気ゆえに度々ハッキングなどの被害にあっています。
直近にあった最も大きなハッキングは「Axie Infinity」のサイドチェーンである、ローニンネットワークへのブリッジ機能を提供する「Ronin Bridge」がハッキングを受けました。しかし、運営側は6日間ハッキング被害に気づいておらず、公式のリリースによればユーザーからの報告を受けて、今回のハッキングに気付いたそうです。ローニンネットワークが受けた被害総額は、なんと日本円で約750億円規模だったそうです。
また、その直後にも「Axie Infinity」はハッキングの被害にあっています。犯人は「Axie Infinity」の開発 Discord に参加し、複数人いるモデレーターのうちの一人を「詐欺師である」と通報して権利を剥奪、その後運営を装ってその人に近づき、その人の認証情報を聞き出してしまったのです。
こうしてまんまとモデレーターになることに成功した犯人は、Discord で稼働している BOT をハイジャックし、偽の NFT 購入サイトへユーザーを誘導しました。ユーザーには、この BOT の発信する情報が乗っ取られたものかわかりません。この事件における被害総額はわかりませんが、最終的には BOT ごと削除することで対処されたそうです。公式の Discord コミュニティでもこのようなことが起きてしまうのは、怖いですよね。
バンクシーを装った詐欺師によるNFT詐欺
次にご紹介するのは、バンクシーを装った詐欺師によるNFT詐欺です。皆さんはもうご存じだと思いますが、バンクシーとはイギリスを拠点とする素性不明のアーティストです。そんなバンクシーを装った詐欺師により、偽のNFTアートが24万4000ポンドで販売されてしまいました。
被害者は、Discord上のコミュニティにいた匿名の人から、NFTオークションの存在を知らされたそうで、ハッキングされたバンクシーの公式サイトで紹介されていた偽物のNFTアートを購入させられてしまいます。この詐欺師はハッカーでもあり、バンクシーの公式サイト内に「NFT」という新しいページを勝手に新設し、そこからオークションサイトに誘導して騙したというのだから驚きです。
3分で3000万円が完売したプロジェクト、ASTARIANS詐欺
最後にご紹介するのは、「ASTARIANS」に関する詐欺の事例です。「ASTARIANS」はAstar Network上に構築されたNFTプロジェクトです。発売前から大きな話題を呼んでいた「ASTARIANS」でしたが、NFT5,000体を販売したところ、たった3分で完売するなどの大きな反響を呼びました。
あっという間に約3,000万円を集めたこのプロジェクトですが、完売御礼の5日後に、なんと暗号通貨の発行を担保に資金調達した運営側が、投資家の資金を自分のものにする「ラグプル」を行っていたことが発覚します。「ラグプル」とは、簡単に言えば資金の持ち逃げであり、立派な詐欺行為です。
ツイッターのフォロワー数も3,000名以上が登録しており、Discord上のコミュニティも盛況、5,000体が即完売した実績などから、騙されてしまう人が多かったのが見て取れます。
詐欺への対策方法
NFTにおける窃盗や詐欺は、自己防衛によって被害にあってしまう確率を下げることが可能です。
こうした犯罪のターゲットにならないようにするためには、以下のことに注意しましょう。
・知らない人からのメッセージは無視する
・データの圧縮解凍を行う際は必ずセキュリティチェックをする
・シードフレーズは誰にも教えない
知らない人からのメッセージは無視する
何度も書きますが、NFTにおける詐欺や窃盗には、メッセージ機能を巧みに利用したものが多くあります。怪しいメッセージは、開かない、返信しないを徹底してください。
データの圧縮解凍を行う際は必ずセキュリティチェックをする
自身のパソコンを守るためにも、データの圧縮解凍の際には、必ずセキュリティチェックをしましょう。セキュリティソフトは常に最新版にしておくことも大切です。
シードフレーズは誰にも教えない
ウォレットは、シードを使って暗号資産を出庫したり、使用したりできるようにする鍵を作成するので、絶対に人には教えないようにしましょう。このシードフレーズはパソコン内に、メモ書きするなどもしないようにしてください。
最後に
今回は、実際にあったNFTにおける詐欺の事例と、その対策についてご紹介しました。
NFTにおける犯罪は、窃盗と詐欺の二種類がありますが、どちらも自衛することで被害にあう確率を下げることができます。
ご紹介した対策を皆さんもぜひ実践してみてくださいね。
▼なぜ私はverylonganimalsの偽物NFTを購入してしまったのか
【情報提供】
カロン/CharonCrypto
Twitter:https://twitter.com/CharonCrypto
Discord(カロンの相談室):https://discord.com/invite/9HXp6CjBh2
note(応援NFTアーティスト):https://note.com/charoncrypto/
参照元:NFT Media