MetaMaskユーザーを狙ったフィッシング詐欺
MetaMaskユーザーは、セキュリティ向上を装った新たな「2FA認証」フィッシング詐欺のリスクにさらされています。ブロックチェーンセキュリティ企業のSlowMistによると、MetaMaskユーザーは二要素認証を有効にするよう促す偽の緊急感を生み出すスプーフィングメールを受け取っています。
詐欺の手口
このメッセージはMetaMaskのブランドを使用しており、一見すると信じられるように見えます。特に、悪意のある通知者はカウントダウンタイマーを付けており、ユーザーにプレッシャーをかけ、迅速な反応を強要しようとします。
「今すぐ2FAを有効にする」ボタンをクリックすると、ユーザーは攻撃者がホストする偽のページにリダイレクトされます。
しかし、実際にはこのプロセス全体が詐欺です。主な目的は、MetaMaskユーザーを騙してニーモニックフレーズを入力させることで、攻撃者はそれを使用してユーザーのウォレットから資金にアクセスし、転送することができます。
詐欺を見抜く手がかり
一見すると、注意を怠ったユーザーがこのスキームに引っかかる可能性がありますが、スプーフィングメールには詐欺を見抜く手助けとなるいくつかの手がかりが含まれています。たとえば、このようなフィッシングメッセージには微妙な誤字やデザインの不一致が含まれていることが多く、真の性質を明らかにします。
この場合、MetaMaskユーザーがリダイレクトされたURLは「metamask」ではなく「mertamask」と綴られていました。
場合によっては、これらのメールは全く無関係なメールアカウントから送信されるか、Gmailのような公共のドメインを使用したアドレスから送信されます。最後に、MetaMaskはユーザーにアカウントの確認やセキュリティ更新を求める未承諾のメールを送信しないことを覚えておくことが重要です。そのようなリクエストは通常、詐欺です。
関連する攻撃と影響
先週末、サイバーセキュリティ研究者のVladimir S.は、偽のMetaMaskアプリの更新を促す類似のキャンペーンを指摘しました。これは、進行中のウォレット排出エクスプロイトに関連していると考えられています。オンチェーンのスルースによると、今回の事件はウォレットごとに2,000ドル未満の損失をもたらしましたが、複数のEVM互換ネットワークにわたる広範なユーザーに影響を及ぼしました。
しかし、これらの二つのキャンペーンが確実に関連しているかどうかは確認されていません。この事件は、クリスマスの日に発生したTrust Walletのハッキングとも関連付けられており、損失は約700万ドルに達しました。攻撃者はウォレットのブラウザ拡張機能のソースコードにアクセスし、Chrome Web Storeに悪意のあるバージョンの拡張機能をアップロードしました。Trust Walletは、事件の影響を受けたすべてのユーザーに補償することを約束しています。
他の詐欺の警告
別の話として、Cardanoユーザーにも詐欺的なEternl Desktopアプリケーションを宣伝するメールが流通しているという異なる進行中の攻撃について警告が出されています。これらの出来事が2週間以内に発生しているにもかかわらず、最近のScam Snifferの報告によると、2025年の暗号フィッシングキャンペーンからの総損失は前年から約88%減少しました。
