メタマスクの詐欺・ハッキング対策｜アドレスポイズニング等の手口と対処法

メタマスク（MetaMask）を使っていて、身に覚えのないトークンがウォレットに入っていたり、怪しいDMが届いた経験はありませんか？

特に最近は「アドレスポイズニング」と呼ばれる、取引履歴を悪用した巧妙な詐欺が増加しています。

本記事では、アドレスポイズニングをはじめとする代表的な詐欺の手口と、被害を防ぐための具体的な対策を解説します。

目次

1. よくある詐欺の手口
   1-1. アドレスポイズニング
   1-2. カスタマーサポートを装った詐欺
   1-3. PCごとハッキングされるケース
   1-4. 偽サイト（フィッシング）への接続
2. 被害を防ぐ基本操作
   2-1. 接続を切断する方法
   2-2. 承認を取り消す（Revoke）方法
   2-3. サブウォレットの作り方
3. よくある質問
4. もっと詳しく：dAppsの権限とリスク
   4-1. 接続・承認・署名の違い
   4-2. 承認（Approve）のリスクと対策
   4-3. 署名（Sign）のリスクと対策
   4-4. コントラクト対話時のチェックリスト
   4-5. 署名のパラメータ調整方法

あわせて読みたい： MetaMask（メタマスク）の使い方｜送金・スワップからトラブル対処まで図解

よくある詐欺の手口

メタマスクユーザーが狙われやすい代表的な詐欺の手口を紹介します。

1. アドレスポイズニング
2. カスタマーサポートを装った詐欺
3. PCごとハッキングされるケース
4. 偽サイト（フィッシング）への接続

1. アドレスポイズニング

過去の取引履歴に似たアドレスを紛れ込ませ、コピペミスを誘う手口です。非常に巧妙で、気づかないまま被害に遭うケースが増えています。

手口の仕組み

攻撃者は、ユーザーのウォレットアドレスと最初と最後の数文字が同じ偽アドレスを生成します。そして、その偽アドレスからユーザーのウォレットへごくわずかな量のトークンを送りつけます。

すると、ユーザーの取引履歴に偽アドレスが紛れ込みます。後日、取引履歴からアドレスをコピペして送金しようとした際に、本物と偽物を間違えて選んでしまい、攻撃者に資産を送ってしまうという仕組みです。

ウォレットアドレスは長い英数字の羅列のため、多くの人は最初と最後の数文字だけで判断しがちです。攻撃者はこの習慣を悪用しています。

対策

• 取引履歴からアドレスをコピペしない：必ず送金先の公式サイトやアドレス帳から取得する
• アドレスの全文字を確認する：最初・最後だけでなく、中間部分も必ずチェック
• アドレス帳機能を活用する：よく使うアドレスは事前に登録しておく
• 大きな金額を送る前にテスト送金：少額で届くか確認してから本送金する

2. カスタマーサポートを装った詐欺

X（旧Twitter）やDiscordで「MetaMask」「ウォレット」「トラブル」といった言葉を投稿すると、「公式サポート」を名乗るアカウントから上記画像のようなメッセージやDMが届くことがあります。

これらはすべて詐欺アカウントです。返信したり、コンタクトを取ろうとすると、以下のような手口で資産を狙われます。

よくある手口

• シードフレーズの要求：「ウォレットを復旧するために必要」などと言って、シークレットリカバリーフレーズ（12個の英単語）を聞き出そうとする
• 偽ソフトのダウンロード：「このツールで問題を解決できます」とリンクを送り、マルウェアをインストールさせる
• 偽サイトへの誘導：本物そっくりの偽サイトに接続させ、ウォレットから資金を盗む

覚えておくべき3つのルール

1. 怪しいDMには返信しない：どんなに親切そうでも、SNSで突然届くサポートメッセージは詐欺と考える
2. シードフレーズは誰にも教えない：本物のサポートがシードフレーズを聞くことは絶対にない
3. 公式が個別にDMを送ることはない：メタマスクがユーザーに直接DMすることはない

公式サポートへの問い合わせ方法

困った時は、メタマスク公式ヘルプセンターから問い合わせましょう。

手順1：メタマスクを開き、左上のメニューアイコン（三本線）をタップし、「サポート」を選択します。

手順2：メタマスク公式サポートページが開きます。よくある質問を確認したり、直接サポートチームに問い合わせることができます。

3. PCごとハッキングされるケース

マルウェアやウイルスによってPC自体が乗っ取られ、ウォレット情報が抜き取られる被害が多発しています。

最近では手口が非常に巧妙化しており、Zoomなどのミーティングツールを装ったリンクや、Telegram・Discord経由の偽の招待から、気づかないうちにマルウェアが実行されるケースも確認されています。

一度PCがハッキングされると、ウォレットだけでなくパスワードや個人情報など、あらゆるデータが流出するリスクがあります。

よくある手口

• 偽のミーティング招待：ZoomやGoogle Meetを装った偽リンクからマルウェアをインストールさせる
• 偽のベータテスト招待：新作ゲームのベータテストに招待するDMが届き、送られてきたファイルをインストールするとハッキングされる

対策

• 知らない相手からのファイルやリンクを不用意に開かない
• URLをしっかり確認する
• ウイルス対策ソフトを導入し、常に最新に保つ
• 大きな資産はハードウェアウォレットで管理する

関連：ハードウェアウォレットとは？

4. 偽サイト（フィッシング）への接続

本物そっくりの偽サイトに接続させ、ウォレット情報を盗む手口です。多くの被害報告がある手口の一つです。

特にエアドロップ活動をしている方は注意が必要です。「エアドロップを受け取れます」というDMや投稿から偽サイトにアクセスし、ウォレットを接続した際に資産を抜き取られます。

さらに注意が必要なのは、公式アカウント自体がハッキングされるケースです。公式X（Twitter）やDiscordが乗っ取られ、そこから偽サイトのリンクが投稿されることがあります。

よくある手口

• 偽のエアドロップ告知：SNSで「エアドロップ開始」と拡散し、偽のクレームサイトへ誘導する
• 公式アカウントの乗っ取り：ハッキングされた公式から偽リンクが投稿されるケースもある
• 検索広告の悪用：Google検索上位に偽サイトの広告を出し、公式と誤認させる
• DNSハッキング：正規のURLにアクセスしても偽サイトに誘導される高度な手口

対策

• URLを必ず確認する：スペルミスや余計な文字がないかチェック
• 検索結果の広告リンクは避ける
• 緊急性を煽る投稿は疑う：「今すぐクレーム」「期限間近」などは要注意
• 普段使うサイトはブックマークからアクセスする

被害を防ぐ基本操作

詐欺の手口を知った上で、具体的にどのような操作で被害を防げるのかを解説します。

1. 接続を切断する方法
2. 承認を取り消す（Revoke）方法
3. サブウォレットの作り方

1. 接続を切断する方法

メタマスクには、これまでに接続したサイトを一覧表示し、切断する機能があります。怪しいサイトに接続してしまった場合は、すぐに切断しましょう。

切断の手順

手順1：メタマスクを開き、右上の「︙」メニューから「接続済みのサイト」を選択します。

手順2：接続済みサイトの一覧が表示されます。

手順3：切断したいサイトを選択し、「切断」をクリックします。

注意：接続を切断しても、そのサイトで行ったトークンの承認（Approve）は取り消されません。承認を取り消すには、次のRevokeの手順が必要です。

2. 承認を取り消す（Revoke）方法

dApps（分散型アプリ）を利用する際、トークンへのアクセス権限を「承認（Approve）」することがあります。悪意のあるサイトに承認を与えてしまった場合、この承認を取り消す（Revoke）必要があります。

Revokeの手順

Etherscan、BscScan、Polygonscanなどのブロックエクスプローラーにある「承認チェッカー」で、承認を取り消すことができます。

また、以下のようなRevoke専用サービスも利用できます。

• Revoke.cash（複数ネットワーク対応）
• Unrekt（複数ネットワーク対応）

Revokeはオンチェーントランザクションのため、実行時にガス代がかかります。

3. サブウォレットの作り方

メインの資産を守るために、用途別にウォレットを分けることをおすすめします。新しいdAppsを試す際は、少額だけ入れたサブウォレットを使うことで、万が一の被害を最小限に抑えられます。

サブウォレット作成の手順

手順1：メタマスクを開き、右上のアカウントアイコンをクリックします。

手順2：「アカウントを追加」または「Create Account」を選択します。

手順3：アカウント名を入力し、作成します。

使い分けの例

• メインウォレット：大きな資産の保管用
• サブウォレット1：DeFi運用用
• サブウォレット2：NFT・エアドロップ用（新規サイト接続用）

よくある質問

Q. ハッキングされた可能性がある場合は？

シードフレーズが漏洩した疑いがある場合は、そのウォレットの使用を直ちに中止してください。残っている資産があれば、すぐに新しいウォレットへ移動させましょう。漏洩したウォレットは二度と使用しないでください。

Q. 無制限アクセスを承認しても大丈夫？

UniswapやAaveなど信頼できる大手dAppsであれば、通常は問題ありません。ただし、実績の少ないdAppsを利用する際は、メタマスクの「Edit Permission」から承認額を制限することをおすすめします。

まとめ

メタマスクを安全に使うためには、詐欺の手口を知り、基本的な対策を習慣化することが重要です。不審なDMには返信せず、接続やApproveは定期的に見直しましょう。

関連記事：

• メタマスクの使い方｜送金・スワップからトラブル対処まで図解
• ハードウェアウォレットとは？

もっと詳しく：dAppsの権限とリスク

より安全にメタマスクを使うために、dAppsとの接続や承認の仕組みを理解しておきましょう。

接続・承認・署名の違い

dApps（分散型アプリ）を利用する際、メタマスクは3種類の「権限」を要求することがあります。

接続（Connect）

dAppを使う最初のステップです。接続を許可すると、dAppはウォレットアドレス（保有資産の内容）を見ることができます。ただし、この段階ではトークンを移動することはできません。

承認（Approve）

dAppがトークンにアクセスして移動できるようにする許可です。UniswapなどのDEXでスワップする際に必要になります。一度承認すると、Revokeするまで有効なため注意が必要です。

署名（Sign）

USDCなど一部のトークンで使われる方式です。承認と送信を1つのトランザクションにまとめるため、ガス代が節約できます。ただし、悪意のあるサイトに署名すると資産を盗まれるリスクは承認と同様です。

承認（Approve）のリスクと対策

悪意のあるdAppsにトークンの無制限アクセスを許可してしまうと、資産を自由に移動されてしまいます。

これを防ぐには、承認画面の「Edit Permission」から上限を調節します。実績の少ないdAppsを利用する際は「Custom Spend Limit」で必要最小限のアクセス権に制限しましょう。

署名（Sign）のリスクと対策

署名もまた、悪意のあるdAppに許可を与えると資産流出のリスクがあります。

2022年8月には、悪意のあるコントラクトに署名したことで、あるDeFiトレーダーのウォレットから約7,000万円（50万ドル）相当のUSDCが流出する事例が報告されました。

署名リクエスト画面で警告が表示されることもありますが、万全ではありません。新しいdAppには必要以上にアクセスを許可しないようにしましょう。

コントラクト対話時のチェックリスト

dAppsにトークンへのアクセス権限を許可する前に、以下の項目でリスクを評価しましょう。

• そのプロジェクトの評判は？
• いつから稼働しているか？
• Discord、Telegram、Xに正当なコミュニティチャネルがあるか？
• 開発者/オーナーに透明性があり、公に連絡が取れる状態か？
• 第三者によるスマートコントラクト監査を受けているか？
• ブロックエクスプローラーでコントラクトアドレスを確認する

署名のパラメータ調整方法（1inchの例）

DEXアグリゲーター「1inch」では、署名のパラメータを調整できます。

1inchスマートコントラクトに初めて許可を与える場合、「permit and swap」オプションが表示されます。署名後、アクセス許可は30分間有効になります。

スワップ画面の「設定アイコン」→「Sign Permit」から、許可のパラメータを調整できます。「Ask each time」を選択すると、スワップの度にアクセス数量を設定でき、不必要な許可を避けられます。

コメントしてBTCを貰おう 新着ニュースをチェック