NFTの詐欺被害に遭わないために/遭ったらどうすべきか?
2月13日にアメリカ最大のスポーツイベント、スーパーボウルにて人気NFTコレクションDigiDaigakuのコマーシャルが放映されました。
DigiDaigakuは「Free to Own」をキャッチフレーズにしており、基本的にNFTはフリーミント(無料販売)でリリースしています。
このような大きなコレクションの「フリーミントイベント」があるとそれにともなって増えるのが「スキャム」です。*1
*1 スキャム(Scam)は英語での「詐欺」の口語表現です。インターネット上ではこの言葉が一般化していますので、本記事では悪意を持って相手に近づき、相手が意図しない状態でNFTや暗号資産を盗み出すことを「スキャム」と呼ぶことにします。
つまりそのような大きなコレクションを装い「こちらでフリーミントが出来ますよ」とニセサイトに誘導し、あなたのNFTを奪うスキャムです。
実際、この日は多くの人がDigiDaigakuを装ったフリーミント詐欺にひっかかり残念ながら自身のNFTを盗まれてしまいました。
NFTに触れる上でもっとも気をつけるべきことの一つがこの「スキャム」です。スキャムに遭ってしまうとせっかく自分のお金で集めたNFTがすべて盗まれてしまい、金銭面的損失だけではなく精神的にも大きな痛手を受けてしまいます。
そうならないように、今回の記事ではNFT周辺においてどのようなスキャムがあり、それぞれに対してどのように注意すべきなのかを解説します。
スキャムのタイプとは?
まずNFT周辺にあるスキャムのタイプは下記の3つです。
【1】パソコンの乗っ取り
【2】シードフレーズを盗み出す
【3】悪意あるトランザクションを実行させる。
それぞれについて見ていきます。
詐欺被害のパターン【1】パソコンの乗っ取り
被害=パソコンの中身全部
これは最悪のパターンでしょう。パソコンを遠隔から操作されてしまい、パソコン内のデータすべてが操作されます。暗号資産だけでなくすべてのデータが危険にさらされますので、できるだけ速やかにウィルスを駆除しないと何をしても無意味です。
NFTだけでなく、仕事に関するデータや個人情報なども全部盗まれてしまいます。乗っ取りは世界的に脅威になっていて、日本でも昨年3月、このタイプのウィルス攻撃によってトヨタが14箇所の工場を停止させるという甚大な被害を受けています。
では、この攻撃はどうやって行われるのでしょうか?
攻撃の方法:ウィルスファイルの入った圧縮データを解凍させる。
遠隔から行われる場合、ほぼこれです。あなたがパソコンから離れたすきに誰かがあなたのパソコンを実際に操作する、ということもありえますが、自宅などであれば考えづらいでしょう。
これに対する対策は下記のとおりです。
■見知らぬ圧縮ファイルは開かない。
特にTwitterやDiscordのDMなどでよく知らない人から送られてきたものは基本的に開いてはいけません。
メールの場合、多くのサーバ(例えばGmailを使っていたらGoogle)で、危ないファイルをチェックしてくれます。(もちろん100%ではありません)
しかしTwitterDMなどで送られてきて自分でリンクからダウンロードする場合、誰もチェックをしてくれていません。そういうファイルを開くときには十分に注意が必要です。
具体的にはウィルス対策ソフトをインストールし、開く場合には一度、ウィルスチェックをかけることをおすすめします。
■ウィルス対策ソフトを切らない
多くの場合、危険な圧縮ファイルを開こうとすると、ウィルス対策ソフトが「この圧縮ファイルは危険です」と警告してくれます。
しかし、それではなぜ多くの人がこの被害にあっているのでしょうか?
それは「開こうと思ったらウィルス対策ソフトの警告が出て開けなかった。だから、ウィルス対策ソフトを停止させてファイルを開いた」(!)からです。これは最もやってはいけないことです。
ウィルス対策ソフトが「危険です」と警告したらそれは99.999%ウィルスです。すぐに削除してください。ウィルス対策ソフトを停止させてはいけません。
■一回開いてしまったら、ウォレットを作り直す
一度、怪しげなファイルを開いてしまった場合、その直後には何もなく、数日、数ヶ月経ってETHをたくさん入金したタイミングで全部盗まれた、ということもあります。とても嫌な話ですが、犯罪者がこちらの動きをしっかりと見ていて、「少し泳がせておく」ということも起こっているのです。
怪しげなファイルを開いてしまった、特にウィルス対策ソフトを一時停止して開いてしまった、という場合にはウォレットを作り直すか、せめて別の新しいウォレットを作っておき大事なNFTだけでもそちらに保管するようにしてください。
詐欺被害パターン【2】ウォレットののっとり
被害=ウォレットの中身全部
Metamaskなどの暗号資産ウォレットは「リカバリーシードフレーズ(以下、シードフレーズ)」があれば、ウォレットをまるごと他のパソコンで復元して操作できます。暗号資産(暗号通貨とNFT)をすべて操作出来ます。このシードフレーズは、例えばあなたのパソコンがクラッシュしてしまい新しいパソコンでウォレットをインストールし直すために使うものです。詐欺被害パターンで多いことは、このシードフレーズをあなたから盗み出し、別のパソコンであなたのウォレットを復元し、その中身を抜き取ることです。
攻撃の方法:シードフレーズを聞き出す
最も多い手法は、なにか困っている人のツイートに「ここでサポートしてくれるよ」と教えて、そこでシードフレーズを入力させる方法です。正式なサポートサービスではシードフレーズを聞き出すことは絶対に有りえません。
または「アップデートが必要です」といったニセメールを無作為にばらまき、それを信じた人がアップデートと思いサイトに行くとシードフレーズを求められる、ということもあります。
とにかくシードフレーズを聞き出す側は手を変え品を変え近寄って来ます。ぜひ下記の対策を守ってご自身のシードフレーズを守って下さい。
■シードフレーズを人に教えない、ネット上で入力しない
「シードフレーズを教えろ」、「ネットに入力しろ」という人がいたらそれは確実に詐欺師です。そして「シードフレーズを入力してください」というサイトがあったら、それは詐欺サイトです。シードフレーズは、自分がウォレットを復元するときにしか使いません。もちろんOpenseaやMetaMaskなどの運営側が聞いてくることはありません。
■Twitter上で「Metamask/メタマスク」とつぶやかない
これも実は重要なことです。Twitter上には「Metamask/メタマスク」という言葉を検索しながらあなたの資産を狙っている詐欺師が存在します。そういう詐欺師は例えば「MetaMaskがうまくうごかない、誰か助けて」と言った書き込みを見つけると「ここのサイトで情報入力したらサポートしてくれるよ」というリプライをつけてきます。そしてそのリンク先には「シードフレーズを入力してください」とあり、そこに入力してしまうとシードフレーズが盗まれる、という流れです。
(メタマスクという言葉に反応にニセサイトに誘導しようとするリプライの例)
まずTwitter上で「Metamask」とつぶやかない、もしつぶやいてリプライが付いてしまったとしたら無視する、あるいは「このリプライを表示させない」などの設定を行ってください。
詐欺被害パターン【3】ニセサイト・ニセDiscord詐欺
被害=NFTほぼ全部
続いて、悪意あるトランザクション(取引)を「許可」させる方法です。この場合の攻撃方法は概ね2パターンです。
攻撃方法【1】=ニセのMintサイトに誘導する。そこで悪意あるトランザクション(取引)を「許可」させる。
昨今、大変に流行しているスキャムのパターンです。冒頭で紹介した、DigiDaigakuを装ったスキャムの多くがこのパターンでした。
例えば、詐欺師はニセサイトを作りそのサイトを「人気のNFTが無料でもらえますよ」というツイートをして拡散します。ツイートしているアカウントも偽物であったり公式アカウントのなりすましだったりします。フォロワーも多いので人気のあるアカウントに見せかけていますが多くの場合、こういう詐欺アカウントはフォロワーの多いアカウントを買っています。
例えばこちらは「CNPがタダで貰えますよ」という詐欺ツイッターアカウントです。
このようなアカウントを見て「あの人気のCNPがタダでもらえるの?」と思って詐欺サイトに行ってしまう人が多く発生します。
ツイッターからのリンクでこのニセサイトに飛んだうちの何人かは「無料でもらえる」と勘違いし、そのサイトでウォレットを繋ぎ、トランザクション(取引のためのプログラム)を「許可」してしまいます。実はそのトランザクションは「NFTをもらう」ではなくて「NFTを全部、あなた(この場合、詐欺師)の自由にしていいよ」という許可なのです。この「NFT全部自由にしていいよ」という許可を“SetApprovalforAll”と言います。
“SetApprovalforAll”というトランザクションは詐欺師が利用するだけではなくて、例えばOpenseaなどで取引にも使用されるトランザクションです。ですから信頼できるサイトでは「許可」をして良いのですが、怪しげなサイト、特に有名コレクションを装ったサイトには絶対に許可を与えてはいけません。
またMintサイトのみならず「OpenSeaそっくりに作ったニセサイト」も確認されています。Openseaでウォレットの許可を出すときには必ず「https://opensea.io/」で始まっていることを確認することが重要です。
攻撃方法【2】=偽のDiscordサーバーを作り、そこに誘導する。そこで「ウォレット認証」をさせる。
こちらも、いま大変に流行しています。
多くのdiscordサーバーでウォレットを繋いで認証すると持っているNFTに応じて特別なロールが付与される、という機能が実装されています。その時に使う認証プログラムで有名なサービスは「Collab.land」というものですが、偽サーバーで偽Collab.landを作り、それを利用しNFTを盗むという手法です。
例えばこちらのディスコードをご覧ください。
これは偽の、悪意あるサーバーです。ウォレット認証のリンクがありますが、これがスキャムです。
いつものようにウォレット認証のつもりで進むと先程のニセミントサイト同様、トランザクション(取引)の「許可」を求められます。こちらも、このトランザクションは「NFTをもらう」ではなくて、「NFTを全部、あなた(詐欺師)の自由にしていいよ」という許可です。※通常のウォレット認証は「許可」は求められません。
これらの「ニセサイト/ニセウォレット認証」詐欺の対策は下記です。
■Mintサイト、Discordは必ず公式情報からいく
どのプロジェクトも「ゲリラMint(予告なく突然販売開始すること)はしません!」とか「TwitterでMintサイトを流すことはしません」と発信しています。ですから、まずは「ゲリラMint」は信じず、ツイッターのタイムラインになんとなく流れてきたミントURLも信用しないようにしましょう。情報は必ず公式サイト/公式ツイッターアカウント/公式ディスコードから確認しましょう。
※ただ、Discordは時に公式リンクが切れていて、悪意ある人がそのURLを利用している可能性もあります。この場合もまずはDiscordに入って様子がおかしい(他にあまり人がいない、チャンネルの数が異常に少ない、など)があったら用心するようにしてください。そして、Collab.land認証のサイトに飛んだ場合、必ずサイトURLが「https://connect.collab.land/」であることを確認してください。サイトURLが「https://connect.collab.land/」でなければそれはニセ認証サイトである可能性が高いです。
もし、ウォレット認証する際に「許可/確認/Approve」を求められたら「あれ?」と思って手を一度止めてください。これが最後の砦です。
更に安全性を高めるために
以上、典型的なスキャムのパターンとそれらの対策を紹介しました。更にあなたのNFTを安全に保管するために下記のことを行うと安全性を高めることが出来ます。
1.DeBankで定期的に自身のウォレットの動きをチェックする。
DeBankは暗号資産を管理するのであれば使ったほうがいいWebサービスです。このサービスは特定のウォレットアドレスの中にある資産をネットワーク横断で確認する事ができます。ウォレットを繋がなくても確認できますし、繋げば更に便利に使えます。(ウォレットの「確認/許可」をする必要はありません)
このサイトのポイントは、万が一、自分が操作していない動きがあった場合にも確認できる、ということです。
Metamask内の「Activity」はあくまで「そのパソコンから操作したもの」しか表示されません。仮に外部から不正にログインされてなにか操作されている場合には見えてきません。しかしDeBankではウォレットの動き、入出金、NFTの受け取り、転送をすべて確認出来ます。定期的にここを見て、なにか不審な動き、自分がした覚えの無い操作があればあればすぐに確認しましょう。
2.ウォレットを分ける
ウォレットを分ける、というのは最も簡単で有効なスキャム対策です。例えば「保管用」として大事なNFT、これからしばらく何があっても売るつもりがないNFTをこちらに保管し、「普段用」には日頃、売り買いするNFTを入れておきます。こうすると仮に「普段用」を悪意あるサイトに繋いでしまい、中身を盗まれてしまっても「保管用」は安全です。更にもしフリーミントなどもやりたいのであれば「フリーミント用ウォレット」があってもいいでしょう。ここにはミントするためのガス代として最低限のETHしか入れておかず、ミントしてNFTが入ったらすぐに「普段用」に移して空っぽにしておきます。これであればニセサイトにひっかかってしまっても被害は最小限に抑えられます。
もしコレクション運営しているクリエイターの方であれば「コレクション運営用(つまり自分の作品が入っているウォレット)」と「自分が売買する用」を用意しておくのが安全です。
3.ハードウェアウォレットを使用する
更に安全に暗号資産を保管するのであればハードウェアウォレット、というデバイスを使用することを推奨します。
これはなにかウォレットの操作をする時に「このデバイスのボタンを実際に押さないとできない」という設定が出来ます。
つまり、パソコンのっとり/ウォレットのっとりの被害にあっても、これがあれば、最悪、ウォレットの中の資産は盗まれない、ということになります。
例えば「保管用」ウォレットはこのハードウェアウォレットに繋いでおき、絶対に信頼できるサイト(例えばOpenseaなど)にしか接続しない、と決めておくと「保管用」ウォレットの安全性が更に高まります。
※もちろん自分でニセサイトに接続してしまいそこでこのデバイスのボタンを押して例えば悪意あるトランザクションを「許可」してしまえばアウトです。とにかく、くれぐれも悪意あるトランザクションを「許可」しないようにしてください。
4.非常時に相談できる「仲間」を作る
詐欺被害にあったかもしれない時に更に自体を悪化させることは焦ってしまい、ツイッターなどで助けを求めて更に詐欺師を引き寄せてしまう、ということです。このような二次被害が頻発しています。
例えば「あれ?なんだか昨日あったNFTが消えている気がする」と感じてツイッターで「誰か助けてください、もしかしたらスキャムかも知れません」と書き込み、それに対して詐欺師が「助けてあげますよ」と近づいてきて更に詐欺(例えばシードフレーズを聞き出すことやニセサイトに誘導すること)を働くことがあります。
「スキャム被害にあったかも知れない」と焦っている状況では、いつもよりも冷静な判断ができず、そのような二重の詐欺にひっかかってしまう場合があります。
そうならないように、まずは「スキャムかも」と思った時に個別に相談できる信頼できる「仲間」を作っておくことが大事です。
まとめ
NFTのスキャムに関しては日々日々、新たな手法が出現しています。しかし、「何もしてない、何も知らない内に盗まれた」ということは考えづらいです。その多くは「パソコンを乗っ取る」か「シードフレーズを盗み出す」、そして「ニセのサイトやディスコードを使い、悪意あるトランザクションを【許可】させる」の3点に集約されます。
ぜひこれら3点に十分に注意し、ご自身のNFTを守り楽しいNFT生活を送っていただくことを願っています。
参照元:NFT Media