【初心者向け】NFT売買におけるフィッシング詐欺の防ぎ方
akiメルマガ
※当記事の下線部はリンクが添付されています。(記事やSNSリンクなど)
当記事は5分程度で読めます。
今回は、初心者向けの「NFTのフィッシング詐欺の防ぎ方」について紹介します。
詐欺の事例・対処方法も併せて解説していきます。
今回取り上げる事例は、初歩的な詐欺であり、危機管理能力の低さから起こった詐欺の事例です。記事の最後に私の考えを載せておきます。
Twitterやメルマガ、stand.fmで発信しています。メルマガの登録、SNSのフォローをよろしくお願いします。
Twitter :@aki_039
stand.fm:NFT | Web3 @あきラジオ
目次
1.NFTで最初に注意しなければならないのはフィッシング詐欺
2. 5月4日に起きた詐欺の事例
3.フィッシング詐欺の対処方法
4.ありえない危機管理能力の低さ
5.今回の事例に対する周りの反応の違和感
6.終わりに
1.NFTで最初に注意しなければならないのはフィッシング詐欺
フィッシング詐欺には要注意です。どのように対処すればいいのか。
結論からお伝えすると、「Google検索で特定のサイトにアクセスしない」ことです。
これは基本中の基本です。
「NFTで」というタイトルにしていますが、メタマスクなどのウォレットを使用して資産を動かすのであれば、NFTに限らずアタリマエの考え方です。
Cryptoの世界は、すべてが自己責任。ハッキングの被害も多いです。
ハッキングの手口がわからない場合もあるので、「明日は我が身」と思っている人が多いのも事実。(ぼくもその一人)
当記事で紹介していく事例は「フィッシング詐欺」です。
簡単に防げるので事例・対処方法を紹介していきます。
2. 5月4日に起きた詐欺の事例
まずは詐欺の事例から👇
リンク:https://twitter.com/ichiyaduke23/status/1653933538499252226?s=20
簡潔にまとめます。
①会社のPCでウォレット復元
②Google検索で偽URLにアクセス
③拡張機能を追加する前にシードフレーズを入力
④シードフレーズ2回入力
すべてに突っ込みどころがあります。それも記事の最後に。
次は対処方法です。
3.フィッシング詐欺の対処方法
対処方法はツイートでも紹介しています。
リンク:https://twitter.com/aki_039/status/1654311014803083267?s=20
内容はほとんど同じなので、このまま読み進めてください。
対処方法の流れ
①スポンサーor広告からサイトにアクセスしない
②公式Twitter等からサイトにアクセス
③サイトURLをブックマーク
④複数人のブログからサイトにアクセス
⑤ブックマークのURLと一致しているかを確認
慣れていれば、10分程度作業時間が増えるだけです。
①スポンサーor広告からサイトにアクセスしない
これが最重要。徹底してください。
NFT関係のインフルエンサーが、今までさんざん言っています。
Googleの広告はお金を出せば、誰でも上位表示させることができます。
「スポンサー」「広告」に注意してください。詐欺師が資産を抜くためにお金を払って上位に表示させています。
②公式Twitter等からサイトにアクセス
公式Twitterからサイトにアクセスしましょう。
NFTを始めたばかりでよくわからない方は、自分が信頼できるインフルエンサーでOK。
メタマスクの公式Twitter👇
https://twitter.com/MetaMask
「metamask.io」が公式サイトです。
ここは、公式からサイトに行かなくても良いです。
理由は、Twitterのアカウントが偽サイトの可能性があるから。
試しに「MetaMask」で検索してみると、
笑えるくらい偽アカウントが出てきます。
ここで、私の偽アカウントがあるのかを興味本位で調べてみました。
少しだけ偽アカウントがありますね。
つまり、Twitterで発信をしていれば誰でも偽アカウントが出てくるものなのです。
もう少しやる気を出してほしいですね。ツイートは0、フォロー・フォロワー0。アイコンも違う。
何が言いたいかというと「見分ける方法がある」ということです。
どこで見分けるか
・いつからTwitterを利用しているか
・@からのTwitter ID(おなじIDは作成できません)
・フォロー、フォロワーの数
・ツイート数
・アイコン
主に上記の5つで見分けられます。
余談でした。進みましょう。
サイトにアクセスしてからやることを次に解説します。
③サイトURLをブックマーク
②でアクセスしたサイトをブックマークします。
④ 複数人のブログからサイトにアクセス
誰でもいいので、ブログなどからサイトにアクセスしましょう。
思いつきで、国内のNFT関係インフルエンサーを書いていきます。
・おもち先生(@omochibigaku)
・kanerin氏(@kanerinx)
・とち氏(@tochi1203)
他にも多くいるので、一例です。自分が信頼している人orよく名前を聞く人でOK。
なぜ誰でもいいかは次に解説します。
⑤ブックマークのURLと一致しているかを確認
「④で開いたサイト」が「②で開いたサイト」と同じであれば、ブックマーク済みになっています。
④で多くサイトを開いて、すべてがブックマーク済みであれば信頼性が高くなります。 これが④で誰のサイトでもいいといった理由です。
これで確認終了。とても簡単。
これが最も防ぎやすいフィッシング詐欺です。
最後にもう一度流れをまとめます。
対処方法の流れ
①スポンサーor広告からサイトにアクセスしない
②公式Twitter等からサイトにアクセス
③サイトURLをブックマーク
④複数人のブログからサイトにアクセス
⑤ブックマークのURLと一致しているかを確認
今回フィッシング詐欺の被害者である一夜氏が、詐欺られた後にOpenSea上で取引ができないようにする方法を共有しています。
詳細:https://twitter.com/ichiyaduke23/status/1655564786539659269?s=20
これも被害を事前に防ぐ方法ではありません。対処方法では無いので、私が紹介した方法で詐欺を防ぎましょう。
それでも被害にあってしまったときは、一夜氏が共有した取引ができないように対応するのが良いと思います。
以上です。
次からはおまけ。
4.ありえない危機管理能力の低さ
私は「まだこんな詐欺に引っ掛かってるの?」と思っています。
今年からメタマスクを触り始めた人ならわかりますけどね。
もう一度今回の事例を👇
リンク:https://twitter.com/ichiyaduke23/status/1653933538499252226?s=20
まず、今回の事例はハッキングではありません。ただ意識が低いからフィッシング詐欺に引っかかっただけです。
ハッキング→データを解析して攻撃してくる。原因不明なこともあり、対処不可能な場合がある。
フィッシング詐欺→本物に似せた偽のサイトやメールを送って、IDやパスワードを入力して資産が抜かれる。
ハッキングは相手が攻撃してくる。フィッシング詐欺はこちらから情報を与えてしまう。ここに違いがあります。
ハッキングで原因不明な場合もあります。慣れている人でもやられますね。
原因不明なハッキングの例👇
リンク:https://twitter.com/RoiSarak/status/1648565319978590209?s=20
話を戻しましょう。当記事の冒頭でお伝えした、今回の事例で微妙だなと思う点です。
①会社のPCでウォレット復元
②Google検索で偽URLにアクセス
③拡張機能を追加する前にシードフレーズを入力
④シードフレーズ2回入力
①会社のPCでウォレット復元
会社のPCは会社が管理していますよね。秘密鍵をそんなところに入力して怖さを感じないのだろうか。ここが危機管理能力の低さ。
②Google検索で偽URLにアクセス
これは当記事で初歩的なミスであることを紹介しました。
③拡張機能を追加する前にシードフレーズを入力
なぜ気づかないのかよくわからない。
④シードフレーズ2回入力
最悪ここで気が付きます。ここで「ヤバい!」と気づけば別のウォレットに資産を移せます。
私の見解としては、会社のPCに秘密鍵を入れる時点で「ヤバい!」と気づくのは難しいのかなと思います。
分散管理について
私が最も「危機管理能力が低いな」と思ったのはここ。
大量のNFTを保有していて、資産を分散管理していないことです。
Cryptoの世界では資産を分散管理するのは当たり前です。
ていうか現実世界でも同じことです。
全財産を自分の財布に入れて買い物をしている人がいたらどうでしょう。危ないなぁと思いませんか?
分散管理をしないことは「全財産を1つの財布に入れて飲み会に行くようなもの」と言っている人を聞いたことがあります。
例え方がうまい。
どのように分散管理させるか
これは人によって大きく違います。
最低限分けたほうがいい例はこちら👇
・メインウォレット(基本的な売買)
・フリーミント用ウォレット
・ハードウェアウォレット(保管用)
これは最低限の話です。NFTプロジェクトをやるのであれば、もちろんプロジェクト用のウォレットを作成します。
さらに詳しくウォレットについて知りたい方は、私の記事を参考にしてください。
資産の守り方、ハードウェアウォレットの購入の重要性を解説しています。
参考記事:【資産を守る】セルフカストディとハードウェアウォレットについて解説
5.今回の事例に対する周りの反応の違和感
まずは周囲の反応を見てみましょう。ツイートのリプの一部を載せます。ツイートしているので、名前は隠さないで良いと判断します。
今回の事例は初歩的なミスです。なのに、周囲の人たちは対処方法や危機管理能力についての発信をしません。
「事例の共有ありがとうございます!」「最小限の被害でとりあえずよかったです!」
インフルエンサーも発信しません。こんな事例さんざんあるでしょ。なんで初心者に注意喚起しないのさ。
詐欺の事例の時に、いつも注意喚起をしているインフルエンサーはかねりん氏ぐらいしかいない気がします。
注意喚起していたVoicy👇
https://voicy.jp/channel/2534/522964
現実世界に例えたら、部長が新入社員みたいなミスをうっかりして、周りの人がミスに対して忖度をしているようなイメージ。
そんな中、私と似たような考えを持った方がいました。
リンク:https://twitter.com/mashu_axie/status/1654478933998567424?s=20
もちろん同意です。
リンク:https://twitter.com/aki_039/status/1654514808530833408?s=20
ましゅさんのツイートに対して、別の意見を言っている方も。
リンク:https://twitter.com/nem_crptmama/status/1654505668714397703?s=20
シシーさんの考え方はわかるのですが、詐欺の批判はいつでもされています。もちろん、シシーさんが例に出したレイプも批判の対象です。
今回のフィッシング詐欺の事例に置き換えるのであれば、レイプが多発していて荒れ果てている場所に全裸でうっかり突撃したようなイメージです。
私の論点は「危機管理能力の低さ」です。詐欺が悪いのは当たり前の前提です。
詐欺によってNFTを取られたら周囲に影響を及ぼします。
うっかり「娘」と「娘の友人」を含めた数人でレイプが多発している場所に行き、被害にあったらどうでしょうか。それでも「レイプが悪い」と言いますかね。
まず指摘されるのは「危機管理能力の低さ」ではないでしょうか。
被害が少なくて良かったですね。事例共有ありがとうございます。とだけ言われたら、レイプされた人たちも流石に馬鹿にされていると思うのでは?
詐欺でも同様です。「流石に馬鹿にされているかも」という感覚が無いのであれば、自分の被害を周りに共有して「自分のやるべきことはやった」と勘違いしていると私は思います。
NFTの詐欺だろうがレイプだろうが、新しく″村″に来た人たちに事例の共有だけでは足りないと思うのは私だけでしょうか。
6.終わりに
ここまで読んでくださり、ありがとうございます。
フィッシング詐欺の防ぎ方や、危機管理能力について解説しました。
ツイートで自分の考え方を乗っけるの難しいですよね。ニュアンスがうまく伝わらなかったり、個人批判に聞こえてしまったり。
あくまで事例に対しての考え方なんですけどね。
私の考え方や意図が伝わっていれば嬉しいです。
Twitterでは気になった情報を毎日シェアしています。気まぐれで見に来てください(いいねとか喜びます)。
Twitter :@aki_039
stand.fm:NFT | Web3 @あきラジオ
今回の記事が面白いと思ったら、メルマガをTwitterでシェアしてください!(@aki_039 をメンションしてくださいね)
すぐに反応します。