暗号資産（仮想通貨）の詐欺に注意！対策方法を知ろう！

登場人物紹介

マイネ
パトナの執事アンドロイド。

パトナ
暗号資産に興味を持ち始めた学生。

ねえ、マイネ。この間ニュースで、暗号資産（仮想通貨）の詐欺っぽいトラブルの見出しを見たんだよね、どんな感じなんだろう？

はい、投資資金をだまし取るものや、秘密鍵などの重要な情報を盗もうとするもの、手数料を要求してくるものなど、様々ございます。

暗号資産（仮想通貨）は利便性が高く、興味深いものですが、その一方で、詐欺などのリスクも無視できない現実がございます。

この機会に、本日は暗号資産（仮想通貨）で使われる詐欺の手口について、一部ではありますが手法と注意点をご説明いたします。

秘密鍵とシードフレーズの重要性

詐欺師たちは、ウォレットにかかわる大事な情報を、言葉巧みに何とかして盗み出そう、聞き出そうとしてきます。

暗号資産（仮想通貨）はデジタルな資産ですので、秘密鍵やシードフレーズという情報の管理がとても大切でございます。

秘密鍵も、シードフレーズも、他人に知られてしまうと、ウォレットにある資産をすべて失う可能性が高く、取り戻すことは非常に困難となるため、あらためて確認してまいりましょう。

秘密鍵って、パスワードみたいなものだったよね？

その通りでございます。ですので、秘密鍵は絶対に人に教えてはいけないのでございます。

加えて、一度作られた秘密鍵は変更できませんので、流出した場合、そのウォレットはいつ資産を盗まれてもおかしくない状態となります。もし資産が残っているなら、ただちに別の安全なウォレットへ移す必要がございます。

そうなんだ……じゃあ、シードフレーズって何？

シードフレーズはウォレットや秘密鍵を復元するために使う情報でございます。こちらはバックアップパスワードのようなもので、12〜24個の英単語の組み合わせで構成されております。

パソコンやスマートフォンの故障・紛失などにより端末の買い替えが必要になった時、単に機種変更をした時、あるいは秘密鍵を紛失した場合など、端末にウォレットと秘密鍵を復元する際はこのシードフレーズを使用します。

シードフレーズを知られると他人の端末でウォレット・秘密鍵を復元できてしまいますので、資産を盗まれる可能性があります。このため、絶対に他人に教えてはいけません。

秘密鍵やシードフレーズの管理については、以前お伝えした通りで、繰り返しとなり恐縮ですが、信頼できるウォレットを使いつつ、災害などに備えた安全な場所で保管することをお勧めいたします。

それくらい大事なんだもんね。忘れないように定期的に確認するよ。

詐欺の代表的な手口と注意点

1）ウォレット接続・トークン承認に潜む詐欺師の罠

詐欺師たちは、暗号資産（仮想通貨）の取引を行うときに、情報を盗み出すための罠を仕掛けていることがございます。

取引の時に、特に注意したいのは、ウォレット接続（Connect Wallet）とトークン承認（Approve）という操作でございます。

これらは、どちらも正規の取引で必要な操作です。だからこそ、詐欺師たちが罠を仕掛けやすいところなのです。

ウォレット接続？トークン承認？？

それって何？別に普通のことっぽいけど、なんで罠になるの？

ごもっともな疑問かと存じます。この二つの簡単な説明と、よくある手口についてご紹介いたします。

なるほど、接続で相手に住所を知らせてあげて、承認でこちらがOKした条件だったら自由に使ってもいいと許可を出してあげる"感じなんだね。

さようでございます。なお、接続の過程で、秘密鍵やシードフレーズ等、その手続きには不要な情報の入力を要求されるようであれば、直ちに手続きを中止してください。

わかった、不要なことを要求されて無いかよく確認するよ。

スマホのアプリをインストールするときの権限許可みたいだね。何が正規の要求なのか、ちゃんと知っておかないといけないのか…。

さようでございます。また、別の手口では、詐欺師は「暗号資産（仮想通貨）の無料配布」や「エアドロップ（条件を満たしたときに、暗号資産（仮想通貨）やNFTなどを無料で配布するイベント）」を装い、トークン承認を求めるものがございます。

トークン承認を許可（署名）する時には
①どのサービス（スマートコントラクトやトークン）に対して、②どんな条件を許可しようとしているのかを、しっかり確認する必要がございます。

スマートコントラクトって、自動販売機の「お金入れてボタン押したら飲み物が出る」みたいに、設定した条件を満たしたら、自動で取引が完了できるプログラム……だよね？そんなに危険かな？

実は、スマートコントラクトで決められる条件は、通貨や金額だけではなく、取引の実行権限にも及ぶのです。自動販売機の例ならば、本来人間がするお金を入れる、ボタンを押すことをスマートコントラクトが実行できるということになりますね。

危険な条件の例を挙げてご説明いたしますと、①どのトークン：ETHに対して、②どこまでの条件：無制限（"Unlimited/without limit/Infinity"など）の金額の送金許可を与えてしまった場合には、詐欺師はそのウォレットにあるETHを全額引き出すことが可能となってしまいます。

この承認の流れで出てくる「無制限」「任意」って、「全部」って意味ってことだよね？そんなむちゃくちゃな内容の承認リクエストがあるんだ？！

その通りでございます。

トークン承認って、一回承認しちゃったら取り消せないの？

承認の解除（Revoke）は、ガス代はかかってしまいますがいつでも可能です。しかし、解除しても盗まれた資金は返ってきません。
承認を行う際には、慎重に内容を確認したうえで、要求してきた相手に与える権限は必要最低限に留めるようになさってください。

なお、正規の取引で一度承認したものでも、長期間使っていないサービスのトークン承認は定期的に確認し、解除した方がよろしいでしょう。
正規取引を行った後、相手方がハッキング被害を受けた場合に、自分のウォレット内の全額を抜き出されてしまうケースもございますので、不要になった承認はこまめに解除することで、不正な取引を防ぐことができます。

気が付かないうちに盗まれてしまう可能性もあるなんて怖いなぁ……騙されないためにはどうすればいいんだろう？

はい。以下のことをご確認くださいませ。

また、操作時には、画面の案内や他人の指示にすすめられるままにボタンを押すのではなく、なにとぞご自身で内容をしっかりと確認のうえ実行してください。

暗号資産（仮想通貨）の世界で良く用いられる、「Don't Trust. Verify.」という標語がございます。「信用するな。検証せよ。」と言った意味でございますね。これは、問題がないか自分で検証するよう促す言葉です。

ご家族や信頼のおけるご友人が勧めてくれたトークンであっても、そのお相手も詐欺師に騙されていないとも限りません。よく分からないものを、分からないままに取引することのないようにしてください。

2) 偽サイト・フィッシング対策

取引所やウォレットサイトを利用する際は、偽サイトにも注意する必要があります。偽サイトには、先ほど上げたような接続や承認の罠が仕掛けられております。

近年は特に、本物のサイトそっくりに作られた偽サイトがございます。 このような偽サイトに誘導して、ログイン情報やシードフレーズ等を盗み取る詐欺手口をのことをフィッシング詐欺と呼びます。

パトナ様、こちらのサイトをご覧ください。

うん？こっちは僕が使ってる銀行サイトで、こっちは通販サイトのログインページだよね？

いいえ。残念なことに、どちらも偽サイトでございます。

えっ？！全然わからないや！

はい、注意深く見ないと分からないくらい、非常に巧妙化しておりますので、ここからは対策についていくつかご紹介いたします。

偽サイトを避けるための基本対策

このような精巧な偽サイトを見抜くために確認するものは「ドメイン名」という情報です。

ドメイン名って、何なの？

サイトのURLの先頭部分でございます。例えば――

この場合、ドメイン名はすべて「example.com」でございます。

example.comが公式サイトのドメインならば、以下のような場合は偽サイトを疑うべきです。

なるほど、よく見ないと間違えちゃいそう。ぱっと見の印象じゃなくて、細かい文字まで注意しないといけないんだね。

はい、パトナ様。詐欺師は利用者の油断を狙っておりますので、偽サイトへ誘導されないよう対策が重要です。

公式サイトをブックマークしておき、以降はご自身のブックマークからサイトを訪問することをおすすめいたします。

誘導って、キャッチセールスじゃあるまいし、インターネット上でどこかへ連れていかれるようなことなんてある？

ございますよ。例えば、迷惑メール/フィッシングメールは、「以下公式リンクよりご登録情報の更新を行ってください。」「以下ヘアクセスの上、取引確認にご協力をお願い致します。」などと、メール内のリンクを押させようと、言葉巧みに誘導してきます。

もし、このような不審なメールのリンクにアクセスしてしまうと、そのままフィッシングサイトに移動してしまうと考えられ、非常に危険でございます。

ああ、そのリンク先が本物そっくりなサイトだったら、危なすぎるね……！

さようでございます。ですが、正規サイトと勘違いして偽サイトにアクセスしてしまったとしても、普段お使いのパスワードマネージャーの挙動を確認すれば、偽サイトへのログインを防げる可能性もございます。

へー！パスワードマネージャーって何なの？

パスワードマネージャーとは、複数のサイトのログイン情報を安全に管理し、ログイン画面などで情報を自動入力してくれる仕組みでございます。スマートフォンやブラウザに搭載されている機能や、専用アプリがございます。

あ～アレか。最近は難しいパスワードを自動で考えてくれて、入力も自動でしてくれるから、僕は頼りにしてるかな。

はい、便利な機能でございますね。パスワードマネージャーにも、サービスごとに安全性が異なるなどの問題はありますが、詐欺サイト対策では有利に働くケースがあります。

正規サイトなら、登録済みの情報が自動で入力されたり候補が表示されますが、偽サイトではドメインが違うため、ログインページにアクセスした時点で自動入力されていなかったり、ログインIDやパスワードが候補として表示されないのです。

なるほど。じゃあ、いつも自動でログインできるのに、今日はできないって時は…？

はい、その場合は偽サイトの可能性がございますので、落ち着いてドメインを確認いたしましょう。

公式サイトではなかったときは、現在の画面を終了してから、自分で新しくWeb画面を開きなおして、改めてブックマークから公式サイトへアクセスするようになさってください。

メールで受け取ったURLから設定変更をする場合など、ブックマークからアクセスせずに手続きする時は、"慣れ"による確認の省略が非常に危険です。

リンクURLから移動した先が巧妙な偽サイトである可能性も考慮して、いつも通りだと思っても、ドメインの確認と要求内容の確認を省略することのないよう、ご注意くださいませ。

さて、ここまででご紹介した、偽サイトを避けるためのポイントをおさらいいたしましょう。

なお、ここでは紹介しきれなかったものもございます。基本的な見分け方は、公的機関のガイドも参考になりますので、一度ご覧になってみてください。

暗号資産（仮想通貨）の取引では、特に、ウォレットやDeFi、NFT関連などのサイト利用時には注意を払いましょう。

そして、メールの送信者が公式か偽物か区別がつかない場合は、メールやDMなどで送られてきたログインリンク等は使用しないようにしてください。また、偽のSNSアカウントも多く存在しますので、情報の発信源はよくお確かめください。

たしかに…急いでるとリンクをそのまま押しちゃう。ブックマークから入る癖をつけようかな。

3) 不審な暗号資産（仮想通貨）の入金

少し意外に思われるかもしれませんが、不審な暗号資産（仮想通貨）やトークンの入金についても注意が必要となります。

ある日突然、聞いたこともない暗号資産（仮想通貨）やトークンがウォレットに入ってくるケースがあるかもしれません。

しかし、このような不審な暗号資産（仮想通貨）などは、触らず放置するのが安全でございます。そして、ウォレット残高から不審な通貨を非表示にしておくとさらによろしいでしょう。

え、タダで貰えるならラッキーなんじゃないの？無料でもらえるのに、なんで危ないの？

例えば、パトナ様がその暗号資産を日本円に換金したい場合は、基本的には「その通貨などを扱っている取引所」を使う必要がございますね？

うん、そうだよね。でも、聞いたことない暗号資産（仮想通貨）ってことは、普通の取引所じゃ換金できなさそうだね。

取り扱ってるところを探して、新しく口座を開設して――あっ、もしその通貨が無名すぎて、取り扱ってるところが1つしかなかったら……？

ご明察でございます。一般的に取引所で口座を作る・取引や送金を行うために、個人情報を提出するのは、特段おかしなことではございませんが、

もし、その唯一の取引所が詐欺師の用意したものであれば、パトナ様の個人情報をみすみす詐欺師に渡してしまうことに繋がります。

え～普通に騙されそうだな。でも、その変な通貨を置いておいたままだと、何か悪いことが起きたりしない？

置いておくだけならば、勝手に通貨やトークンを移動されるような被害は起こりません。

ただし、不審な入金とあわせて、トークン承認のリクエストがあった場合には、罠が仕込まれていると思われますので、承認せず必ず拒否するようにしてください。

え～。じゃあいらないよ。捨てられないの？

残念ですが、不審な入金があっても、そのまま保有しておくほうがよろしいでしょう。

おすすめできませんが、誰も使えないアドレスに送ることで、実質的に自分のウォレットから捨てることができる可能性がございます。

しかし、こういった詐欺手口では、その不審な通貨やトークンの移動機能がブロックされていて、特定の方法でしか移動できない仕組みになっているものもございますので、

何とかして処分しようとすると、さらに騙される、あるいは操作中にミスをするなどの新しいリスクが生じる懸念があります。また、廃棄先とする別のウォレットに送るときにはガス代も発生します。

ですので、代替手段ですが、不審な通貨は発見次第、ウォレット残高から非表示にしておくのがよろしいかと存じます。「タダより高いものはない」と心得ていただければ幸いです。

盗まれたら取り戻しづらい理由

それにしても、暗号資産（仮想通貨）の便利な特徴を悪用した詐欺まであるなんて、注意しなきゃいけないポイントが増えて大変だなぁ……。

けど前に、取引の透明性が高いのも、ブロックチェーンの特徴だって言ってなかった？取引履歴で資産が移動した先のウォレットアドレスが分かるんだったら、詐欺に遭っても取り戻せるんじゃないの？

あいにくながら、返金はほとんど期待できないでしょう。

えー！どうして？

おっしゃる通り、取引の透明性は高いのですが、特にノンカストディアルウォレット（自己管理型ウォレット）では、詐欺に使われたウォレットと、そのウォレット管理者の個人情報の紐付けは難しいことが多いのが、ひとつの大きなカベとなります。

一般の利用者にとっても、匿名性が高いことはメリットでございますが、残念なことに、詐欺師はそれを悪用するのです。

なんだそれ、許せないな！

さらに、暗号資産（仮想通貨）の持つ「簡単に国境のカベを越えて利用できる」という特性上、加害者が国外にいる可能性もじゅうぶんに考えられます。

加害者が国外にいるケースでは、捜査にも国際的な連携が必要ですし、司法の面でも各国異なる点がございますので、より複雑になる場合があるでしょう。

えぇ……じゃあ、万が一詐欺に遭っちゃったら、どうしたらいい？

詐欺被害に遭われた場合は、速やかに警察相談専用電話 #9110または最寄りの警察署にご相談ください。

また、取引所などのパスワードの流出なども疑われる場合などは、必要に応じてご利用の取引所にも連絡を取りましょう。

なるほど。まずは警察に相談だね。

被害が起こってからじゃ資産を取り戻すのはすごく難しいんだね。やっぱり予防が一番大事ってことか。

その通りです。秘密鍵やシードフレーズの管理、承認画面の確認、公式サイトの利用など、日頃から注意を怠らないことが最も重要なことでございます。

まとめ：安全に使うためのポイント

ここまでの内容を、安全に暗号資産を使うための6つのポイントとしてまとめます。

わかった。一見当たり前のことだけど、毎回ちゃんと気を付けるよ。

最後に

本日もご覧いただき、誠にありがとうございました。

次回もパトナ様とともに、皆様のお役に立てる情報を丁寧にお届けいたします。失礼いたします。