ハッキングされてしてしまった…

第13回

NFTを始めてみたいなと思われる方は、まずこちらをご覧ください。

前回は、簡単ではございますがセキュリティについて記事を書きました。
そうしたのはこちらを書きたかったからです。

大見出しにありますように、ハッキングされてしまったという方のお話を聞くことができたため、その方のご了承を得まして、今後このような手口に会わないようにご周知いたします。

今回、
Jadeさん（@Jade79509)さん
に全面的にご協力いただきまして記事作成しました。

2022/2/14からJadeさんはNFT活動を開始。twitterにてアピールしたり、海外勢でよく見る、
Drop your NFT!
Drop new artist！
のようなツイートにリプライを返答多数していました。

2022/3/10にTwitterのDMを突然海外の人(以下犯人とします)から受領しました。
・まだリリースされていないがゲームの開発をしている。
・そのゲームのためにあなたのCoolなartを描いてくれませんか?
・もちろん報酬も払うぜ！
のような内容のメールだったそうです。
もう今現在はそのtwitterアカウントは削除されています(！)

続けて犯人から
・メールで資料を送りたいからメアドを教えて

JadeさんはGoogleの捨てアドを取得し教えました。

犯人から来たメール

これが詐欺の手口だ！
日本語…でメールがきてる…

「NFTアーティストとのコラボレーション」はダウンロードリンクです。
これは詐欺だと思い、Jadeさんは無視。

その後また犯人から
・動画見た？
・動画見た？
催促の嵐。

Jadeさんは怪しいと思い、ほんとは見てないのですが、
・うん！みたよ！いいね！全然英語でよめないけど！
と返しました。

犯人は
・全部日本語だよ？ほんとにみたの？
と返しました。

Jadeさんは正直に
・あなたを疑っている。いきなり来たあなたを信じられるわけがない。
・いまURLの脅威のチェックとかさせてもらってるよ。
と返しました（牽制の意味も込めて）。

犯人は
・問題ないよ！しかたがない！
との返事。また続けて、
・どう？
という催促。

Jadeさんは返答しちゃいました。
・本物なのですか？詐欺師でしょ？

犯人は猛反論！
・なんでそこまでいわれなきゃいけないんだ！心外だ！
との返答です。

Jadeさんは慎重に、確認します。
・メールアドレスをググると実際に存在していたこと。
・メールに記載してあるダウンロードリンクの安全性をURL検証サイトで確認したが脅威は表示されなかったこと。

このためJadeさんは本物かと思い、メールのダウンロードリンクからファイルをダウンロードしました。

送られてきたデータ形式は .rar形式でした。
ファイル名は 【NFTアーティストとのコラボレーション】。
入っているファイルは、 .jpg が4つ、.jfifが1つ、.scrが1つ（これがマルウェア）でした。

ここまで来てしまいました…
…ｺﾞｸﾘ…

動画を見てねといわれていたので、アイコンにmp4と書かれていたファイルを、これか、とダブルクリックしてしまいました………。.scrというのには気づかなかったそうです。

.scrというのは皆さんよくご存じのスクリーンセーバー用のファイルです。しばらく画面を放置していると時計だったり、ラインアートだったりが起動しますね(古い)。今ではデフォルトで画像が入れ替わり表示されますね。ですので普通はダブルクリックして起動させるものではありません。

.scrについてもう一つあるのが実行ファイルとしての役割です。.exeなどがありますね。.exeと同様に.scrもダブルクリックするとプログラムが起動してしまいます…。

Jadeさんは動画が開始されると思っていたのですが何も起きず。やってしまったのではないかと血の気が引きました。

その後、対応として、
ウイルスバスターにてスキャンしましたが脅威は見つからず。
Windows Defenderオフラインスキャンを実行。かなりしっかりウイルスチェックが入るため、こちらでスキャンかければ検出できそうです。
しかし何もヒットせず、PCには何もないと判断しました。

ーーー

しかし、後日、日本の仮想通貨取引所からメタマスクにETHを送金したところ…。
いつまでたっても残高が増えませんでした。メタマスクのactivityには何も表示されていません。

メタマスクを使い始めのJadeさんは、何かうまくいかずに消えちゃったのかと思い(ブロックチェーンの性質上消えることはありません)、今度はメタマスクで直接ETHを購入しましたが、同じことでした。

不審に思い、ETHscanで履歴を確認すると、2回ともメタマスクに着金後1分以内に犯人と思われるアドレスに送金されてしまっていました。

ここでようやくあの時のダブルクリックがいけないんだと合点がいきました…。

openseaでお迎えしたNFT作品には手を付けられていなかったので、それだけでも助けようとchromeからbraveにブラウザを変更し、新しくウォレットを作成、いろんな方の助言によりNFTだけは回収できたとのことです。

ですが、今現在でも旧のウォレットに入金すると抜かれてしまう可能性が高いと思う、とのことです。とてもやり切れませんね。

新ウォレットは問題ないとのことです。
どうやら.scrは旧のメタマスクのみにとりついているようです。

作品を送付するガス代だけのためにETHを入金したとのことで、そんなには多くない金額ではあったといいますが、それでも取られてしまった事実はとても悔しく、腹立たしい、情けない気持ちです。

Jadeさんは高い勉強代を支払い、今後の糧にしたとのことです。

ーーー

NFTクリエイター様には仮想通貨を扱っておられる方が多い傾向にはありますが、最近NFTを始めた方はメタマスクにあまり詳しくないけれど使ってるよ、とおっしゃる方がおられるかもしれません。

今回の事例をぜひご参考になさって大事な資産、NFTを守っていただけますようにお願いいたします。

特に日本人は優しい、良いほうに事柄をとらえる方が多いと思いますので、海外からはかなりの確率で狙われていると思っていたほうがいいと思われます。今回のメールも日本語出来ていることから、間違いなく日本人がターゲットであると考えられます。

まとめます。

《詐欺であることが疑われる事項》

１．海外のツイート、Drop your NFT! Drop new artist！などに参加していた。
→大したことではなさそうに見えますが、こちらでSNSアカウントを調べられたりしている可能性が高そうです。また、海外のgiveawayなどもアドレスを利用され、勝手にマルウェア入りのNFTを送付、そのメタマスクをクリックした後メタマスク承認まで連れていかれて承認、その後すべて抜かれてしまうという事例があります。

２．全く知らない人物からDMが来る。
→面識もないのに突如DMしてきて、あなたの作品がクールというのはまずありません。作品を発表していたとしても、もしよいのでしたらまずリプライから仲良くなり、そのうえでDMというのが筋と思われます。基本的にDMは無視がいいですね。面識なしにDMしてくる人はクレクレさんか、詐欺でしょう。

３．やたらと急かす。
→そんなすぐに結果を出せなんて言う人はリアル世界でもおかしいと思われます。

４．メールアドレスが正規ではない。
→メールアドレスは他で使われていない限りどのようなメールアカウントも取得可能、また偽装も可能ですので、有名なメールアドレスであったとしても判断基準にはしないでおきましょう。

５．ファイルをダウンロードさせられた。
→ダウンロードリンクの安全性に脅威が示されなかったのですが、ダウンロード先が通常の保管場所であったとしても、ファイル自体に脅威があれば検出されないでしょう。信頼できる方の依頼でない限り安易なダウンロードは避けましょう。

６．ダウンロードしたファイルはパスワード付き圧縮ファイルだった。
→ダウンロードした圧縮ファイルにパスワードがかけられているとウイルススキャンしても脅威として反応できないようです。なんとなくわかる事項ですね。これもわかったうえで仕組んでいたかもしれないですね。信頼できないファイルのダウンロードは避けましょう。

７．動画ファイル拡張子が.scr。
→動画ファイルは.mp4や.aviなどで.scrはあり得ません。偽装ファイルの可能性が高いというか確定的なため、.scrは触らないようにしましょう。

ーーー

《まとめ》
海外からメールが来ると有名になった気持ちがして、挑戦してみよう！と意気込まれるかもしれませんが、ちょっと立ち止まって、どこの誰から連絡がきたのかを冷静に見極めましょう。

また、海外から直接お呼びがかかることはない、と決めて、何も対応しないというのが一番と思われます。

これからもっと精巧になって、某有名メーカーなどから連絡が来るなどあるかもしれませんが、来た時点でどなたかに相談したり、よくよくチェックするなど、確認を怠らないようにしましょう。

今回は、残念ながら被害にあわれましたが、これからの糧とすべくJadeさんから詳細に貴重なお話をいただき、記事にさせていただきました。その時の悲しさが込みあがってくるはずなのにとても丁寧にお話しいただきまして、感謝の意を表します。

ーーー

ご協力いただきましたクリエイター様
今回、ご協力いただきましたjade（@Jade79509）様は、3月からHEXAにて本格参加されたにも関わらず、第３回のアンバサダーに選定されております。
小学5年生から独学で始められたプログラミングで現在エンジニアとしてご活躍、まさにプロの方です。プログラミングの方面でHEXA運営様の目に留まり、アンバサダー就任に至ったのではと私は推測いたしております。
また、現在Foundationで出品中、です、ぜひご覧くださいませ。

Aquarium | Foundation

openseaにも作品ございます。

https://opensea.io/collection/hackarts-cryotosymbol

また、記事中の被害にあわれていますので、同じようなことで困っていたり不安に感じる方がおられましたら是非ともご連絡くださいとのことです。twitterプロフィールから辿っていただければと思います。

ーーー

是非とも皆様におかれましてもお気を付けいただきまして、楽しいNFTライフをお過ごしくださいませ。

最後までお読みいただきましてありがとうございました。

@HEXANFT　：NFTマーケットプレイス

HEXA（ヘキサ） | 日本最大級のNFTマーケット

今回は以上となります。