セキュリティ

【2023年最新】メタマスクがハッキングされる7つ原因&対策を徹底解説

gamefilabo

「メタマスクのNFTは盗まれまくってます」

ブロックチェーン専門メディアCRYPTO TIMESによれば、NFT盗難被害額は2020年から2022年の間で1200億円にのぼることがわかっています。
>>>2020-22年のNFT盗難被害総額 = 1200億円【調査レポート】

困ったことに、NFT関連の法制度はまだ整っていません。

そのため、警察に相談しても、一度盗まれたNFTが戻ってくることはほぼないのです。

でも安心してください。

きちんとハッキング対策をすれば、被害を限りなくゼロにできます。

しかも、対策方法もカンタンなものばかり。

そこで本記事では

  • メタマスクがハッキングされる7つの理由
  • メタマスクのNFTを守る7つのハッキング対策
  • メタマスクがハッキングされた時の対処法

について、画像を使ってわかりやすく解説します。

本記事で最新のハッキングの手口&対策を知り、あなたの大切なNFTを守りましょう!

この記事を書いている人

100以上のNFTを所有し、特に大事なものはハードウェアウォレットで管理中。

ブログやTwitterでは暗号資産や、暗号資産を稼げるゲーム「GameFi」の情報を発信しています。

メタマスクがハッキングされる7つの理由

メタマスクがハッキングされる理由は主に以下の7つです。

  1. ディスコードで送られたDMの詐欺リンクを踏む
  2. OpenSeaにある身に覚えのないNFTを売る
  3. ディスコードで一般ユーザーが貼った詐欺リンクを踏む
  4. 秘密鍵(シークレットフレーズ)を他人に教える
  5. メタマスクの偽サイトへ誘導される
  6. フリーWi-Fiに接続し、個人情報を抜かれる
  7. 詐欺師から送られたexeファイルをインストールする

ここでは実際の画像を使って、具体的な手口を紹介します。

(1)ディスコードで送られたDMの詐欺リンクを踏む

メタマスクがハッキングされる理由No1です。

nasu

ディスコードでは毎日のように詐欺師からDMがくるよ。

実際のDMがこちらです。

基本的にDMは英語が多いです。DMのおおまかな内容はこんな感じです。

「おめでとうございます!あなたはキャンペーンに当選しました。つきましてはNFTをタダで差し上げますので、以下のリンクからメタマスクを接続してください」

このDMの悪質なのが、公式アカウントのフリをしているところ。

アイコンや名前がいかにも公式っぽいので、普通の人は信じてしまいます。

が、公式アカウントが個人にDMを送ることは100%ありえません。(大げさな表現ではなく本当に100%です。)絶対に無視しましょう。

またTwitterの場合は「メタマスクの使い方がわかりません、、、」「NFTの買い方を誰か教えてー」など初心者ツイートをすると、あなたの元に詐欺師からDMが届きます。

TwitterであなたがNFT初心者であることをアピールするのは控えましょう。

(2) OpenSeaにある身に覚えのないNFTを売る

OpenSeaで自分のウォレットの中身を見ると、身に覚えのないNFTが入っていることがたまにあります。

このNFTはHidden(非表示)に入っていることがほとんどです。

実際の画像がこちら。

で、ここからどうやってハッキングされるかというと、

①どうせタダで手に入ったNFTだし、売っちゃおう!

②売るためにNFTをHiddenからUnhideへ移そう

③なんか署名を求められたぞ?署名をクリックして次へ進もう

④ハッキング!!

お気づきの方もいるかと思いますが、このケースだと「署名をクリック」がトリガーとなっています。

実は「あなたのNFTの取引権限を全て詐欺師に与えますか」みたいなコメントが小さくあり、見えにくい状況になっています。

署名をクリックすると、詐欺師があなたのウォレット内のNFTを自由に移動できるようになってしまいます。

身に覚えのないNFTは無視しましょう。

(3)ディスコードで一般ユーザーが貼った詐欺リンクを踏む

ほとんどのディスコードには、ユーザー同士が交流できる雑談チャンネルがあります。

たまに雑談チャンネルには外部リンクが貼られる場合がありますが、このリンクも要注意です。

英語のスレッドはもちろん、信頼できると思っていた日本人ユーザーがスパムリンクを貼る可能性もゼロではありません。

ディスコードの運営が貼った公式アナウンス以外のリンクは踏まないようにしましょう!

(4)秘密鍵(シークレットフレーズ)を他人に教えてしまった

秘密鍵(シークレットフレーズ)とは、メタマスクを作る時に個人に割り振られるパスワードのようなものです。(12語の英単語から構成される)

秘密鍵を知っていれば、誰でもウォレット内のNFTにアクセスすることができます。

NFTの取引に秘密鍵の入力が必要なケースはありえません。

「秘密鍵を入力してください」は100%詐欺です。

秘密鍵は絶対に誰にも教えないようにしましょう。

(5)メタマスクの偽サイトへ誘導される

メタマスクを偽ったアカウントから、たまにメールが届くことがあります。

そもそもメタマスクのアカウントを作るときにメールアドレスは登録しません。

なので、メタマスクからメールが届くことはあり得ないです。

また、アカウント作成時にはKYC(本人確認)も不要です。

(6)フリーWi-Fiに接続し個人情報を抜かれる

カフェなどでよく見かけるフリーWi-Fi。

「フリーWi-Fiは危ない!」と聞いたことはあっても、具体的になぜ危ないのかよくわからない人も多いのではないでしょうか。

危ない理由は「悪意のあるフリーWi-Fi」の場合、あなたがインターネットでどんなサイトを閲覧して、どんな情報を入力したのかが第三者にバレる可能性があるからです。

つまり、個人情報の漏洩のリスクがあるということです。

悪意のあるフリーWi-Fiにつないだ状態でメタマスクを起動すれば、起動時のパスワードなんかもカンタンに覗かれてしまいます。

メタマスクの起動はネット環境が安全な状態で行いましょう。

(7)詐欺師から送られたexeファイルをインストールする

これはメタマスクのハッキング以前の問題で、PC本体にウイルスを仕込まれるケースです。

手口の一例を紹介します。

Twitterを通じて、自称GameFi(暗号資産が稼げるゲーム)の開発者と仲良くなる。

数週間やりとりをしている中で、自称GameFi開発者からこんなメッセージが届いた。

「今度新しくGameFiをリリースするんだ。あなたに体験版をプレイしてほしいからデータを送りたい。あなたのメールアドレスを教えてくれ」

その後、自称GameFi開発者からexeファイル付きのメールが届いたので、ファイルをダウンロード。

するとPCウイルスに感染し、PCそのものが乗っ取られてしまった、、、

この手口の悪質なところは、相手が日本人&信頼関係をしっかり構築したところ。

どんな相手であれ、exeファイルのダウンロードは絶対にやめましょう。

メタマスクのNFTを守る7つのハッキング対策

メタマスクのハッキング対策として有効な方法は以下の7つです。

  1. ディスコードのDM通知をオフにする
  2. リンク先のURLを確認する
  3. 秘密鍵(シークレットフレーズ)をオフラインで厳重に管理する
  4. メタマスクはGoogleChromeの拡張機能を使う
  5. メタマスクを複数作る
  6. 定期的にリボークをする(有料)
  7. 絶対に盗まれたくないNFTはハードウェアウォレットで管理する(有料)

それぞれ紹介していきます。

(1)ディスコードのDM通知をオフにする

ディスコードでのDMにあるリンクは100%詐欺です。

なので、いっそのことDMが来ない設定にしましょう。

具体的な方法は以下のとおりです。

【PCの場合】

①画面下にある歯車マークをクリックします。

②「プライバシー・安全」をクリックします。

③「サーバーにいるメンバーからのダイレクトメッセージを許可する」の右のボタンをクリックします。

【スマホの場合】

①アイコンマークをタップします。
②「プライバシー・安全」をタップします。

③「サーバーにいるメンバーからのダイレクトメッセージを許可する」の右のボタンをタップします。

(2)リンク先のURLを確認する

NFT関連のサイトにアクセスする場合は、必ずURLを確認しましょう。

よくあるのが、公式サイトのURLと1文字だけ違うパターン。

例えば運動して稼ぐSTEPNの公式サイトのURLは「https://stepn.com」ですが、これを詐欺サイトでは「https://stepN.com/」と1文字だけ変える場合があります。

また、トップレベルドメインでも詐欺サイトを見分けることができます。

トップレベルドメインとは、例えば「https://www.yahoo.co.jp」の「.jp」の部分。

デジタルアーツによると、2022年フィッシング(詐欺)サイトドメインTOP3は、

  • 【1位】.cn
  • 【2位】.com
  • 【3位】.ci

です。

「.com」に関しては一般的なサイトでも使われているため、詐欺サイトかどうか判断できません。

ただ、NFT関連のサイトで「.cn」「.ci」が使われることはほぼありません。

リンクをクリックする前に、URLが正しいかチェックしましょう。

(3)秘密鍵(シークレットフレーズ)をオフラインで厳重に管理する

秘密鍵は「紙に書いて管理する」が理想的です。

100歩譲って「ネットに接続されていないメモアプリで管理」もアリです。

ただし、クラウド上で秘密鍵を管理することはやめましょう。

iCloudなどのテック企業が運営している多くのサーバーは、厳格に管理されています。

とはいえ、インターネット上に存在するので、常にハッキングのリスクにさらされています。

秘密鍵は紙に書いて、銀行の通帳などと一緒に大切に保管しましょう。

(4)メタマスクを複数作る

複数のウォレットを作ってリスクヘッジする方法です。

多くの人は以下のように使い分けています。

  • 普段使い用:NFTを購入したり、GameFiをプレイするウォレット。
  • 保存用:大事なNFTを保管するウォレット。使うことはめったにない。

よく「アカウントを複数作る」と勘違いされますが、これは全く効果がありません。

理由は、アカウントが複数でも、秘密鍵は1つのままだからです。

1つの秘密鍵が突破されてしまえば、アカウントを分けていてもNFTは盗まれてしまうというわけです。

ウォレットを複数作るやり方は、以下の記事で解説しています。ご参考下さい。

【ハッキング対策】Metamask(メタマスク)ウォレットを複数つくる方法Metamaskウォレットを複数つくる方法を画像つきで紹介します。「自分の大切なNFTを守りたい」という方はぜひご覧ください。...

(5)GoogleChromeユーザーは拡張機能を使おう

GoogleChromeの拡張機能とは、カンタンにいうとGoogleChromeのオリジナル便利機能です。

拡張機能はたくさん種類があります。

例えば、

  • Gmailの受信通知してくれる機能
  • 広告をブロックしてくれる機能
  • その場で英語を翻訳してくれる機能

などです。

さらにメタマスクに安全&すぐにアクセスできる拡張機能もあります。

毎回「メタマスク」とググると万が一、偽サイトが表示されてしまうリスクもあります。

GoogleChromeユーザーの方は、拡張機能を利用しましょう。

メタマスクの追加方法は以下のとおりです。

①GoogleChromeのホーム画面で拡張機能マークをクリックし、「拡張機能を管理」をクリックします。

②「拡張機能を検索」欄にMetamaskと入力して、拡張機能に追加すれば完了です。

nasu

カンタンにできるので、ぜひ追加してみてね。

(6)定期的にリボークをする(有料)

アプルーブ状態になっているNFT売買サイトは、定期的にリボークしましょう。

わからない人

アプルーブ?リボーク?

それぞれの意味は以下のとおりです。

  • アプルーブ:メタマスクとNFT売買サイトと接続し、あなたのNFTを転送する権限を相手に与えること
  • リボーク:アプルーブを取り消すこと

超ザックリ言うと「ずっとログイン状態のままになっているサイトをログアウトする」イメージです。

ちなみにリボーク時には、数百円程度のガス代がかかります。

リボークは以下のリボーク専用サイト「Revoke.cash」からできます。
>>>https://revoke.cash/

やり方はたったの3ステップです。

①Revoke.cashでメタマスクを接続します。

②リボークしたいサイトを選び、Revokeをクリックします。

③ガス代を確認し、「確認」をクリックします。

(7)絶対に盗まれたくないNFTはハードウェアウォレットで管理する(有料)

こちらも有料になりますが、最も効果のある方法です。

ハードウェアウォレットとは「暗号資産やNFTをオフラインで管理できるデバイス」です。

しくみを図解するとこんな感じです。

「NFTをクラウドではなく、USBメモリで管理する」とイメージして頂ければOKです。

ハードウェアウォレットにはいくつか種類があります。

以下の記事ではハードウェアウォレットのおすすめについて解説しています。

【ユーザーが徹底解説】日本語対応のハードウェアウォレットのおすすめ【3社比較】 「絶対に盗まれたくない大切なNFTがある」 本記事はこんな人に向けて執筆しました。 nasu 結論から言うと、Ledger...

メタマスクがハッキングされた時の対処法

残念ながら盗まれてしまったNFTは取り戻せません。

ですが、これ以上被害を増やさないために、速やかに対処する必要があります。

具体的には以下の2つです。

  1. リボークをする
  2. 他のウォレットへすぐに移す
nasu

全てのNFTを盗まれる前に、速やかに対処しましょう!

暗号資産・NFTは完全な自己責任の世界

暗号資産・NFTの魅力は国や行政などの管理者がいないため、わりと自由な取引ができるのが魅力の1つです。

それは裏を返せば困った時は誰も助けてくれない完全な自己責任を意味します。

「気が向いたら対策しよう」でら取り返しのつかないことが多々あります。

自分の大事な資産を守るため、今すぐ行動しましょう。

【ユーザーが徹底解説】日本語対応のハードウェアウォレットのおすすめ【3社比較】 「絶対に盗まれたくない大切なNFTがある」 本記事はこんな人に向けて執筆しました。 nasu 結論から言うと、Ledger...
スポンサーリンク
ABOUT ME
gamefilabo
gamefilabo
ゲームファイブロガー
2021年から暗号資産が稼げる「ゲームファイ」を始めました。ブログやTwitterで、中学生でもわかる暗号資産の情報を発信しています。
記事URLをコピーしました