見出し画像

NFTで詐欺に遭わない為に知っておくべき事

Shiberu / しべる

私の知人でもNFT関連の詐欺に遭ってしまった方が複数います。この界隈はまだ成熟途中で詐欺やハッキング被害が多く感じます。我々はどうやって身を守れば良いのか?

まずは相手の手口を知る事。知っていれば怪しいと思える瞬間も増えると考えていますので、私の聞いた手口等をまとめます。

悪意のある手口

フィッシングサイト系

手口:
偽サイトに誘導しウォレットを接続させて、中身を抜き取る。

  • OpenseaやNFT関連の偽サイトへの誘導

    • 検索結果ページの広告枠で、公式っぽく偽サイトが掲載

    • Twitterに投稿された作品URLがOpenseaの偽サイトになっている

  • トラブル時に困ってるツイートをすると、その返信に親切を装った悪人が連絡してきて偽サポートページに誘導。そのサイトに書いてある通りに作業するとウォレットの中身全部盗られる。Twitterの公式マークが付いた偽物も居るので要注意。

  • ツイッターアカウントが乗っ取られた知人から、悪意のある何かが送られてくる事もあるので、知人だとしても添付ファイルや外部リンクは絶対に油断しない。

対策:
ウォレットを接続する時はそのサイトが本物かよく確認する。リンク経由で見た作品でも、買う前には一度ページを閉じて、自分のブックマークから正しいサイトに遷移してそこからその作品を探し買う。
トラブル時は、教えてもらった内容そのまま信じるのではなく、一度検索サイトで調べて信頼できそうな内容を探す。

詐欺系

手口:
言葉巧みに詐欺サイト誘導、ウィルス送付、送金などをさせる。

  • イラストの仕事依頼を装いメアドを聞き出す。メールに仕事の資料(ウィルス付き)を添付して送信。

    • 特にパスワード付きzipや.rar形式などウィルス対策ソフト入れていてもすり抜ける事があるので要注意。

  • 現金化時のガス代が高い系のツイートに反応して、「ちょうど日本円からイーサに替えたかったから、イーサを送ってくれればその分銀行振り込みで日本円を払うよ。お互いwin-winだね。」と言ってイーサを送金させて、そのまま逃げる。

  • アプリインストールで○○が貰えるキャンペーン。→ そのアプリにウィルスが入っている。

  • サイトに新規登録すれば、無料で○○をプレゼント企画。

    • その時に登録したメール、パスワードを使って取引所に不正ログイン。(パスワード使い回している人がやられる)

    • サイト登録時に入力した個人情報をカモリストとして闇ルートで販売(特にクレジットカード番号入れさせる系は、ほぼ詐欺)

対策:
ウィルス対策ソフトは必須。パスワード付き圧縮ファイルが来たら絶対に開かない。相手が悪意の無い人の場合は違う方法で再送をお願いする。
DMは詐欺師だと思って読む。
個人情報入れる系のプレゼント企画は、信頼できる所かよく確認する(私は外部ツールで何か入力させる系は全て参加しない)。

エアドロップ系

手口:
いつの間にか勝手にエアドロップ(無料送付)された作品に対して、操作をする事でハッキングする

悪意のある有名な作品

  • unhide操作などをするとメタマスクの承認が求められるが、XSS(サイトの脆弱性をついて不正なコードを実行する事)攻撃によってその承認をお金を抜き取る承認に差し替えちゃう。

    • 詳しく解説されているサイト(英語)

    • 要約

      • Airdropによって悪意あるコードを含んだSVG画像等を送信。

      • ユーザーが画像を開くとXSS発火。(XSS:サイトの脆弱性をついて不正なコードを実行する事)

      • XSSでウォレットとの通信を要求。(トランザクション操作ドメインはOpenSea自体からの物なので、正規の要求に見える)

      • ユーザーがそれに署名

      • 次にお金を引き出す署名リクエストがポップアップ

      • ユーザーがよくわからず署名してしまうと、お金が盗まれる。

  • 勝手にエアドロップされた作品に「Unlockable Content」(所有者だけが開けるおまけコンテンツ)が含まれており、そこから詐欺サイトやウィルスファイルへ誘導。

対策:
心当たりのないエアドロップ作品は触らない無視する。(削除するにも承認作業が必要になるので放置しかない)
ウォレットの承認はちゃんと内容をよく確認する。
ウィルス対策ソフト必須。OS、ブラウザは常に最新のバージョンにしておく。

偽作品を勝手に販売系

手口:
本物をコピペして勝手に売っている偽物が多数存在する。それを買っても、偽アカウントがBANされると購入したデータも消滅

対策:
有名作品なのに、あまりに安すぎる物はほぼ偽物。作品ページから作者のTwitterを確認して本物か確かめる。過去の販売履歴をよく確認する。


何かしらの被害に遭ってしまった場合

上記以外も含めて、何かしらの被害に遭ってしまった場合の対策についてまとめます。(全て正しい情報とは限らないので参考程度に。最終判断は自己責任で)

被害に遭ってしまった、もしかしたらやられたかも。。。と言う場合何をどうしたらいいのか?被害にあったアカウント以外も危ないのか?ウォレットごと作り直すべきか?

  • ウィルス入れられた→全部あぶない

  • ウォレットの秘密鍵教えちゃった→全部あぶない

  • 不審なサイトに繋いじゃった→全部あぶない

  • 上記以外でXSSでその場だけの被害だった→たぶん大丈夫

必須作業

  • PCのウィルススキャン

場合によってやったほうがいい作業

  • (不審なサイトにウォレット接続しちゃった場合)リボーク作業

    • リボーク作業の方法は、ここでは紹介しません。(私が詐欺師で、偽の対応方法を書いてるかもしれないでしょ?)
      お手数ですが、ご自身で検索して信頼できる情報を探して下さい。
      ※ここで悪意のある解説サイトの手順通りにやると、全部盗まれます。

  • (ウォレットのパスワード教えちゃった場合)ウォレット作り直し

    • ウォレット内でアカウントを作り直すのではなく、ウォレット自体を作り直す(秘密のシードフレーズ等も新規作成)必要があります。

  • (自分がどうして被害に遭ったか原因が分からない)上記作業を全部やる


最後に

ここに書いてない手口もまだ沢山あると思いますし、今後新しい手口もどんどん出てくると思います。
※新しい情報があれば記事に追記しますので、私までメッセージください。

勝手なエアドロップも全てが怪しい物ではなく、単純に宣伝目的の物もあると思います。また、トラブルに対して本当に親切で色々教えてくれる人も沢山います!!(NFT界隈は本当にいい人が多い)
ですので、ある程度の悪意ある手口を知っている事で、ご自身で怪しいか判断できるのが一番だと思い記事をまとめました。

NFTアーティストと応援してくれる購入者が、嫌な思いをせずに楽しく過ごせるWeb3の世界を願っています。

この記事が気に入ったらサポートをしてみませんか?