こうした悩みにお答えします。
2021年3月、BSC(バイナンス・スマートチェーン)のDEX(分散型取引所)であるPancakeSwapでハッキング被害が起こりました。
今回のハッキングはユーザー側ではなく、運営側に対するものでしたが、いつ自分に降り掛かるかわかりませんよね。対策できる部分だけでも知識を備えておけば、詐欺被害を避けることができます。今回は、よくある仮想通貨の詐欺手法などをまとめていき、詐欺に合わない知識を紹介させていただきます。
この記事でわかること
- 仮想通貨での詐欺の手口とはどのようなものがあるか
- 事例紹介:PancakeSwapでの「DNSハイジャック」について
- 仮想通貨詐欺対策の方法
仮想通貨投資に初心者であると知るや否や、詐欺師やハッカーは「無知」に漬け込みます。
最低限の対策手段と知識をインプットして投資をしていきましょう。この記事の結論は以下のとおりです。
仮想通貨投資の詐欺対策の結論
- その①:詐欺手口を理解する
- その②:仮想通貨詐欺の実態(具体例)みてみる
- その③:自分の理屈で投資する
この3つを押さえておけば「初心者や無知」を狙う詐欺を防ぐことができます。ただし、絶対安全はありませんので自己責任です。失ってもいい金額で投資することがもっとも堅実な方法です。
目次
その①:詐欺手口を理解する
仮想通貨の詐欺手口でよく言われるものを5つ紹介します。これ以外にもたくさんの手法があり、巧妙です。これらの手口だけ気をつければOKではないということは認識しておく必要があります。
- 詐欺手口①:恐喝・おどし
- 詐欺手口②:偽サイト・なりすまし
- 詐欺手口③:マルウェア・ランサムウェア・ハッキング
- 詐欺手口④:ポンジスキーム
- 詐欺手口⑤:著名人・セミナー・勧誘
それぞれ一つずつかんたんに確認していきましょう。
詐欺手口①:恐喝・おどし
詐欺師がなんらかの方法で、あなたの個人情報を盗み、機密情報の公開をたてに脅迫される方法です。もっとも原始的ですが強力な手口です。
詐欺というよりは脅迫ですね。これを防ぐためには、ログイン認証方法を厳格にしてパスワードを使いまわさないこと、複数要素によるログイン認証をとるようにすることで防ぐことができます。
国内仮想通貨取引所のなかで金融庁の事業者登録を受けているところを利用するようにしましょう。事業者登録を受けていておすすめなのは以下です。
口座開設方法については図解でこちらで紹介していますので参考にしてみてくださいね。
詐欺手口②:偽サイト・なりすまし
アメリカの米国証券取引委員会(SEC)は2018年に詐欺被害を防ぐために、ダミーの詐欺サイトを作成しました。このサイトを参考にすると「偽サイト」の手口がわかりやすいです。
- 高額な収益の保証をうたっている
- 規制に準拠しているとやたら表明している
- クレジットカードで投資を促す
- 異常な価格の上昇をアピールしている
こうしたことを注意して偽サイトに誘導させられても絶対にクリックしないことが大切です。
また、SNSでの「著名人のなりすまし」により勧誘するといった手法があります。手法は単純です。有名人や著名人のSNSアカウントになりすまし、DMなどで秘密鍵の情報を聞き出したり、送金させようとします。
著名人のアカウントが偽物か本物かはすぐにわかります。ただし、冷静な判断ができなくなってしまうものと考えておき、常に脅威があると認識しておいた方が無難です。落ち着いて確認すればすぐに偽アカウントはわかります。Twitterであれば認証マークでもチェックできますね。
詐欺手口③:マルウェア・ランサムウェア・ハッキング
マルウェアとは、悪意のあるソフトウェアやコードのことをいいます。いわゆるコンピュータウィルスみたいなものですね。メールやフリーソフトのダウンロードなどで感染します。
仮想通貨のマルウェアでは、コントラクトアドレスのコピーアンドペーストに作用して、意図した送金先ではないところへ送金させるものです。詐欺師のコントラクトアドレスあてに自分のビットコインが送金されてしまうわけですね。
ランサムウェアは、ウィルスに感染させパスワードを書き換えてしまい、解除する代わりに金銭的な要求をするといった手法です。人質をとって身代金を要求する犯罪のデジタル版です。
ハッキングは、「ソフトウェアの脆弱性を攻撃する」、「IDとパスワードを割り出す」、「ソーシャルエンジニアリング」といった手法があります。ソーシャルエンジニアリングとは、ひとの心理的な隙間を狙い、情報を搾取したり、不特定多数を標的にランダムに不安を煽るような文面や身内を装ったメールにより感染させる手法です。
このらの詐欺を回避するには、コンピュータのセキュリティに十分注意する必要があります。感染した添付ファイルや危険なリンクが含まれている可能性のある疑わしいメッセージや電子メールには注意してください。
閲覧するWebサイトと、デバイスにインストールするソフトウェアにも注意が必要です。また、ウイルス対策ソフトウェアをインストールし、脅威を定期的にスキャンすることも検討する必要があります。デバイスのOSを最新の状態に保つことも重要です。
詐欺手口④:ポンジスキーム
大昔からいわれている金融投資詐欺の常套手段です。ポンジさんという人が考えたのでこの名前だとか。具体的な手法を以下にまとめます。
ポンジスキームによる詐欺4つのステップ
- ステップ①:高配当案件で出資者をつのる
- ステップ②:宣言通り高配当を配る
- ステップ③:配当金がおいしいので出資額や出資者が増える
- ステップ④:出資額が最高潮になったら逃亡する
こういった流れになります。参考文献は両学長の「お金の大学」です。DeFiのプロジェクトはほぼこうしたポンジスキームによるものですよね。単純な手法ですが、実際にリターンを得られてしまうと冷静な判断ができなくなってしまうので注意しましょう。
詐欺手口⑤:著名人・セミナー・勧誘
「芸能人の◯◯さん、インフルエンサーの◯◯が購入している仮想通貨」や「知る人ぞ知る仮想通貨!」みたいな希少性をうたい宣伝している場合です。
一般人が真偽できない要素をかならず持ち出して、「おいしい案件」のように見せます。広告に使われている人物は認識がない場合もありますので、少しでも疑わしいものは排除していくのが無難です。
ICO(Initial Coin Offerig)という未公開仮想通貨のトークン発行と組み合わせて使われることもあります。トークンとは、Tポイントのようにお金と同じ価値のあるもの、くらいの認識でOKです。ユーザーがBTCなどでトークンを購入して、プロジェクト側はこれを法定通貨に交換して事業資金にしたりします。
新規案件プロジェクトをセールと称し販売して勧誘し、事業失敗やらなんやらといい、逃亡します。
その②:仮想通貨詐欺の実態(具体例)をみてみる
出典:PancakeSwap Medium
2021年の3月にバイナンススマートチェーンにあるDeFiプラットフォームのC.R.E.A.M. FinanceとPancakeSwapがDNSハイジャック被害にあいました。
(問題解決済みです。)
その後、PancakeSwapがMediumに「DNS Incident Recap(DNS自己の振り返り)」という記事を掲載しました。
(1/3) We just got confirmation that the DNS had fully propagated and we are back!
It's been a long 24 hours, but trading and farming never stopped!
We're reaching out to all of the sites that helped up to add notes or alerts etc and they should be removed shortly. pic.twitter.com/mPfoFrQHPA
— PancakeSwap 🥞 #BSC (@PancakeSwap) March 16, 2021
起こった事象
- 悪意のある攻撃者がアクセスに成功しDNSサーバーを乗っ取った
- ユーザーがパンケーキスワップにアクセスすると本サイトに酷似した偽サイトへリダイレクト
- ユーザーをだましてシードフレーズを入力させようとした
PancakeSwap内のコントラクトに影響はなく、フロントエンドでの被害にとどまりました。
リダイレクトされ「シードフレーズ」を求める画面。通常「シードフレーズ」を入力させることはない。
考えられる原因
GoDaddy(米国のレンタルサーバー提供企業)の提供するアカウントにソーシャルエンジニアリング等により攻撃を仕掛けた
PancakeSwapの対応
- DNSハイジャック疑惑を確認し、サイトを利用しないようツイート
- PancakeSwapにシードフレーズ入力をするウィンドウが出現DNSハイジャックが確定
- PancakeSwapに接続されたあらゆるリンクを解除依頼
- シェフたちによる復旧工事完了
- MetaMaskにアラート警告解除を依頼
- ドメインサーバーの管理をGodaddy→MarkMonitorへ変更
- 緊急時アクセスのためIPFS上とIPFSの外に複数のバックアップドメインを維持する
- 従来のTLSプロトコル(情報通信のセキュリティ規格)を削除し、DNSSECの設定、メールスプーフィングを不可能にする
IPFSの説明についてはこちら
DNSSECの説明についてこちら
PancakeSwapのサイトがダウンして、DNSハイジャックがわかるまでTwitterを更新し、情報共有を徹底していました。DNSハイジャックによるレポートへの公開が行われ、透明性の高い対応だったと評価されているコメントもあります。
DNSハイジャックが起こった3月15日から16日かけて$CAKEは下落するも暴落せず
DNS設定をどのように変更して今回のような防げるのか、サーバーの管理を別会社に変えたところで再発防止になるのかはわかりませんが、セキュリティ対策に対する評価は高く、$CAKEの値段は一時減少しましたが暴落することはありませんでした。
今回の「PancakeSwapのDNSハイジャック」はGoDaddy経由でドメインが登録されていたり、セキュリティが強くないDeFiプロジェクトは、今後もDNSハイジャックの可能性があります。ユーザーの防衛策は、Goddyを利用しているプロジェクトに投資しない方がよいかもしれません。
PancakeSwapのDNSハイジャックについては、こちらの記事でまとまっていたことを参考にさせていただきました。
その③:自分の理屈で投資する
金融投資全般にいえる話になってしまいますが、「あまり理屈を理解せずチャートだけをみて投資する」という状況が非常に危険であることがわかりましたよね。
仮想通貨の詐欺に遭ってしまった場合には、まずは消費者ホットラインや警察といった場所に相談することができます。しかし、高度な技術で逃亡していたり、犯人をみつけて損害賠償を求めるのはむずかしい可能性が高いです。
絶対儲かるという話を鵜呑みにせず、「定番の詐欺」にひっからないような知識と姿勢を身につける参考になればと思います。
とはいえ、仮想通貨バブルがいつまで続くかわかりません。この機会を逃してビットコインの価格が上がり切ったところで投資をはじめるのはもったいないですよね。もしも迷っている人がいるなら、自己責任ですが、国内仮想通貨取引所を利用してみることをおすすめします。
金融庁の事業者登録を受けており、取扱仮想通貨種類やダウンロード数で人気のあるコインチェックがおすすめです。
