Discordでの仮想通貨詐欺:詐欺師たちの逆襲

利用者の多いDiscordの暗号資産(仮想通貨)関連コミュニティに属する人々を狙った、新手の詐欺。

偽の仮想取引所に関わる詐欺偽のニュースサイトを使った詐欺と、Discordを通じて展開される最近の暗号資産(仮想通貨)詐欺についてお伝えしてきましたが、当社ではまた新手の活動を発見しました。今回は、偽のDEXを使用した手口です。

取引所の種類:CEXとDEX

まずは、DEXというものについて説明しましょう。仮想通貨の取引所には2つのタイプがあります。中央で管理される「CEX(Centralized Exchange)」と、中央の管理者のいない「DEX(Decentralized Exchange)」です。後者は日本語にすると「分散型取引所」です。

CEXの場合、クライアントが取引所に送金すると資金はウォレットに移され、ウォレットの秘密鍵は取引所のプラットフォーム上に保管されます。結果的に、取引所のオペレーターはセキュリティの責任を負うことになります。CEXは特定の組織に属し、CEXを利用するに当たってはマネーロンダリング防止のために本人確認としてKnow Your Customer(KYC)の手続きが求められます。このような取引所は一般的に利便性が高く信頼できますが、人によっては、資金を取引所に送金しなければならないことや確認作業中にアカウントが凍結される可能性があることをいやがるかもしれません。

DEXの場合は、ただ売り手と買い手の中間に位置するだけです。トレーダーは 任意のウォレットを使用でき、秘密鍵を送信する必要はありません。DEXは特定の組織によって所有されていないことが多く、顧客の本人確認は必ずしも必要ではなく、違法な取引を停止するための投資が行われていないのが普通です。

分散型の方法は、より高い匿名性が得られます。さらに、DEXは費用が安いことが多く、最近多くの仮想通貨トレーダーを引きつけている理由はそこにあるのかもしれません。

分散型であるということは、利用者にとってセキュリティ上の懸念が増えるということでもあります。これに加え、最近は「Uniswap」というDEXに見せかけたフィッシングサイトが登場しています。

DEXの顧客はいかにしてだまされるのか

標的となった人々(Discordで仮想通貨関連サーバーを利用している人たち)の元には、UniswapというDEXから届いたように見えるダイレクトメッセージが届きます。内容は、トークンを無料で手に入れることができるという、いわゆる「エアドロップ」と呼ばれるキャンペーンについてです。エアドロップは、新しい通貨のプロモーションとして実施されることが多いのですが、顧客ロイヤルティのために実施されることもあれば、SNSにリポストするなど何らかのアクションの見返りに提供されることもあります。このようなトークンのプレゼントは「ヘリコプターマネー」とも呼ばれます。

このフィッシングメッセージには、いくつかの仮想通貨サービスがキャンペーンを開始した、あなたがこのメッセージを受け取ったのはラッキーにもトークン受け取りの対象になったからだ、という内容が書かれています。もらえるコインは何とEthereumが2.5 ETH、そしてZKSwapが25,000 ZKS。この記事を執筆している時点の相場で7.5万ドル(80万円強)相当です。

偽取引所からの詐欺メッセージ。ヘリコプターマネーをETHとZKSで受け取れるという内容

偽取引所からの詐欺メッセージ。ヘリコプターマネーをETHとZKSで受け取れるという内容

異常な気前の良さを無視すれば、このメッセージはそれなりにもっともらしく見えます。文章表現は洗練されていませんが間違いだらけではありませんし、絵文字の使い方も妥当で、名前の挙がっている取引所の中には評判の良い取引所もあります。しかも、コイン受け取りに関するもっともらしい要件も提示されています。

トークン受け取り用Webサイトへのリンクが短縮URLなのは、疑念を抱かせるかもしれません。しかし、「t.co」「bit.ly」といった短縮URLはすっかりおなじみになっているので、疑う人は多くないでしょう。

このリンクをクリックすると、UniswapのWebサイトによく似たサイトが開きます。Uniswapはかなり名の知られた取引所で、実際に少し前、顧客向けにヘリコプターマネープロモーションを実施しています。さて、この詐欺サイトには「Claim accumulated rewards」と書かれた目立つボタンがあります。

UniswapのWebサイトに見せかけたフィッシングサイト。2.5 ETHの獲得を促すページ

UniswapのWebサイトに見せかけたフィッシングサイト。2.5 ETHの獲得を促すページ

このボタンをクリックすると、ウォレット(今回取り上げる例ではMetamaskウォレット)の秘密鍵または復元用のパスフレーズを要求する画面が現れます。復元用パスフレーズ(シードフレーズ)とは、いくつかの単語が並んだもので、技術的な問題が発生した場合やデバイスを変更した場合にウォレットへ再びアクセスできるようにするために使用します。

DEX詐欺にだまされないために

サイバー犯罪者の仕掛けた罠にはまらないためには、以下の点に注意することをお勧めします。

  • 無料で仮想通貨をもらえるという話には警戒する。本当に無料で仮想通貨をもらえるようなキャンペーンは、初期投資者が対象になっていることが多いものです。
  • 要件をよく確認する。トークンをもらうための要件の中に、自分が満たしていない要件が含まれる場合は、このプロモーションが本物であったとしても受け取る資格はありません。
  • 本当かどうか疑問な場合は、EarnifiというWebサービス(英語)で情報を確認する。自分が無料トークンの受け取り対象になっているのか、受け取るのに必要なのがウォレットの公開鍵だけである(秘密鍵のような他に知られてはならない情報ではない)のか、確認することができます。このサービスは無料で利用できます。
  • 実際にそのようなプロモーションが行われているのかどうか、公式Webサイトで確認する。
  • 普段からアクセスするWebサイトはブラウザーにブックマークしておき、アクセスするときはブックマークから行くようにする。メールやメッセージに記載されたリンクをクリックしてアクセスしようとはしないでください。
  • サービスの利用規約を読み、サービス提供元が要求してくる場合のある情報にはどんなものがあるか、どういった情報は要求されることがないのか、確認する。
ヒント