MetaMaskのユーザーが、公式のセキュリティアップデートを装い、ウォレット保護への意識の高まりを悪用した新たなフィッシング詐欺の標的となっています。これらの詐欺は巧妙に作られており、技術的にも説得力があり信じやすいため、特に危険です。
攻撃の第一段階は、MetaMask Supportから送られてきたとされるメールで、2段階認証(2FA)が間もなく必須になると通知するものです。このメッセージは正しいブランドロゴを使用し、迅速な対応を促すための締め切りが記載されており、見た目もプロフェッショナルです。この緊急性を演出することで、ユーザーが内容を確認せずに行動する可能性を高めています。
どこが厄介なのか
メール内のリンクからは、MetaMaskの公式ドメインにはアクセスできません。代わりに、matamaskやmertamaskなど、ほとんど同じに見える偽サイトへ誘導されます。特にモバイルデバイスでは、このようなわずかなスペルミスを見逃しやすくなります。リンクをクリックすると、MetaMaskのレイアウトを模倣し、正当性を高めるためにCloudflareセキュリティが組み込まれた、デザイン性の高いウェブサイトに誘導されます。
この詐欺は段階的に進行します。最初に、ユーザーに人間であることの確認を求めます。その後、2FAが有効化されたことを示すメッセージが表示され、カウントダウンタイマーや進捗バー、「Security Layer Complete」のような安心感を与えるステータスインジケーターなどが現れます。これらはMetaMaskのインフラストラクチャとは一切関係がなく、信頼感を与えるために作られたウェブ上の演出にすぎません。一番重要な段階は最後です。
最終的なセキュリティ確認やチェックサム検証を装い、ウェブサイトがウォレットのリカバリーシードフレーズの入力を求めてきます。これが詐欺の核心部分です。信頼できるウォレットプロバイダーがウェブサイト経由でシードフレーズを要求することは決してありません。シードフレーズを入力すると、攻撃者の元に即座に送信され、ウォレットの資金を完全に抜き取られてしまいます。
高度な詐欺手法
この詐欺が成功するのは、技術的に複雑だからではなく、現実的であるためです。実際のセキュリティ手続きに似せており、セキュリティ暗号化や認証など、ユーザーが見慣れている用語を利用しています。
ユーザーは安全のため、いくつかの重要なルールを覚えておく必要があります:MetaMaskは決してシードフレーズを要求しません。全てのウォレット関連操作は公式の拡張機能やアプリ内で完結し、メールでセキュリティアップデートを強制することはありません。
