NFTマーケットプレイス「OpenSea」で発生したフィッシング詐欺の手口、注意点について解説

今回は、OpenSeaで発生したフィッシング詐欺について、大手仮想通貨取引所トレーダーとしての勤務経験を持ち現在では仮想通貨コンテンツの提供事業を執り行う中島 翔 氏(Twitter : @sweetstrader3 / Instagram : @fukuokasho12)に解説していただきました。

目次

  1. OpenSeaとは?
    1-1.OpenSeaの概要
    1-2.OpenSeaの取扱商品

  2. OpenSeaで発生したフィッシング詐欺
    2-1.フィッシング詐欺とは?
    2-2.OpenSeaにおけるフィッシング詐欺の手口
  3. フィッシング詐欺にあわないための注意点
    3-1.アドレスやURLが正しいか確認
    3-2.SSL通信の提供があるか確認
    3-3.二段階認証等の設定
    3-4.不審な要求をされた際は運営側に確認
  4. まとめ

22年2月、NFTマーケットプレイス最大手の「OpenSea」が、ユーザーを狙ったフィッシング詐欺により総額3.6億円(300万ドル)相当ものNFTが不正流出したことを公表しました。NFT市場は急成長していますが、ユーザーを狙った詐欺も増加している状況です。自分の資産は自分で守る術を持つ意識が重要となっています。ここではOpenSeaで発生したフィッシング詐欺について学び、注意すべきポイントについて解説します。

①OpenSeaとは?

1-1. OpenSeaの概要

OpenSeaとはNFTを取り扱う最大手のマーケットプレイスです。あるレポートによると、2021年における取引量のうち、96%にあたる125億ドルがOpenSeaによって生み出されたものであることが報告されています。OpenSeaは、GoogleやPinterestで経験を積んだDevin Finzer氏と、Apple出身のAlex Atallah氏により、17年12月にニューヨークで設立されました。

NFT(Non Fungible Token:ノンファンジブルトークン)はブロックチェーン上で発行される仮想通貨の一種です。日本語で「非代替性トークン」と訳されます。仮想通貨と大きく異なる点は、NFTには唯一性があり、他のものに置き換えることができないことです。NFTはこの性質を活用し、これまではコピーなどが可能だったデジタルコンテンツに希少性(レアリティ)を付与しました。

現在、希少価値の高いNFTはOpenseaで数千万円もの高値で取引されており、一大市場となっています。なお、Openseaで取引を行う際には、基本的にイーサリアムのトークン規格(ERC-721、ERC-1155)で発行された仮想通貨が使用されます。

【関連記事】:NFTマーケットプレイスの大御所、OpenSeaとは?

1-2. OpenSeaの取扱商品

OpenSeaで取り扱われているNFT商品のジャンルは多岐にわたり、下記9種類のカテゴリーに分類されています。

  • クリプトアート
  • デジタルコレクション
  • ドメイン名
  • 音楽
  • 写真
  • スポーツ
  • トレーディングカード
  • ユーティリティ
  • バーチャルワールド

②OpenSeaで発生したフィッシング詐欺

次に、OpenSeaで発生したフィッシング詐欺について、解説します。

2-1. フィッシング詐欺とは?

フィッシング詐欺とは、実在するサービスまたは企業などになりすまして電子メールなどを送り、不正なリンクをクリックさせて偽サイトに誘導し、ユーザーのログイン情報などを盗み出す手口です。「phishing(フィッシング)」とは、「fishing(魚釣り)」に由来する造語です。さながら魚をエサで釣り上げるように、偽サイトや電子メールでユーザーをだまして不正なサイトにアクセスさせ、パスワードなどの情報を盗みます。

フィッシング詐欺は仮想通貨業界のみならず、従来のインターネット全般で問題視されてきた犯罪行為です。インターネットが広く普及している現在、その被害はますます拡大しており、事前知識と適切な対応が必要となっています。

2-2. OpenSeaにおけるフィッシング詐欺の手口

22年2月、OpenSeaは、ユーザーを狙ったフィッシング詐欺により、合計32件のユーザーアカウントから総額3.6億円以上(300万ドル)に相当するNFTが不正流出したことを公表しました。

_wexal_pst.en.js[‘f230′]={url:’https://platform.twitter.com/widgets.js’,c:230}

盗まれたNFTには、世界的に人気の高い「Bored Ape Yacht Club(BAYC)」や「Cool Cats」、「Doodles」、「Azuki」が含まれていました。高価なNFTコレクションを保有するユーザーが狙われた模様です。

OpenSeaは事前にスマートコントラクトをアップグレードすることをユーザーに告知していました。そして、攻撃者はこれを利用し、OpenSeaを偽装した偽メールをユーザーに送付して不正なリンクを踏ませて誘導しました。

phishing-email

不正なサイトに誘導し、被害者に不正なコントラクトに署名するように促した格好です。署名トランザクションにより、攻撃者はNFTの転送を実行可能になり、その結果、NFTの所有権が攻撃者に渡されました。

Open sea

2月20日時点で、犯人は不正流出したNFTによって170万ドル(約2億円)もの利益を得ていると報告されています。

③フィッシング詐欺にあわないための注意点

次に、フィッシング詐欺にあわないための注意点について、解説します。

3-1. アドレスやURLが正しいか確認

まずは、電子メールアドレスや差出人名、記載されているウェブサイトのURLが正しいかどうかしっかりと確認することが重要です。

不正アクセスを促すメールの場合、数字の「0」とローマ字の「O」といった似ている文字が使用されているケースがあります。しかし、それらを一つ一つ見極めるのは困難です。公式ウェブサイトをあらかじめブックマークに登録しておき、疑わしいメールに記載されたURLから直接アクセスしないことが大切です。

3-2. SSL通信の提供があるか確認

SSL(Secure Sockets Layer)通信とは、インターネット上における通信を暗号化する技術で、個人情報が盗まれたり改ざんされることを防ぎます。

通常、個人情報を入力するページはSSL通信が組み込まれ、アドレスバーに鍵マークが表示されます。これが表示されない場合、個人情報がそのまま抜き取られてしまう可能性があるため、注意が必要です。

3-3. 二段階認証等の設定

二段階認証とは、ログイン時にIDやパスワード以外にセキュリティコードを入力させる仕組みです。仮にパスワードが漏れたとしても、不正なアクセスを防ぐことができます。

現在多くの仮想通貨取引所やNFTマーケットプレイスでは、二段階認証の設定が可能です。

3-4. 不審な要求をされた際は運営側に確認

通常とは異なる手順でIDやパスワードなどの個人情報を要求された場合、詐欺の可能性が高いため注意が必要です。このような場合は、必ずメール内のURLではなく、正規のウェブサイトから公式サポートデスクに連絡し、確認するようにしましょう。

3-5. IDやパスワードの使い回しをしない

同じIDやパスワードを複数の異なるオンラインサービスなどで利用していると、一度個人情報が盗まれた場合、犯人はその他全てのオンラインサービスにアクセス可能となり、被害が大きくなる可能性があります。被害を最小限に抑えるためにも、それぞれのオンラインサービスで異なるIDやパスワードを設定し、使いまわしをしないようにしましょう。

④まとめ

今回の詐欺はOpenSea内部のシステムではなく、外部リンクが原因で発生したものであるとしていますが、OpenSeaは被害に遭ったユーザーと話し合いの場を設け、積極的にサポートを行っていくということです。

フィッシング詐欺の手口は単純ながら、その被害はますます拡大しているため、NFTや仮想通貨取引が一気に増加している今、もう一度自身の安全対策を見直す必要がありそうです。

Coincheckなどの国内取引所では、二段階認証、SSL通信、マルチシグといった強固なセキュリティ対策を講じており、比較的安心して利用できるため、NFTや仮想通貨取引に興味のある方はまずは口座開設から始めてみてもいいかもしれません。

The post NFTマーケットプレイス「OpenSea」で発生したフィッシング詐欺の手口、注意点について解説 first appeared on 金融・投資メディアHEDGE GUIDE.

Source: 仮想通貨の最新情報BTCN | ビットコインニュース
NFTマーケットプレイス「OpenSea」で発生したフィッシング詐欺の手口、注意点について解説