NFT電子市場「OpenSea」、顧客メールアドレス漏洩

フィッシング詐欺の注意喚起

大手NFTマーケットプレイスのOpenSeaは30日、メール配信代行サービス事業者の過失により、顧客のメールアドレスが流出したことを告知した。

リリースによると、メール配信ベンダーであるCustomer.ioの従業員がデータへのアクセス権を利用してOpenSeaのユーザーやニュースレター購読者のメールアドレスをダウンロードし、不特定の第三者と共有したという。

この影響でメールアドレスが漏洩した可能性があり、フィッシング攻撃の対象となる可能性があるとユーザーに警告している。OpenSeaは、この件に関する調査を開始し、法執行機関にデータ侵害を報告したと述べている。

1) We will ONLY send you emails from the domain ‘https://t.co/3qvMZjxmDB.’ Be aware of attempts to impersonate OpenSea through slight variations of our domain name, like below: pic.twitter.com/2tvgC6g3kD

— OpenSea (@opensea) June 30, 2022

注意点は以下の通り。

• OpenSeaのドメインは「http://opensea.io」であり、ドメイン名を少し変更した「なりすまし」メールに関与しないこと。
• OpenSeaのメールからダウンロードしないこと。本物のメールには、添付ファイルやダウンロードを要求するものは一切ない。
• OpenSeaのメールに記載されたURLを確認する。悪意のあるアクターが文字を入れ替えてURLを偽装することがあるため、「opensea.io」と正しいスペルであることを確認する。
• メールから直接要求されたウォレットトランザクションには絶対に署名しないこと。OpenSeaのメールには、ウォレットトランザクションに署名するよう直接促すリンクは絶対に含まれない。
• パスワードやウォレットのリカバリーフレーズを共有したり、コントラクト上で「Confirm」したりしないこと。

高額なNFTを保有するユーザーをターゲットとするフィッシング詐欺の事例は増えている。4月にNFT（非代替性トークン）コレクション「Bored Ape Yacht Club（BAYC）」の公式ディスコード（discord）サーバーで、エイプリルフールに伴うキャンペーンを装った不正リンクが一時表示された。「Mutant Ape Yacht Club（MAYC）」やDoodleといった他のNFTでも同様の盗難被害が確認されている。

関連：高額NFT「BAYC」のディスコードでフィッシング詐欺発生　ユーザーに注意喚起

OpenSeaとは

OpenSeaはNFT（非代替性トークン）の世界的なオンラインマーケットプレイス。データサイトDune AnalyticsによるとOpenSeaの累積トレーダー数は180万人を超え、月間取引高は22年1月のピーク時に6,500億円（48億ドル）を超えていた（イーサリアム・ブロックチェーン単体の統計）。

22年1月に同社は大手VCであるParadigmとCoatueが主導するシリーズC資金調達ラウンドで、1.5兆円（133億ドル）の評価額で約350億円（3億ドル）を調達した。Y Combinatorによると、OpenSeaには約110人の従業員がいる。

なお、仮想通貨市場の下落の影響を受けてOpenSeaの6月の出来高は900億円（7億ドル）にまで落ち込んている。22年6月には、OpenSeaの元幹部社員がNFTのインサイダー取引で起訴されていた。

関連：NFT電子市場「OpenSea」の元製品責任者、インサイダー取引で起訴