暗号資産ウォレット「MetaMask」の利用者を狙った高度なフィッシング詐欺が確認されている。正規の手続きと見分けがつかない偽の2段階認証を装い、利用者を誘導した上でリカバリーフレーズを入力させ、資産を不正に奪う手口だ。
2025年は暗号資産関連のフィッシング被害件数が全体として減少傾向にあるものの、心理的な隙を突くソーシャルエンジニアリングは一段と巧妙化しており、個人投資家のセキュリティ意識が改めて問われている。
SponsoredMetaMaskフィッシング手口の全容
ブロックチェーンセキュリティ企業SlowMistのCSOが、最近X(旧Twitter)へ投稿し詐欺手口を指摘した。このフィッシングは、多層的なだましの仕組みを用い、ユーザーのウォレットを侵害する。
被害者には、MetaMaskサポートからの通知を装ったメールが届き、新たな2要素認証の導入を告げている。メールにはMetaMaskのキツネロゴや公式カラーなど、プロらしいブランディングが使用されている。
投稿によれば、攻撃者は公式によく似たドメインを利用している。記録された事例では、偽物のドメインは公式とわずか1文字違いであり、一見しただけでは判別が難しい。
ユーザーがフィッシングサイトにアクセスすると、正規のセキュリティ手順のようなガイドが表示される。最終段階で、被害者は「2FAセキュリティ確認」と称され、シードフレーズの入力を求められる。
Sponsoredここが詐欺の決定的なポイントである。ウォレットのシードフレーズ(リカバリーフレーズまたはニーモニックフレーズ)はウォレットのマスターキーであり、これがあれば以下の行為が可能になる:
- 元の所有者に知られず、資金を自由に送金できる
- 別のデバイスでウォレットを復元できる
- 関連するすべての秘密鍵を完全に支配できる
- トランザクションの署名・実行を独自に行える
一度シードフレーズが知られると、パスワードや2要素認証、デバイスの承認がなくてもウォレットにアクセスできる。そのためウォレット提供企業は、いかなる状況でもシードフレーズを他人に共有しないよう、たびたび警告している。
2要素認証は利用者保護のための仕組みだが、攻撃者はこの信頼性を悪用する。心理的誘導、技術的手段、そして緊急性を組み合わせることで強力な脅威となる。
この詐欺は、フィッシング被害の減少傾向の中で発生。 データによると、2025年の暗号資産フィッシング被害額は前年比約83%減の約84億ドルとなり、前年の約494億ドルから大幅に減少した。
「フィッシング被害は市場活動と密接に連動していた。第3四半期はイーサリアムの最も強い上昇局面と、最大級のフィッシング被害(31億ドル)が同時発生。市場が活発になるとユーザーの動きも増え、その一部が被害に遭う――フィッシングはユーザー活動数に比例して起きる確率論だ」とScam Snifferのレポートは伝えている。
2026年初頭、ミームコインの急騰や小口投資家の復調兆しを受け、市場も回復のきざし。攻撃者も再び動き始めており、フィッシング手口への警戒やウォレット認証情報の厳格な管理が依然として重要。
