blockchainjapan’s blog

旬のブロックチェーンを記事を厳選して提供!

暗号セキュリティの7つの基本ルール


暗号セキュリティの7つの基本ルール

Alice Orlova

Pontem Networkの各コンテンツはこちら

数日おきに、詐欺にあったり、お金を失ったPontemユーザーからメッセージが届きます。このような状況の99%は、基本的なルールに従えば、簡単に回避することができるものです。これらのルールを把握することで被害を減らせることを願っています。

ルール1:シードフレーズを誰にも渡さない

暗号分野には残念ながら多くの詐欺師が潜んでいます。彼らは実際のモデレーターやチームメンバーを装って、あなたを騙してシードフレーズや秘密鍵を聞き出すために、あらゆる手段をとります。実際、Pontemのコンテンツ上でも、毎日何十人もの偽管理者を追放しています。

最も一般的なスキームは、サポートチャットでメッセージを投稿した後にDMが送られてくるパターンです。管理者と同じ名前とプロフィール画像を持つ人物、または「Pontem Network Support」のような名前を使って、問題解決の手助けをすると申し出てきます。これは典型的な詐欺です。

その人物からの指示(例えば「認証」)は、絶対に従わないでください。リンクはクリックせず、送られてきたファイルもダウンロードしないでください。

チームメンバー/管理者が、そのような形でコミュニティメンバーにDMを送ることはありません。

スキャマーの典型例
スキャマーの典型例
スキャマーの典型例

別の実例:あるユーザーは、ウォレットのNFTの表示に関する問題をソーシャルメディア上で報告しました。詐欺師はすぐに連絡をとり、別のチャットで「一時的な検証」に協力することを提案しました。幸いこのユーザーはこれに引っかかりませんでした。

あなたの問題やトラブルに共感し、問題の解決に向けて助けてくれる「善意ある」ユーザーを信用してはいけません。これもソーシャルエンジニアリングの手法の一つです。

ルール2:フィッシングに注意

フィッシングとは、詐欺師が正規の組織になりすまして、機密データにアクセスしようとする手口です。これは、偽のURLを使用することで発生し、正しいサイトであるように見せかけることで被害者をだまします。

  1. ウェブサイトやdApp側が「高利回り」や「DeFi投資」の提供を約束し、秘密鍵ニーモニックを入力するよう求めてきたら、それは詐欺です。正当なdAppやDeFiプロトコルでは、絶対にあなたのシードフレーズを知る必要はありません。それを入力した途端、あなたの資金は消えてしまいます。
  1. 特にGoogle検索のトップに出てきがちなスポンサー付き広告は、フィッシングサイトにつながることが多いので、クリックしないようにしましょう。

詐欺師は、本物のウォレットやプロトコルとほぼ同じアドレスのウェブサイトを作成し、その広告を掲載してGoogleの検索結果の上位に表示させることがよくあります。この例では、偽サイトはphanton.app、本サイトはphantom.appと、たった1文字の違いしかありません。

詐欺師は、ユーザーがスポンサー付きの結果をクリックし、アドレスを確認することなく、そのシードフレーズを使用して既存のウォレットをインポートしようとすることを期待しています。

Credit: Thor Hartvigsen
アドレスが「tinyman」ではなく「tyniman」になっている-Credit: @angry_penguins1

アドレスが正しいかどうか、常に一文字一文字までダブルチェックしましょう。l “を “i “に置き換えるようなトリックが良くあります。プロジェクトの公式TwitterページやDiscordにあるリンクを使って、ウェブサイトにアクセスするのがベターです。

フィッシングメールの見分け方

Pontem、MetaMask、またはその他の主要プロジェクトの本物のチームは、あなたの資金が危険にさらされている、またはKYCを通過する必要がある、などというメールを送ってくることはありません。これらは、あなたのシードフレーズを入力させようとする詐欺師です。

Pontem Walletを作成する際にあなたのメールアドレスを収集することはないのに、どうやってあなたにメールを送ることができるでしょうか?このような詐欺メールが送られてきたらプロジェクトチームに報告してください。

ルール3:エアドロップオファーは詐欺の可能性が高い

偽のエアドロップは、最も一般的な暗号詐欺手法です。偽のエアドロップは、プロジェクトの実際のサイトとほぼ一致するアドレスで、完全に合法的に見えるウェブサイトを用意しています。

あなたはエアドロップを「要求」したり、ウォレットを「確認」するために取引に署名するよう促されます。しかし、あなたが実際に署名するのは、あなたの暗号を詐欺師の財布に送るための一連のトランザクション、資産を抜き取られることになります。

これは、Topaz市場になりすました詐欺の「Mystery Box」ミントの最近の例です。デザインは本物のTopazからコピーされていますが、詐欺サイトのアドレスは異なっています。

経験豊富な投資家やNFTコレクターでさえ、よく引っかかります。

例えば、Moonbirdsの創設者Kevin Roseは最近、100万ドル相当のNFT40枚を失いました。彼はNFTを請求するはずの取引にサインしたのですが、それが詐欺で、ウォレットから全てのNFTとトークンを奪われてしまったのです。

ちなみに、エアドロップが公式ツイッターや公式Discord/Telegramに投稿されているからといって、それが本物であるとは限りません。詐欺師はしばしばプロジェクトのソーシャルメディアアカウントを悪用する場合があります。

  • Pontemトークンはまだ存在しませんし、現状ではPontemやPONTトークンのエアドロップは計画もありません。
  • Aptosは、APTのエアドロップを実行していません。
  • LayerZeroトークンやLayerZeroのエアドロップはありません。
  • PontemがNFTミントを実行する場合はTopazで行われ、「Pontem NFT airdrops」もありません。
  • 違ったチェーンで行われるトークンのエアドロップは、ほぼ間違いなく詐欺です。IDOも同様です。詐欺師は特にBNBチェーン(BSC)で「IDO」や「エアドロップ」を仕掛けるのを好みます。BSCにはすでに偽のPONTトークンがあり、そのうちの1つはCoinMarketCapに掲載されているほどです。
  • Aptos、Pontem、LayerZeroのエアドロップを宣伝している人は、詐欺師です。彼らはボットにさえ変装して、悪意のあるエアドロップのリンクがついた「自動的な」メッセージを投稿しています。
Pontemの管理者が禁止した偽プロフィール

疑わしい場合はPontemの公式テレグラムチャットスクリーンショットを投稿してください。モデレーターがそのグループやプロフィールが本物か詐欺師かを教えてくれます。

偽のTelegram/Discord/Twitterアカウントとグループに注意

プロジェクトのウェブサイトにある公式リンクを使って、TelegramとDiscordのグループにのみ参加するようにしてください。

TelegramやTwitterでプロジェクト名を検索しないでください。詐欺師は、公式デザインをコピーし、よく似た名前のグループを作成します。たとえば、pontemnetworkchatではなく、「pontemmetworkchat」または「PontemNetworkCommunity」です。

これらはすべて偽物です

このような偽グループは通常、ユーザーを誘い込んで自分のシード(ニーモニック)や秘密鍵を開示させようとしたり、悪意のある「エアドロップ」に参加させようとしたりします。彼らは何千人ものユーザー(ほとんどがボット)を抱えていることもあり、グループの規模は正当性の証にはなりません。

偽のエアドロップを宣伝する偽の「Pontem Network」グループ

ルール5:公式アカウントもハッキングされる可能性がある

プロジェクトのTwitter、Discord、Telegramのアカウントはハッキングされた場合、詐欺のメッセージを投稿することができます。

例えば、同じ詐欺師が最近、AzukiChimpersMutant Houndsという人気のあるNFTプロジェクトの公式Twitterハッキングに成功しました。Azukiの場合、詐欺師は、ユーザーがAzukiに関連する「仮想の土地を購入」できる偽のウェブサイトへのリンクを投稿しました。言うまでもなく、ユーザーがMetaMaskの「ミント」トランザクションを承認するとすぐに、彼らの暗号とNFTは奪われてしまいました。

ハッカーによる公式ツイッターで宣伝された偽のAzukiランドミント

一般的に、エアドロップを扱う場合、請求する前にすべてをトリプルチェックすることが重要です。エアドロップは公式サイト、Discord、Twitter、Telegramで確認されていますか?公式アカウントがハッキングされたとの報告はないか?一旦調べて、少しでも疑わしい点があれば、手を出さないようにしましょう。

ルール6:信頼できない.exeファイルをダウンロードしない

これは、あなたのコンピューターにウイルスをインストールする典型的な方法です。暗号分野にもトロイの木馬ウイルスの手口が存在し、MetaMaskのシードフレーズ、パスワード、秘密鍵をあなたのマシンから探しだして、それを使ってウォレットから資産を抜きとってしまいます。これが実行されるためには.exe ファイルをクリックする必要すらなく、 ダウンロードするだけで十分に機能してしまいます。

詐欺師は、感染した.exeファイルをダウンロードさせるために、多くのフィッシング技術を使用します。例えば、人のメールをハッキングして、その人のすべての連絡先にウイルス付きの電子メールを送り始めることがよくあります。あるいは、あなたがフリーランサーであれば、潜在的なクライアントを装うこともあります。

デジタルアーティストのJosh Chavezがそうでした。彼は、InstagramのDMで「ミュージシャン」(実際は詐欺師)から、ある曲のカバーアートに関する案件を持ちかけられたのです。この詐欺師は、Chavezに曲のMP3をメールで送り、背景情報を記載したPDFファイルへのリンクを添付しました。この「PDF」は、実際には.exeというファイルタイプで、Chavezはダウンロードした後で気づきました。このファイルは自己実行され、Chavezの財布はすぐに空っぽになってしまいました。

Credit: Josh Chavez (@tropicalratchet)

ルール7:ブラウザの拡張機能、ウォレットアプリに要注意

偽物のウォレットも、よく見かけます。例えば、Android向けのiOS用ウォレットアプリ「Pontem Wallet」のリリースが期待される中、詐欺師たちは偽物を作り上げ、ウォレットをインポートしようとするあなたのシードフレーズを盗み出すのです。

以下は、Telegram上のユーザーによって報告されたAndroid用Pontem Walletの偽物の例です。

ウォレットがモバイルで利用可能かどうかを知りたい場合、アプリストアの直接検索やGoogle検索は偽物が出るので使わないようにしましょう。公式グループで質問したり、公式Twitterで告知を見たりしてください。もし偽物のアプリに遭遇したら、正しい行動をとりましょう。

ルール8:不正なウォレットを使用しない

詐欺サイトやハッキングされたプロトコルとやり取りしたことに気づいたら、直ぐに別のシードフレーズで新しいウォレットを作りましょう。そして、全ての資産(NFTを含む)を古いウォレットから新しいウォレットに移動してください。漏洩したウォレットは絶対に使用しないでください。

ここに記載されていない詐欺の被害に遭ったことがある場合はTelegram、Discord、Twitterでお知らせください。あなたのレポートをAptosのセキュリティに関するこのガイドに追加します。潜在的な詐欺に関する懸念をPontemチームと共有していただければ、私たちがお手伝いします


Pontem Networkについて

Pontem Networkは、Aptosの基盤となるdAppsの最初のスイートを構築しているプロダクトスタジオです。Aptosチームと共に、世界中の最初の10億人のブロックチェーンユーザーのためのエコシステムを構築しています。

Pontemの製品は以下の通りです:

  • Pontem Wallet:ネイティブのdAppsを統合した初のAptosウォレットで、現在20万以上のインストールを記録
  • Liquidswap:10万人以上のユーザーと1日最大100万ドルの取引量を誇るDEX
  • ByteBabel:SolidityからMoveへのバイトコードトランスパイラ
  • Move Code Playground:初のMove用ブラウザコードエディタ

Pontem Networkの各コンテンツはこちら