Discordでの仮想通貨詐欺:新たなる希望

暗号資産(仮想通貨)の投資家を狙った詐欺は現在も続いています。今度は、大いに宣伝されている仮想通貨のICOを装う手口が見つかりました。

Discordのダイレクトメッセージを通じた暗号資産(仮想通貨)詐欺は、今もまだ続いています。偽の仮想通貨交換所関連の手口ヘリコプターマネーを装う手口に続き、今度はICOの投資家を狙った手口が登場しました。

ICOとその仕組みについて

ICOは「Initial Coin Offering(イニシャルコインオファリング)」の略です。主に資金調達のために、新規仮想通貨を仮想通貨取引所で自由に売買できるようにする前にある程度発行することを指し、「トークンセール」と呼ばれることもあります。買い手は、市場価格が上昇して利益が上がることを期待して投資します。このように、ICOは株式市場におけるIPO(Initial Public Offerings:新規株式公開)と似た位置付けになっています。

ICOは勢いを増しつつあります。PwCによると、2016年のICO件数は49件でしたが、2018年には1,000件以上にまで増加しました(英語資料)。金額的にも、2億5,200万ドルから197億ドルと大きく増加しています。

ICOの種類

ICOにはいくつか種類があります。

大まかには、上限を設けるものと上限を設けないものがあります。前者の場合、トークン発行元は、調達目標額と取引トークン数を明示しますが、結果として需要に対応しきれない場合もあります。

上限なしの場合は、投資家とお金をなるべく多く集めることが目的なので、主催者が資金調達を止めることはありません。ただし、無制限に供給されるとなると、当然ながら投資家の興味が削がれる可能性があるので、主催者としてはトークンセールを大々的に宣伝する必要があります。

分配のオプションもいくつかあります。例えば、増額要求をFCFS(First Come First Serve:先着順)で処理する場合や、一番高い額を提示した人がオークションで資産を勝ち取る場合があります。

このほか、最近増えているのは、ランダムに振り分けられる順番待ち列に並んで購入の順番を待つ方法です。投資家は前もってプロジェクトのWebサイトに登録しますが、待ち行列に振り分けられて取引が始まらないと自分の順番が分かりません。つまり、トークンを買えるかどうかは最後の最後まで分からないのです。

トークンを買えなかった人は、いわゆる「FOMO(Fear of Missing Out)」の状態に陥る恐れがあります。FOMOとは、直訳すると「取り残されることへの恐れ」で、自分は大きなニュースを見逃しているのではないか、自分だけ乗り遅れているのではないか、と不安になる心理を指します。そういう心理状態では神経質になり、警戒心が緩みます。

実際にはなかったICO

詐欺行為の多くは、FOMOにつけ込んできます。例えば最近、私たちはDiscordの仮想通貨コミュニティのメンバーに対するメッセージ大量送信を観測しました。絵文字をふんだんに使い、(実在する)最先端のスタートアップが上限なしICOを開始したと宣伝する内容です。これは、メッセージを受け取った人に「公式Webサイト」のリンクを今すぐクリックさせようとする、典型的な詐欺の手口です。ここで取り上げる例ではMinaですが、それ以外の事例もあります。

ところで本物のMinaは、少し前に順番待ち方式でトークンセールを実施しましたが、登録した人の多くはトークンを手に入れることができませんでした。この新たな詐欺手口は、これを悪用してきたのです。

詐欺について警告する、詐欺師からのDiscordダイレクトメッセージ

詐欺について警告する、詐欺師からのDiscordダイレクトメッセージ

メッセージには、Minaの本物のWebサイトに見せかけた偽サイトへのリンクが含まれています。Minaプロジェクトは、世界最軽量のブロックチェーンを作ることを目的としています。そのため公式Webサイトも最小限を極めた作りになっていますが、おかげで詐欺師たちはさほど手間をかけることなくWebサイトを偽造できたようです。開いた偽サイトでは、簡単な登録が求められます。氏名、メールアドレスのほか、なぜかSNSの自分のアカウントへのリンクも入力しなければなりません。

全体的な形式がMinaに似ている詐欺サイト

全体的な形式がMinaに似ている詐欺サイト

ICOの手続きを簡素化したと主張する詐欺師によれば、「指定のウォレットに仮想通貨を支払えばトークンがもらえる」とのことです。実際に、登録が完了した直後の画面で、仮想通貨の選択と支払額の入力が求められます。

トークンの「購入」手続きは可能な限り簡素化されている。3つの仮想通貨から1つを選ぶ

トークンの「購入」手続きは可能な限り簡素化されている。3つの仮想通貨から1つを選ぶ

さらに、金額を指定する(支払えば戻ってこない)

さらに、金額を指定する(支払えば戻ってこない)

通貨と金額を指定したら、後は支払うだけです。(詐欺師の用意した)仮想通貨ウォレットのアドレスをコピーするか、QRコードをスキャンするようにとの指示が表示されます。

手続きはもう少しで完了。後は支払うだけ

手続きはもう少しで完了。後は支払うだけ

支払いが終わると、ブロックチェーンのネットワークにアクセスが集中しているため確認処理ができないとして、処理の遅れに関するお詫びのメッセージが表示されます。トークンが届かなかった場合は、3時間ほど待ってからサポートへ連絡してほしいとのお願いも書かれています。

「処理は問題ありません、コインのお届けをお待ちください」(実際には届かない)

「処理は問題ありません、コインのお届けをお待ちください」(実際には届かない)

そして、投資家たちの元にトークンが届くことはありません。投資したお金も返ってきません。この罠にはまってしまった人は、すでにいるようです。この記事の執筆時点で、Minaの偽サイトで指定されているウォレットは0.2 BTCの支払いを受けています(記事の執筆時点のレートで7,000ドル以上に相当)。

ICOを悪用した仮想通貨詐欺に遭わないためには

このような詐欺の被害に遭わないためには、「考える」「確認する」「保護する」ことが大切です。この3つは、今回のような詐欺以外の場面でも役立ちます。

考える:受け取ったメッセージの内容を、冷静に検討しましょう。今回取り上げた偽Minaの場合であれば、そのようなおいしい(何か変だがおいしい)情報が仮想通貨コミュニティで話題になっていないのはどうしてなのか、自分に問いかけてみましょう。相手はFOMOにつけ込もうとしているのでは?公式Webサイトにアクセスするときメッセージに記載されているリンクを使わなければならない理由は?この情報を知り合いにも拡散してほしいと書かれているのはなぜ?詐欺であるという明確な証拠ではなくても、判断材料はたくさんあります。

確認する:通貨発行元の公式サイトで、詳細を確認しましょう。公式サイトへアクセスするときには、ブラウザーのアドレスバーに公式サイトのアドレスを入力してアクセスしてください(メッセージ内のリンクからはアクセスしない)。また、仮想通貨関連のWebサイトなどで、メッセージ内で言及されているICOプロジェクトに関する情報を確認しましょう。さらに、詐欺に関する情報がないか、Discordにある実際の仮想通貨プロジェクトのサーバーを確認しましょう。なお、偽のニュースサイトを自分たちで作って詐欺の信憑性を高めようとする詐欺師たちもいるので、ご注意を。

対策する:人間が関わる部分は、絶対に間違えることがないとは言い切れません。自動防御でセキュリティを強化する必要があります。マルウェアの仕掛けられたWebサイトやフィッシングサイト、詐欺サイトに誘導するようなふるまいを検知する機能を持つ、カスペルスキー セキュリティのようなセキュリティ製品を使用することをお勧めします。

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?