MetaMaskユーザーを狙った偽の2FAフィッシング詐欺がシードフレーズを盗む

ソース：Cryptonews オリジナルタイトル：MetaMaskユーザーが偽の2FAフィッシング詐欺に狙われ、シードフレーズを盗まれる オリジナルリンク： MetaMaskユーザーは、セキュリティ向上を装った新しい「2FA認証」フィッシング詐欺のリスクにさらされています。

要約

• MetaMaskユーザーは、偽の2FA認証プロセスを含むフィッシングキャンペーンの標的になっています。
• この新しいキャンペーンは、大規模なウォレットの脆弱性とTrust Wallet Chrome拡張機能の事件の後に発生しました。

フィッシング攻撃の詳細

ブロックチェーンセキュリティ企業SlowMistによると、MetaMaskユーザーは、偽のメールを受け取り、Two-Factor Authenticationを有効にするよう促すことで緊急性を偽装しています。このメッセージはMetaMaskのブランドが付いており、一見説得力があります。

特に、悪意のある通知にはカウントダウンタイマーも付いており、ユーザーにプレッシャーをかけて迅速な対応を促そうとしています。

「今すぐ2FAを有効にする」ボタンをクリックすると、攻撃者がホストする偽のページにリダイレクトされます。しかし、実際にはこの全ての過程は偽物です。主な目的は、MetaMaskユーザーにニーモニックフレーズを入力させ、それを使って資金にアクセスし、送金させることです。

詐欺を見抜く方法

最初は注意深くないユーザーがこの仕組みに引っかかる可能性がありますが、偽のメールにはいくつかの見分けるポイントがあります。

例えば、そのようなフィッシングメッセージには微妙な誤字やデザインの不一致が含まれており、真偽を見極める手助けとなります。このケースでは、MetaMaskユーザーがリダイレクトされたURLは「metamask」ではなく「mertamask」と綴られていました。また、これらのメールは全く関係のないメールアドレスから送信されている場合や、Gmailのような公開ドメインを使用している場合もあります。

最後に、MetaMaskはユーザーに対してアカウントの確認やセキュリティアップデートを求める不審なメールを送信しません。こうしたリクエストはほとんどの場合、詐欺です。

最近の暗号通貨ユーザーを狙ったフィッシングキャンペーン

先週末、サイバーセキュリティ研究者のVladimir S.は、偽のMetaMaskアプリのアップデートを促す類似のキャンペーンを指摘しました。これは進行中のウォレットの流出脆弱性に関連していると考えられています。

オンチェーン調査員のZachXBTによると、この事件では1ウォレットあたり$2,000未満の損失が出ましたが、複数のEVM互換ネットワークにわたる多くのユーザーに影響を与えました。ただし、これら二つのキャンペーンが確実に関連しているかどうかは確認されていません。

この事件は、クリスマスの日に発生したTrust Walletのハッキングとも関連しており、損失額は約$7 百万ドルに達しました。攻撃者はウォレットのブラウザ拡張機能のソースコードにアクセスし、悪意のあるバージョンをChrome Web Storeにアップロードしました。Trust Walletは、影響を受けたすべてのユーザーに補償を約束しています。

また、Cardanoユーザーも、詐欺的なEternl Desktopアプリを宣伝するメールを流布する別の攻撃について警告を受けました。

これらの出来事は2週間以内にすべて起こりましたが、最近のScam Snifferレポートによると、2025年の暗号フィッシングキャンペーンによる総損失額は前年より約88%減少しました。