Avenged Sevenfold SNSアカウント乗っ取り事件とその内幕
※この件はAlternate-reality gameという公式発表がそっとありました。
この記事について
日本時間23年2月27日未明に起こった、Avenged SevenfoldのSNS乗っ取り事件についていちファンが解説してみたいと思います。
時間が経つにつれ、これが彼らのいつもの”いたずら”のようだということが見えてきたのですが、今回はいつもと違い、ここ2年ぐらいの積み上げたものを崩しかねない内容では…と感じました。
最近のバンドの状況を追ってない方は、2021年の流れから遡り今回の件に話を繋げますのでよろしければ読んでいってください。
1.A7XとWeb3とファンコミュニティ
最初に「ここ2年ぐらいの積み上げたものを崩しかねない内容では」と思ったことを書きましたが、その積み上げたものとはWeb3上でのA7Xファンコミュニティです。
A7Xは2021年からマットさん主導でファンをWeb3の世界に誘導してきました。
早速Web3という疑問が生じているかと思いますが、技術的な話は横に置き、バンドの思想としてはNFTを用いながらA7Xとファンが直接つながる、新しいファンコミュニティの形成を目指したものになります。
実際、そのコミュニティの中心地・DiscordにあるA7Xのサーバーでは、2021年6月の開設以来3.5万人近いファンが集い、現在も日々コミュニケーションを楽しんでいます。
バンドは101+10000点のファンクラブ会員権をNFTで発行しました。その名はDeathbats Clubといいます。会員権は譲渡・売買可能で、付随する特典によりレア度が変わり、ファンの間でNFT1つにつき約1万円~数十万円で取引されている実績があります。飛びぬけた最高額だと数百万円クラスがありました。
※NFTとは何ぞ、を話し始めると100行ぐらい必要なのですが、バンドは主にファンクラブ会員権としての用途で扱っているので、ここではデジタル会員権だと思って読んでください。他にもいろいろ出来ますが、とりあえずここでは会員権です。よろしくお願いします。
2.NFT、その利点と危うさ
NFTはトークンの管理者≒所有者が明確なことが利点の一つで、所有者に特典を送る、受け取ることの管理が容易にできるので、アーティストのファンコミュニティには相性がとても良いです。
半面、NFTはそれを紐づけている、個人のデジタルなウォレットを自分でしっかり管理しないと、ウォレットに入っているNFTや、それを取引するためのお金・暗号通貨など資産の流出を招きます。そして、失った資産はほぼ持ち主に戻りません。一度ウォレットから流出したものは誰かのウォレットに移動し、流出先となったウォレットの持ち主以外は再転送できる権限を持ちません。大体のケースで警察とか裁判所は無力です。
ちなみに端的に言えば、危ない場所をワンクリックするだけでマジでウォレットに紐づいた、数万、数十万円相当の資産を全部失います。ワンクリック詐欺からの架空請求とかそんなかわいいものじゃないです。Web3は一瞬で全部持っていかれます。
だから大事なDeathbats ClubのNFTを失わないように、皆でセキュリティ意識を高めましょう、と常日頃からバンドメンバーもファンも啓蒙し合い、特に「怪しいリンク、信頼できないサイトはクリックしないように」というのは挨拶レベルの常識です。
実際に、これまでもファンの資産を狙って悪意あるサイトに誘導しようと、バンド本体の偽SNSアカウントや、Deathbatsの偽SNSアカウントは何度も作られてきました。また、Deathbats以外にもWeb3コミュニティは星の数ほどありますが、そこでは第三者からのSNSアカウントの乗っ取り、Discordのサーバー管理者アカウントの乗っ取り、管理者のなりすましなどが日常的に発生し、先のように全てを一瞬で失ってしまう場所への悪意あるリンクが貼られ、コミュニティメンバーが資産を失う事件が多発しています。
(何故そんなに簡単に資産が奪われる仕組みになってるんだ?という疑問があるかと思いますが、別のお話にさせてください)
3.今回なにが起こったのか
さて今回のいたずらのお話です。
このようなWeb3コミュニティ界隈を取り巻くカオスな状況の中で、2月27日未明にバンドのSNSにフェスへの出演キャンセルの告知が掲載されました。これに対してDeathbats ClubのプロジェクトマネージャーがDiscorodで「アカウントがハックされました」というアナウンスを出しました。
この界隈ではほぼ毎週アカウントハックを見かけるくらい前例が多すぎるので、「じゃあ、遂にバンドもハックされたんだろうな」と私は素直に思いました。
(このアナウンス、あとから考えると本当に言わなければいけない一文が抜けてるのですが)
その数時間後、redditのA7Xのsubに、何者かによりバンドのTwitterアカウントにログインしているPCを撮影した画像の投稿がありました。
その画像の中に映り込んでいたブラウザのタブに、とあるウェブサイトのアドレスが表示されています。興味を持った人々がアクセスしてみると、それは一見雑な作りのA7Xに関するウェブサイトでしたが、表示されているバナー画像のセンスの古臭さなど、所々に違和感を与えるものがあります。
redditのファンとDiscordのコミュニティはこのウェブサイトに興味を持ち、ページの隅々、ソース、スクリプトの記述までありとあらゆるものを調べ倒しはじめました。
4.妙な運営チームの対応
ここで先程の「怪しいリンク、信頼できないサイトはクリックしないように」という言葉を思い出して頂きたいのですが、この謎サイトに興味を惹かれている状況ってWeb3的には完全にダメな状態です。
ダメなんですけど、Disordの管理者さんたちは一切「怪しいリンクを触らないように」という注意喚起は出さないし、先のハックされたというアナウンスでも「今後SNSに掲載されるリンクはアクセスしないように」と言ってないんですよね。どこもハックされたらとりあえず「どんなリンクもクリックするな」は必ず言います。
ちなみに普段の管理者さんたちは、詐欺や資産を抜くサイトへの誤誘導を狙ったリンクなどの報告を行うチャンネルに書き込むとだいたい秒で飛んできて、それが安全かアウトかをDMで個別に状況確認しながら対処してくれるほどセキュリティ意識が高く、コミュニティメンバーを守ろうとしてくださってます。
そんな彼らがこの対応ということは、つまり、彼らは今回の件が安全だという事を最初からご存じだという…なるほどなあ…と。
5.”事件”について思うこと
現在もハッカーの画像から確認された謎サイトの更新は続いており、redditには謎動画も誰かの手により投稿されているようで、興味をもった皆様の手により余さず分析されています。
皆がこの解読ゲームに熱狂すればするほど不用意にリンクを踏みやすくなる仕組みになってしまった気がするのですが、それでいいんだろうかと思っているのが私の感想です。
一応、「リンクを踏んだら資産一発アウト」を防ぐための物理アイテムがありまして、それを正しく使用していれば資産を守ることができます。ですが、その物理アイテムも正しく使用せずSCAMサイトに接続したら結局全部持っていかれるので、危うきに近寄らずはどんな状況でも基本なのですが…。
さらに言えば、(ここからは分かりやすさ抜きで書きますが)最近Coinbaseにマケプレ固定移行したときに、DBCメンバーから「私のコウモリはOpenseaから移動しなくてはならないですか?」「私のコウモリもOpenseaでロックされているのでしょうか」という質問が飛んでいました。つまり、ブロックチェーン上にNFTはあるよという理解の無い人もまだおり、この様子だと怪しいウェブサイトに行ったらどうなるのか、怪しいサイトにウォレットを接続したら何をされるのかを理解できていない人も恐らくまだまだいる状況だと見受けます。
この状況がある上で、皆がこのパズルゲームに熱狂すればするほど不用意にリンクを踏みやすくなる仕組みになってしまった気がするのですが、それでいいんだろうか(2回目)。
Discordで管理者が主導して謎サイトの暗号解読を楽しみ始めた時点で「またいつものジョークか」と事実は確定したのですが、気持ちが「今このジョークやる?」とついていけてない部分があります。
アルバムが出たらたぶんこの時のことは忘れるからついて行く必要はないと思っているんですけどね。Deathbats Clubにはバンドが用意してくれたお楽しみが他にもたくさんあるので、そこでアルバムを待っていようと思います。
(2月28日19時に書きました。暗号解読ゲーム以外の場所で更にゴタゴタが発生したら追記します。そうならないでくださいおねがいします)