PR

【初心者】NFT詐欺・ハッキングから身を守る方法

はじめてのweb3
2023.01.10
スポンサーリンク

Twitterをみてると、詐欺被害に遭って、もっていたNFTをとられた!っていう投稿を目にするよ。どういう形で詐欺にあうのかよくわからないけど、対策がしたい!

そんな方に、NFT詐欺・ハッキングの手口、わたしたちにできるセキュリティ対策についてご紹介します。

2022年半ばより、国内のNFTプロジェクトが盛り上がりを見せています。これはとても喜ばしいことなのですが、同時に増えているのがNFT詐欺による被害。

▼被害にあわれた方の例(Twitterより)

インターネット上のやりとりである以上、「気をつけないといけない」というのは誰もが思うことです。でも実際に、どのような手口で盗みに来るのか、どのような対策をすべきなのかを知らないと、被害に遭って大事な資産を失うまで危機意識が薄いまま過ごしてしまいがちです。

他人事だと見ないフリをせず、いますぐしっかり対策しましょう!

どんぐり嫁
どんぐり嫁

この記事を読んだら、いや、読みながらすぐやろう!

MetaMask(メタマスク)3つのセキュリティキー
メタマスクには、シークレットリカバリーフレーズ、秘密鍵、パスワードという3つのセキュリティキーが存在します。重要度に多少の差はありますが、自分の財産を守るための大事な鍵ですのでしっかり管理することが大前提です。ただ、確認したいと思ったときに方法がわからないと不安の方ように違いと確認方法についてご紹介します。
yome-mo-web3.com
2023.01.27

NFT詐欺・ハッキングの手法

NFT詐欺・ハッキングの手法をみていきましょう。

▼メジャーな手口3選

  1. Twitterで偽サイトのリンクを踏ませる
  2. Discord(ディスコード)でリンクを踏ませる(DM/偽ミントサイト)
  3. OpenSea(オープンシー)にNFTを送り付ける

1. Twitterで偽サイトのリンクを踏ませる

Twitterでの詐欺は、①メンションしてリンクを踏ませる手口や、②DM(ダイレクトメッセージ)でリンクを送り付けてくる手口があります。

いずれも、リンクを踏むことで、ハッキングされてNFTを抜き取られる危険性があります。

どんぐり嫁
どんぐり嫁

あ、メンションされた~と思ったらこういう感じのタグ付けでした。

上図のように、突然フォロー外の外国の方にメンションされたら不自然なので詐欺には気づきやすいです。無視すれば問題ありません。

ただ、より巧妙に親しみやすそうな日本のプロジェクトをうたったものや、注目されているNFTプロジェクトの偽アカウントに誘導するものもあるので、言語は関係ありません。

どんぐり嫁
どんぐり嫁

疑わしいDMは全部、無視!

2.Discord(ディスコード)でリンクを踏ませる

Discord(ディスコード)での詐欺は、①DMでリンクを送り付けてくる手口や、②偽のミントサイトに誘導する手口があります。

いずれも、リンクを踏むことで、ハッキングされてNFTを抜き取られる危険性があります。

ディスコードでは、不特定多数の人とつながり同じプロジェクトを応援する同志と交流して、コミュニティ活動を楽しむことができるのがとてもいい点です。

しかし、詐欺の温床にもなりうる場所であり、存在しないキャンペーンの案内や、企画に当選したという口実でウォレットをきいてくるようなダイレクトメッセージが届くことがあります。

あなただけに案内してますなんていうお得情報をいわれたら、一瞬迷っちゃいそう!

どんぐり嫁
どんぐり嫁

それが詐欺師のワナだからね!油断大敵!

また、NFTがリリースされる日(ミント日)に全員がアクセスする「ミントサイト」も詐欺師の恰好の的。なんと、本物そっくりの偽ミントサイトに誘導して、ウォレットを接続させて、NFTをごっそり抜き取るなんていう手法もあるので要注意です。

Discord(ディスコード)のつかいかた【初心者】
Discordに参加し、ここではコミュニティの雰囲気がわかるといわれても、何をどういじったらいいのかわからない。そんな方に、Discordに入ったらまず何をしたらいいのかについて初歩的な動きをご紹介します。慣れているひとにはなんてことないことでも、知らないフィールドに入っていくのは緊張しますよね!
yome-mo-web3.com
2023.01.12

3.OpenSea(オープンシー)にNFTを送り付ける

OpenSeaでの詐欺は、なんと勝手にNFTが送られてくるというもの。

え、NFTを送り付けられたらもうその他のNFTもとられちゃうってこと!?

どんぐり嫁
どんぐり嫁

送り付けられただけじゃ何も取られないから安心して!

この場合の詐欺は、送り付けられたNFTに詐欺側から買い取りのオファーが入り、オファーを受けてしまうとウォレット内のNFTをすべて取られてしまうというものです。

わたしもNFTをはじめたての頃に、まだNFTを買ってもいないのにウォレットに1つ入っていてびっくりしました。オファーを受けなければ、一定期間が経過すると自然消滅するのですが、しばらくは目の上のたんこぶみたいな感じで残っています!

どんぐり嫁
どんぐり嫁

オファーうんぬんよりも、そのNFTはさわならい。「触らぬが仏」(笑)

NFT詐欺・ハッキング対策

いますぐできる、NFT詐欺・ハッキング対策をご紹介します。

どんぐり嫁
どんぐり嫁

ふ~ん!で済まさず、できるものは今すぐやろう!

  1. Twitterの通知設定を変更する
  2. Discordのセキュリティ設定を変更する
  3. 必ず公式サイトからのリンクにアクセスする
  4. 署名内容をよく確認する
  5. メタマスク(ウォレット)管理を徹底する
  6. ハードウォレットを使用する

1.Twitterの通知設定を変更する

Twitterの通知設定で、フィルターをかけることで、詐欺関連のダイレクトメッセージを届きにくくすることができます。

▼手順はこちらのツイートを参考にしてみてください。(1分で完了!)

2.Discordのセキュリティ設定を強化する

Discordでも、セキュリティを強化する設定をしましょう。

Discordを最初に始めるときに設定しておくのが好ましいですが、いまいちど設定の確認をしておきましょう。

プライバシー設定を「安全第一」に変更

二段階認証を設定する

さらに詳しい説明はこちらの記事を参考にしてみてください!

【初心者】Discord(ディスコード)のはじめかた
NFTを買う上で、Discordへの参加は必須です。1度登録してしまえば、あとは各コレクションの招待を受けて入室していくだけなのでとっても簡単です。必ずセキュリティ設定までを済ませてからディスコ活動を開始するようにしてくださいね!
yome-mo-web3.com
2023.03.23

3.必ず公式サイトからのリンクにアクセスする

OpenSeaのNFTコレクションや、Discordへの参加リンクなどは、必ず公式サイトからアクセスしましょう。Google検索や、OpenSea内の検索では偽物サイトにとんでしまう可能性が否定できません。

ほとんどのプロジェクトがTwitterアカウントで情報発信をしているので、Twitterアカウントのプロフィールの公式リンクにアクセスしましょう。

どんぐり嫁
どんぐり嫁

公式マークだけにとらわれず、フォロワー数や発信内容から「公式」を判断しよう!

また、ミントサイトは、必ず公式Discordからアクセスしましょう。注目度の高いプロジェクトのミント日前は、偽サイトへの誘導のリスクが高まります。

Discord内でも注意喚起や、ミントサイトがミント当日にDiscord内でどのように表示されるかについて事前説明があることが多いので、見逃さないようにしましょう。

プロジェクト運営側の方々も、詐欺被害を減らすために注意喚起を日頃から定期的に行い、様々な対策をしてくださっていますが、人任せにせず自衛しましょう。

最近ではDiscordやTwitterのアカウントが乗っ取られるケースも発生してます。いつも交流している人でも、実は乗っとられている、なんてケースもあります。怪しいなと思ったら、複数の情報源を頼りに確認するようにしましょう!!

4.署名内容をよく確認する

NFTプロジェクトのミント日前になると、偽のミントサイトが増えてくる傾向があります。そんなとき、要注意なのが偽サイトにおいて、誤ってウォレットへのすべてのアクセスを許可する署名をしてしまうこと

偽のミントサイトにアクセスしただけでは、被害には遭わないで済むかもしれませんが、ミントだと信じてウォレット接続をし、内容を確認せず「署名」をしてしまうことで、保管していたNFTをごっそりともっていかれてしまう最悪の事態になってしまいます。

「Set approval for all」/すべての権限を許可するという内容に署名をしてしまうことで、NFTの盗難被害に遭われる方が非常に多いので、このフレーズには要注意です。

「署名」はNFTをやる上では必然な作業なので、署名をすることを回避することは不可能です。大事なのは、何に署名しているのかをしっかり理解して作業を進めていくことです。

▼大事なことなのでもう一度。

「Set approval for all」このフレーズが出てきたら要注意です。ウォレットのすべての権限をあけわたすことを承認してしまう内容です。ミントに慣れてきたとしても、何も考えずに承認・署名をしないようにご注意ください。

5. メタマスク(ウォレット)管理を徹底する

メタマスクには、パスワード・秘密鍵・シークレットリカバリーフレーズという3つのセキュリティがあります。必ず、メモとペンで控えて保管しておきましょう。

どんぐり嫁
どんぐり嫁

スマホのメモ、スクショはNG!

MetaMask(メタマスク)3つのセキュリティキー
メタマスクには、シークレットリカバリーフレーズ、秘密鍵、パスワードという3つのセキュリティキーが存在します。重要度に多少の差はありますが、自分の財産を守るための大事な鍵ですのでしっかり管理することが大前提です。ただ、確認したいと思ったときに方法がわからないと不安の方ように違いと確認方法についてご紹介します。
yome-mo-web3.com
2023.01.27

6.ハードウォレットを使用する

ハードウォレットの使用を検討しましょう。

メタマスクがインターネット上のお財布【ホットウォレット】であるのに対し、ハードウォレットはオフラインのお財布【コールドウォレット】と分類されます。

>>ウォレットについての記事はこちら。

▲USBのような見た目のデバイス。レッジャー社のNano-S-Plusという商品です。

メタマスクは、ログイン/ログアウトしても常にインターネット上に秘密鍵があるのに対し、ハードウェアウォレットは、秘密鍵を暗号化してオフラインの手元のデバイスに保管できるというもの。

USBのような見た目ではありますが、USBのようにデータを端末に保管しているわけではありません。NFTや暗号資産の「秘密鍵」が暗号化して保管されています。

最後に

NFT詐欺・ハッキングの手法、そしてそれに対してできる対策についてご紹介しました。

NFTに限らず、インターネット上で詐欺に遭う可能性はいくらでも存在します。あまりに便利な世の中になって、インターネットを触ることが1日の大部分を占めるようになったことで、意識が薄れている方もいるかもしれませんが、詐欺手口は巧妙化していくばかりです。

どんぐり嫁
どんぐり嫁

ネットショッピングも、ネットバンキングも、QRコード決済も全部スマホでインターネット接続して使用してるけど、あまりセキュリティ考えたことないかも…?!

>>>インターネット上の詐欺に関する消費者庁のホームページはこちら

でも、NFT界隈が特に危険というわけではなく、インターネットに触れる以上常に危険はあるという意識でいた方が自衛ができていいですね。今回ご紹介したセキュリティ対策もしっかり行った上で、NFTを楽しめるのが1番です!

コインチェック

コメント