仮想通貨フィッシング被害が200％急増—高額ウォレットを狙う新たな脅威

仮想通貨のフィッシング詐欺がかつてない勢いで拡大している。最新のデータは、被害件数が前年比で200％という急増を示しており、業界に衝撃を与えている。攻撃者は明らかに戦略を高度化させ、単なる散弾銃的な手法から、資産規模の大きな「ホエール」ウォレットを精密に標的とする作戦へと移行した。

標的型攻撃の手法進化

従来のフィッシングメールとは一線を画す。偽の取引所サポート、なりすまし空投通知、精巧に偽装されたDeFiプロトコルサイト—攻撃ベクトルは多様化し、経験豊富なトレーダーでさえ見破るのが難しくなっている。セキュリティ企業は、これらのキャンペーンが個人の公開取引履歴やソーシャルメディア活動を分析し、最も「費用対効果」の高い標的を選別していると指摘する。まるで伝統的な金融機関が顧客の信用力を査定するように、ただその目的が「奪取」である点が異なるだけだ。

自己保管のリスクと責任

「Not your keys, not your coins」という暗号界の金言は、自己責任の原則を体現している。しかし、この自由には高い代償が伴う。取引所に預けることのない資産は、同時にその取引所が提供するセキュリティ網の保護も受けない。金融庁（FSA）などの規制当局は取引所への監督を強化しているが、自己保管ウォレットのユーザーは、事実上、自らが唯一のセキュリティ担当官となる。一つのクリックがすべてを失う可能性に直面している。

業界の対応と投資家の自衛策

ウォレットプロバイダーやブロックチェーンセキュリティ企業は、不正トランザクションの検知システムやハードウェアウォレットの多要素認証といった対策を急ピッチで開発中だ。一方で、投資家に求められるのは、疑わしいリンクを絶対にクリックしないという基本的な習慣から、取引署名前のアドレス再確認、専用端末の使用に至るまで、軍事的とも言えるほどの警戒レベルだ。仮想通貨の真の価値は、その技術的革新性だけでなく、それを守る個人の不断の努力によって初めて実現される。

結局のところ、伝統金融が顧客保護に巨費を投じる一方で、暗号の世界ではそのコストが個人に転嫁されている—これが分散型という理想の、やや皮肉な現実なのかもしれない。次のブルラン（強気相場）が訪れる前に、セキュリティの基礎固めが急務だ。

1月に署名フィッシングとアドレスポイズニング被害拡大

この乖離は、サイバー犯罪者が「クジラ狩り」へと戦術をシフトさせたことを示す。これは、小口のリテールアカウントを広く狙うのではなく、一部の高額資産保有者を標的とする手法である。

Scam Snifferは、1月のシグネチャーフィッシング被害の約65%が、たった2名の被害者に集中したと報告した。最大規模の事例では、1人のユーザーが悪意ある「permit」または「increaseAllowance」関数に署名し、302万ドルを失った。

これらの仕組みは、第三者にウォレット内トークンの移動を無期限で許可するもの。攻撃者は個別トランザクションの承認なしで資金を引き出せる。

シグネチャースキャンは混乱を招く許可設定を悪用するが、それとは別に、同じく「アドレス・ポイズニング」と呼ばれる深刻な脅威も業界で多発している。

この手法による顕著な被害例として、1月に1人の投資家が1225万ドルを詐欺アドレスへ送金したケースが挙げられる。

アドレス・ポイズニングは、ユーザーの習慣を突き、「バニティアドレス」や「類似アドレス」を生成する。これら詐欺アドレスは、正規ウォレットの取引履歴で表示される先頭と末尾の文字列を模倣する。

攻撃者は、ユーザーがアドレス全体を確認せず、履歴から詐欺アドレスをコピペしてしまうことを狙う。

こうした被害の増加を受け、人気マルチシグウォレット（旧Gnosis Safe）の開発元Safe LABsは警告を発した。同社は約5000件の悪質なアドレスを使った大規模なソーシャルエンジニアリング攻撃が利用者に対して行われていると発表した。

「悪質な攻撃者による連携した動きを確認した。数千の類似Safeアドレスを作成し、ユーザーを騙して誤送金させる仕組みとなっている。これはソーシャルエンジニアリングとアドレス・ポイズニングの複合攻撃だ」と、同社は述べた。

そのため、同社は高額送金時には宛先アドレスのすべての文字列を必ず確認するよう注意を呼びかけた。