メタマスクで新型2FA詐欺が発生｜SlowMist CSOが巧妙なフィッシング手法に緊急警告

メタマスクユーザーを標的とした新型フィッシング詐欺が発覚

世界中で広く利用されている自己管理型ウォレット「MetaMask（メタマスク）」のユーザーを標的とした、極めて巧妙な新型の二段階認証（2FA）フィッシング詐欺が行われていることが明らかになりました。

ブロックチェーンセキュリティ企業「SlowMist」の最高セキュリティ責任者（CSO）を務める23pds（山哥）氏は2026年1月5日に、自身のSNSを通じてこの新たな脅威について緊急警告を発しており、複数の画像を投稿して今回の詐欺について説明を行っています。

今回の詐欺は、メタマスクの公式なインターフェースを完全に模倣した偽のウェブページを使用し、ユーザーを心理的に追い込んで秘密の復元フレーズを盗み出すという、多段階の巧妙な仕組みを備えています。

MetaMask 出现新型 '2FA 安全验证' 骗局 @MetaMask @tayvano_
注意防范 pic.twitter.com/RJM78If9zb

— 23pds (山哥) (@im23pds) January 5, 2026

MetaMaskに新型の2FAセキュリティ認証詐欺が発生。注意・警戒してください。

23pds氏が公開した情報によると、この攻撃は単なる偽のログイン画面ではなく、ユーザーが「自分の資産を守らなければならない」という強い使命感や不安を抱くように設計されています。

今回発見されたフィッシング詐欺の最大の特徴は、ユーザーを一度に騙そうとするのではなく、複数のステップを経て段階的に信頼を構築し、最終的に最も重要な情報を差し出させる点にあります。

23pds氏が共有したスクリーンショットに基づく、詐欺の具体的なプロセスは以下の通りです。

【フィッシング詐欺の主な流れ】

偽のセキュリティ警告の表示
ユーザーが特定の悪意あるリンクをクリックすると、メタマスクの公式デザインを完全に模倣した「重大なセキュリティ警告」が表示される。そこには「あなたのアカウントは危険にさらされている可能性がある」といった、ユーザーに心理的プレッシャーを与える文言が含まれている。
偽の「2FA認証」設定画面への誘導
次に、アカウントの保護を強化するために「2FA（二要素認証）の設定が必要」であると促される。この画面には、偽のカウントダウンタイマーが設置されており、「制限時間内に認証を完了しなければアカウントが凍結される」という偽の警告で冷静な判断を妨げる。
復元フレーズ（シードフレーズ）の要求
最終段階で、セキュリティ設定を有効化するための「真正性の検証」という名目で、12語または24語の復元フレーズ（リカバリーフレーズ）の入力が求められる。この際、攻撃者は「あなたの情報を暗号化して保護する」といったもっともらしい説明を付け加え、ユーザーを安心させようとする。

ここで強調すべき極めて重要な事実は、メタマスクにはネイティブな2FA（二要素認証）機能は存在しないということです。メタマスクは分散型の非中央集権的なウォレットであり、中央サーバーでユーザーの認証情報を管理する仕組みではありません。

したがって、メタマスクから二要素認証の設定を求められたり、電子メールで認証コードが送られてきたりすることは、その時点で詐欺であると断定できます。また、いかなる場合でも正規のサポートがユーザーに対して復元フレーズの入力を求めることは絶対にありません。

スローミストが発表した2025年度のセキュリティ報告書によると、仮想通貨市場におけるハッキングやフィッシングによる被害総額は依然として深刻な状況にあります。

2025年度のブロックチェーン関連セキュリティインシデントによる被害総額は約29億3500万ドル（約4,590億円）に達しているとも報告されていますが、この膨大な被害額の多くは、今回のようなソーシャルエンジニアリングや巧妙なフィッシングサイトによるものです。

特にWeb3（分散型ウェブ）の世界では、中央管理者が存在しないため、一度盗まれた資産を回収することは技術的に極めて困難です。そのため、ユーザーは自身の資産を自分自身で守るという「自己責任」の原則を再認識する必要があります。

自分の暗号資産を守るために実践すべき防衛策としては以下のようなものがあげられます。

シードフレーズの絶対秘匿：
復元フレーズ（シードフレーズ）は、誰にも教えてはいけません。いかなるウェブサイト、ポップアップ、電子メール、SNSメッセージであっても、入力を求められた瞬間にブラウザを閉じてください。
公式リンクのブックマーク利用：
検索エンジンの広告枠やSNSのリンクからサイトにアクセスせず、メタマスクの公式サイトや取引所のURLを事前にブックマークし、そこからのみアクセスするようにしてください。
不審な警告に慌てない：
「今すぐ対応しないと資産がなくなる」といったカウントダウンや急かす文言は、詐欺師の常套手段です。一度デバイスをオフラインにするなどして冷静になり、公式の情報を確認する癖をつけましょう。
ハードウェアウォレットの活用：
多額の資産を保有している場合は、インターネットから切り離して管理できるハードウェアウォレットを導入し、メタマスクと連携して使用すると安全性を高めることができます。

ここ最近ではブロックチェーン技術の普及とともにユーザーの知識も向上していますが、それに対抗するように詐欺の手口も高度化しており、初心者だけでなく経験豊富なユーザーであっても、一瞬の油断で全資産を失うリスクが高まっているため注意が必要です。

仮想通貨市場では、ビットコイン（BTC）やイーサリアム（ETH）といった主要銘柄への注目が集まる一方で、ユーザーの資産を狙う攻撃は24時間365日止まることがありません。

今回の23pds氏による警告は、メタマスクという最も一般的なツールに潜む危険性を改めて浮き彫りにしました。我々ユーザーは、新しいテクノロジーの利便性を享受すると同時に、常に最新の詐欺手口について学び、セキュリティ意識のアップデートを怠らないようにすべきです。

※価格は執筆時点でのレート換算（1ドル=156.36円）

詐欺関連の注目記事