仮想通貨業界で有名なTwitterアカウントが乗っ取りを受け、フィッシング詐欺に発展する事態が起きています。
本物のアカウントと勘違いしたフォロワーが偽物にアクセスしてしまい、高額NFTを盗まれているのです。
今回の詐欺では、主にエアドロップへの偽装が手口として明かされています。
被害状況を踏まえ、フィッシング詐欺に合わないための対策を確かめましょう。
要点
有名Twitterアカウントを乗っ取るフィッシング詐欺に注意
The Blockでは今回のフィッシング詐欺について、30日にこう報じています。
・この攻撃により、総額90万ドル超の35にわたるNFTが盗まれた。
出典:The Block
このようにフィッシング詐欺によって、高額NFTが盗難を受けています。
フィッシング詐欺とは本物に似た偽物のリンクへユーザーを誘導し、個人情報や資産を盗み取る犯罪です。
仮想通貨やNFTでも、資産を狙う犯罪者が上記のような悪事を働くリスクがあるのです。
以上の事態を防ぐにはフィッシング詐欺の手口を知ったうえで、適切な対策を施しましょう。
対策をしないと本物と偽物の見分けがつかず、偽サイトにうっかりアクセスするおそれがあるからです。
サイバー犯罪対策は国家や企業だけでなく、個人での防衛意識が重要とされます。
フィッシング詐欺の手口とは?
今回のフィッシング詐欺では、NFT「Bored Ape Yacht Club(BAYC)」「Mutant Apes」の制作企業Yuga Labsのリリースが悪用されました。
Yuga Labsは17日に、BAYCやMutant Apes所有者向けに仮想通貨「ApeCoin」のエアドロップをすると明かしています。
エアドロップは仮想通貨の無料配布イベントです。
しかしハッカーが認証済みTwitterアカウントを乗っ取り、ApeCoin公式サイトになりすましたURL拡散に使いました。
何も知らない被害者は、ハッカーが作ったApeCoinの偽サイトを本物と思い込んでアクセスし、フィッシング詐欺に遭ったようです。
偽サイトにアクセスすると、エアドロップ参加フォームに見せかけた申請コントラクトが立ち上がるしくみでした。
さらにNFT未保有でも0.33ETH(約12万円)の支払いで参加できるようにメッセージを送っていたといいます。
偽サイトの申請コントラクトを通して、ハッカーはアクセス者から高額NFTを盗んでいたのです。
このようにハッカーは仮想通貨の偽サイトでユーザーをだまし、高額NFTを奪うという事態を起こしています。
到底許されることではなく、被害者からすればたまったものではありません。
なりすまし系フィッシング詐欺の対策
認証済みTwitterや仮想通貨公式サイトなどと間違えて偽物にアクセスすると、詐欺に引っかかるリスクがあります。
偽サイトに引っかからないための主な対策は以下のとおりです。
・検索からアクセスの場合も、広告として示されているホームページには入らない
・重要情報入力があるページでは、SSL採用を毎回チェック。健全なサイトの入力画面ではSSLと呼ばれる暗号化技術を使っているため。該当の場合、URLのアドレスバーや運営組織名が緑色表示になっていたり、鍵マークがついたりしている
・金融機関やTwitter、公式サイトなどの名義で送られた電子メールでも、通常と違う手順を求められたら応じない。その場合は金融機関のような発信元の公式サイトにアクセスしたり、内容の真偽を問い合わせたりすること
参考:総務省「フィッシング詐欺に注意」
以上の取り組みによって、詐欺のリスクを最小限に抑えられます。
まとめ
Twitterアカウントを乗っ取り、偽サイトに誘導するフィッシング詐欺で、NFTを盗まれる事例が相次いでいます。
今回は仮想通貨のエアドロップを受けられるとして偽サイトを作り、そこにユーザーを誘って詐欺を働いていました。
SNSの偽アカウントや偽サイトの誘導にだまされないためには、検索による正規ルートからのアクセスや、サイトの健全性を示す証拠の確認などが重要です。
今後もNFTや仮想通貨を狙った詐欺が現れるかもしれないので、ぜひ気をつけてください。