巧妙なフィッシング攻撃がMetaMask利用者を偽2要素認証で標的に - 2026年の仮想通貨セキュリティ新たな脅威
仮想通貨ウォレットMetaMaskの利用者を狙った巧妙なフィッシング攻撃が表面化。攻撃者は偽の2要素認証(2FA)プロンプトを利用し、ユーザーの認証情報を盗み取る新手法を確立した。
攻撃の仕組み
標的型メールから始まるこの攻撃は、本物そっくりのMetaMaskログインページへユーザーを誘導。パスワード入力後、攻撃者が制御する認証アプリから偽の2FAコードが送信される。ユーザーがこのコードを入力すると、攻撃者は即座に本物のMetaMaskサイトで同じコードを使用し、アカウントへの完全アクセスを獲得する。
セキュリティの盲点
従来のフィッシング対策では2FAが最終防衛線と見なされてきたが、この攻撃はまさにその前提を逆手に取る。ユーザーが2FAの保護下にあると錯覚しているまさにその瞬間に、攻撃者は防御を突破する。
暗号業界の対応
MetaMask開発チームは警告を発し、公式ドメイン以外での認証情報入力を避けるようユーザーに呼びかけ。日本の金融庁(FSA)も仮想通貨取引所に対し、同様の攻撃パターンについての注意喚起を強化するよう指示した。
投資家への影響
この攻撃手法の出現は、仮想通貨セキュリティの進化が攻撃者と防御者のいたちごっこであることを改めて示す。ある匿名のセキュリティアナリストは「仮想通貨が伝統金融より優れていると主張する人々は、こうした基本的なセキュリティ侵害が未だに発生している現実を直視すべきだ」と皮肉交じりに指摘。
自己防衛策の重要性
ハードウェアウォレットの使用、不審なリンクのクリック回避、常にURLを二重確認する習慣が推奨される。仮想通貨の自己管理責任は、単なる資産保護以上の意味を持つ時代が到来した。
MetaMaskフィッシング手口の全容
ブロックチェーンセキュリティ企業SloWMistのCSOが、最近X(旧Twitter)へ投稿し詐欺手口を指摘した。このフィッシングは、多層的なだましの仕組みを用い、ユーザーのウォレットを侵害する。
被害者には、MetaMaskサポートからの通知を装ったメールが届き、新たな2要素認証の導入を告げている。メールにはMetaMaskのキツネロゴや公式カラーなど、プロらしいブランディングが使用されている。
投稿によれば、攻撃者は公式によく似たドメインを利用している。記録された事例では、偽物のドメインは公式とわずか1文字違いであり、一見しただけでは判別が難しい。
ユーザーがフィッシングサイトにアクセスすると、正規のセキュリティ手順のようなガイドが表示される。最終段階で、被害者は「2FAセキュリティ確認」と称され、シードフレーズの入力を求められる。
ここが詐欺の決定的なポイントである。ウォレットのシードフレーズ(リカバリーフレーズまたはニーモニックフレーズ)はウォレットのマスターキーであり、これがあれば以下の行為が可能になる:
- 元の所有者に知られず、資金を自由に送金できる
- 別のデバイスでウォレットを復元できる
- 関連するすべての秘密鍵を完全に支配できる
- トランザクションの署名・実行を独自に行える
一度シードフレーズが知られると、パスワードや2要素認証、デバイスの承認がなくてもウォレットにアクセスできる。そのためウォレット提供企業は、いかなる状況でもシードフレーズを他人に共有しないよう、たびたび警告している。
2要素認証は利用者保護のための仕組みだが、攻撃者はこの信頼性を悪用する。心理的誘導、技術的手段、そして緊急性を組み合わせることで強力な脅威となる。
この詐欺は、フィッシング被害の減少傾向の中で発生。 データによると、2025年の仮想通貨フィッシング被害額は前年比約83%減の約84億ドルとなり、前年の約494億ドルから大幅に減少した。
「フィッシング被害は市場活動と密接に連動していた。第3四半期はイーサリアムの最も強い上昇局面と、最大級のフィッシング被害(31億ドル)が同時発生。市場が活発になるとユーザーの動きも増え、その一部が被害に遭う――フィッシングはユーザー活動数に比例して起きる確率論だ」とScam Snifferのレポートは伝えている。
2026年初頭、ミームコインの急騰や小口投資家の復調兆しを受け、市場も回復のきざし。攻撃者も再び動き始めており、フィッシング手口への警戒やウォレット認証情報の厳格な管理が依然として重要。
