【解説】MetaMaskの迷惑メール＆詐欺対策｜文面や事例も紹介！ | 億りBit

記事内に広告を含みます

記事内で紹介する商品を購入することで、当サイトに売り上げの一部が還元されることがあります。

最近、MetaMask（メタマスク）公式を騙った迷惑メールが急増しています。迷惑メールのほとんどは詐欺師が送信しているもので、メール内のURLなどにウォレットを接続/承認してしまった場合、ウォレットにある資産をすべて盗まれてしまうケースも……。

本記事では、万が一メタマスクを騙った迷惑メールがきたときの対処方法と事例についてお伝えしていきます。

暗号資産の世界では、自分の資産を守れるのは自分しかいません。ぜひ、最後までご覧ください。

参考

NFT取引の詐欺(スキャム)を避けるための知識と対策【手口まとめ】

億りBit | Web3×投資メディア

MetaMaskとは｜暗号資産を管理できるウォレット！
MetaMask｜迷惑メールの事例紹介
- 迷惑メールの手口
MetaMask｜迷惑メール対策方法
MetaMask｜迷惑メールをクリックした時の対処方法
- Revoke（リボーク）とは
- Revoke（リボーク）のやり方
MetaMaskの迷惑メール対策

MetaMaskとは｜暗号資産を管理できるウォレット！

MetaMaskとは…
イーサリアムとイーサリアムをベースに発行された暗号資産の管理ができるソフトウェアウォレットのこと。

MetaMaskは、暗号資産の管理ができるソフトウェアウォレットです。暗号資産のウォレットとは、暗号資産専用のウォレットを指します。

ウォレットからは、暗号資産を管理したり、送付したりすることが可能。スマホアプリ、もしくはウェブブラウザの拡張機能で利用できます。

中でも人気の「MetaMask」は、イーサリアムとイーサリアムをベースに発行された暗号資産を管理できるウォレットです。誰でも無料で利用できるところやアカウント複数個をまとめて管理できるところが特徴となっています。

MetaMask｜迷惑メールの事例紹介

最近、人気の仮想通貨ウォレット「MetaMask」を騙った迷惑メールが増えています。

最近偽Metamaskとか偽セールとかのメールが来るので恐ろしい……初手で迷惑メールに振り分けられないようにちゃんと送信ドメイン認証に対応してたりする pic.twitter.com/w82Pr6rc6q
— ビビドット (@vividot) January 30, 2022

《#注意喚起》#MetaMask を名乗る、「MetaMask(メタマスク) クイック本人確認」という #迷惑メールが着信。メールの差出人のドメインとリンク先のドメインが微妙に異なるため、#フィッシング詐欺の可能性が極めて高い。#メタマスク #ウォレット #KYC認証 #スマートコントラクト #フィッシングメール pic.twitter.com/3FTm3zBmm0
— EzekSpam (@ezek_spam) September 18, 2022

こんな詐欺メールもあるんですね
危なくリカバリーフレーズを入力してしまうところでした
ウェブサイトに行ってしまった時点でアウトかもしれないけど…
皆さんも気をつけましょう#迷惑メール #鬱が仮想通貨を始めたら #MetaMask pic.twitter.com/EJTPrpiJCC
— RIZ RUNA (@riz_runa) February 2, 2023

被害報告を読む限り、以下のような文面で「クイック本人確認」をうながすものが多いようです。

最近の各国の法律や政策の変化により、すべてのユーザーは（完全な）KYC認証を受けなければなりません。本システムは、少なくとも1つのウォレットが認証プロセスが正しく完了されていないことを示しております。

下に表示されているボタンを押して、弊社のウェブサイトで簡単に認証を完了することができます。接続していただくと、ウォレットとスマートコントラクトの認証が自動的に行われます。

「クイック本人確認」

もしお客様は今後、弊社のサービスを利用されなければ、この電子メールの通知を無視しても構いません。適時な行動が行われない場合、20〇〇年〇月にMetaMaskスマートコントラクトは自動的に削除されます。

そもそも、MetaMaskに特定の管理者はいないため、KYC認証（本人確認）は必要ありません。KYC認証とは、暗号資産取引所（CEX）などで使われる本人確認です。

取引所なら、口座がひとりひとつと決まっているなどの理由から本人確認が必要なのも頷けます。しかし、MetaMaskは完全に匿名で利用できることが特徴のウォレットです。ウォレットを作るのにメールアドレスさえも不要のため、MetaMaskを騙るメールが届いたら、無視することをおすすめします。

迷惑メールの手口

では、MetaMaskを騙る迷惑メールが増加している理由は一体何なのでしょうか？

実は以下のように、メールを経由してMetaMask内の資産を盗み取ることが目的と考えられています。

フィッシング詐欺
リンクから偽のURLにMetaMaskを接続させ、暗号資産を盗む
メールでやり取りをし、シードフレーズを盗む

シードフレーズとは…
ウォレットが生成する文字列。
知っていると管理されている暗号資産の送付・保管・運用などのすべてができる。

シードフレーズとは、ウォレットが生成する文字列です。MetaMask公式も把握していないランダムな英単語で構成されており、ウォレットを作成した人しか知りません。

シードフレーズを知っていれば、管理されている暗号資産の送付・保管・運用などのすべてができるようになります。ATMで言う暗証番号のようなものと言えるでしょう。

そのため、ハッカーは常にMetaMaskのシードフレーズを狙っていると言っても過言ではないでしょう。しっかりと管理して、どこにも漏らすことのないように注意してください。

MetaMask｜迷惑メール対策方法

では、MetaMaskの迷惑メールが届いてしまった場合、どのような対処をすべきなのでしょうか。

ここからは、MetaMaskの迷惑メールの対策・対処方法を紹介します。

MetaMaskからは基本的にメールは来ない

通常、MetaMaskからメールが届くことはありません。そもそも、メタマスクアカウントを作るときにメールアドレスを入力しないため、MetaMask側もユーザーのメールアドレスを知らないのです。

このことから、問い合わせした場合を除き、MetaMask公式からメールが届くことはないと言えるでしょう。

なお、MetaMaskへの問い合わせは、メールではなく公式サイトのチャットからも受け付けているようです。

MetaMask公式へのお問い合わせ
https://support.metamask.io/hc/ja

メールのURLをクリックしない

MetaMaskの迷惑メールが届いても、無視しましょう。本来なら迷惑メールに反応するセキュリティの導入が望ましいかもしれませんが、メールのURLをクリックしなければ、基本的に害はないと見ていいでしょう。

そのため、MetaMaskの迷惑メールが届いたら、以下のことを徹底してください。

MetaMaskからのメールは開かない
メール内にあるURLには絶対にクリックしない
できれば迷惑メールを弾くセキュリティを導入する
迷惑メールBOXに入っていなくても警戒する

もしメール内のURLをクリックしてしまった場合、速やかにリボークしましょう。

MetaMaskの詐欺事例を知ろう

MetaMaskの詐欺事例を知っておくことが、詐欺被害を防ぐことにつながります。

ここからは、MetaMaskの詐欺事例について見ていきましょう。

Approve（承認）してしまう

うおおおお$2000ぐらいやらかした。
典型的な承認で権限渡して盗まれるやつ。

過去のエアドロ記事を調べる
→Google検索上位のまともっぽい記事
　→リンク踏んだらスキャムサイト
　　→挙動がおかしいなと思いつつウォレット接続
　　　→承認したつもりはないものの承認してた… pic.twitter.com/2DDUMhrhGM
— 毎日瀕死マン (@viwashi_) November 27, 2023

一年前にまだ心がピュアだった頃に、、、
草コインをステーキングするウェブサイトを間違えて、と言うか詐欺サイトに繋げてしまってさらにメタマスクにある通貨利用権限を承認してしまって、全部持ってかれました。笑
15万円分くらいだったので、まぁかなり高い勉強代ですね…笑
— てとら🟧 (@tetora_bitmap) November 15, 2023

ほとんどのDApps（分散型アプリ）は、利用する際にMetaMaskを接続します。

接続した時点では、相手はユーザーの資産の内容を見られるに留まります。しかし、その次に行う「承認（Approve）」には注意が必要です。承認すると、そのDAppsがウォレットにある資産を自由に移動させられるようになってしまうのです。

そのため、ハッカーは承認させることを目的として、あの手この手を使ってきます。偽サイトもそのひとつです。

承認する前に、本当に怪しくないサイトかどうか、アクセス権限を無制限で承認していないかなどを確認することが大切です。自分だけでは不安な場合、Pocket UniverseやKEKKAIなど、自動でチェックしてくれるプログラムを導入しましょう。

シードフレーズを共有してしまう

MOVEZの偽物に騙されるな⚠
テレグラムでMOVEZもどきの偽アカウントから連絡がきても絶対に無視してください。

貼ってあるサイトにメタマスクを接続したり、シードフレーズを共有するとウォレットの中身が全てハッキングされます。

画像の67,000名いるアカウント以外は非表示にしたほうがいいかも。 pic.twitter.com/MiCWQmpxDs
— WataGashi【DeFiで億り人達成】 (@Wata7_Official) June 10, 2022

ちょっと頂き物のNFTがあり、それを確認するためにopenseaにウォレット繋ごうと思ったら、そこが偽サイトでした。いつもは必ずチェックするURLをなぜ確認しなかったのか…。そして、ウォレット接続にシーフレーズ入力を求められる訳がないのに、なにも違和感なく入力していました。
— 種蒔き🌻(💙, 🔄) (@7805SW) September 8, 2021

ウォレットがハッキングにあいました

再発を防止する意味でも情報共有させて頂きたいと思います

会社のPC🖥でもNFT購入ができるように、ウォレットを復元しようとしたのが発端

Google検索でおそらく上にある偽URLにアクセス、シーフレーズ入力

Google…
— 一夜／ichiya.eth@書道ARTIST (@ichiyaduke23) May 4, 2023

知らない人や、メタマスクの公式を騙った人にシードフレーズを教えてしまう詐欺も後を絶ちません。

シードフレーズは、先述したように、ウォレットの暗号資産と秘密鍵にアクセスするためのランダムな文字列のことです。

ATMで言う暗証番号のようなものと言えるでしょう。シードフレーズを知っている人は、ウォレット内の暗号資産を自由に移動できるため、誰にも教えてはならないものです。

しかし、中にはさまざまな方法でシードフレーズを聞き出そうとしてくる人がいます。もしもシードフレーズを教えてしまった場合、もうできることは資産の移動のみ。それ以外にできることはありません。シードフレーズは、いわばウォレットを守るための最後の砦なのです。

メタマスク公式も、「公式からシードフレーズを聞くことはありません」と注意喚起しています。決して誰にも教えないように徹底しましょう。

新たな詐欺「アドレスポイズニング」

こちらの仮想通貨を騙し取る手法は、「ゼロトランスファー攻撃」あるいは「アドレスポイズニング攻撃」と呼ばれる手法です。

MetaMaskのトランザクション履歴はアドレスの冒頭と最後の4文字のみが表示されるため、この4文字ずつが一致する偽アドレスを作り、少額送金してユーザーの履歴に挿入し、
1/2 https://t.co/mfEnTwk8Je pic.twitter.com/6LMSHZfOaG
— SOU⚡️仮想通貨 / ビットコイン (@SOU_BTC) May 15, 2023

後学のために、何がおきたのかメモっておきます。

基本的に「そういう詐欺がある」って意識してれば、大丈夫なはずです。

僕自身は普段ほとんどウォレット使ってない+油断していたこともあり、引っかかってしまいましたが、、、

皆さんも気をつけてください。

1. なにがおきた？…
— くれば / 3,000万円破産 (@clevloger) August 3, 2023

2023年に新しく確認された詐欺が、「アドレスポイズニング」です。

手口は、過去に取引したことのあるアドレスと類似したアドレスを取引履歴に残し、資産を盗むというもの。ウォレットアドレスを記入する際はコピーアンドペーストをするという、暗号資産の原則を利用した詐欺です。

送金先のウォレットアドレスによく似た偽のウォレットアドレスをターゲットの取引履歴に仕込み、偽のアドレスまで暗号資産が送られてくるのを待つという手法となっています。

そのため、できればウォレットアドレスは取引履歴からコピーアンドペーストするのではなく、本人からチャットなどで聞くことをおすすめします。