スキャムから身を守るための基礎知識【 #応援NFTアーティスト 】

こんにちは。カロンです。NFTアーティストの皆さんを応援しています。

さて、今日はスキャムについて。

基本、無料です。最後に今年のアカデミー作品賞の発表を有料でつけてます。500円です。もちろんアカデミー作品賞は既に発表されています。この記事読んで参考になった方は投げ銭代わりにご購入いただけたら私が喜びます。

noteアカウント持ってない、購入手続き面倒くさい、という方は私のウォレットアドレスにNFTか仮想通貨ください。泣いて喜びます。Nounsくれたら焼きそばパン買ってきます（笑）

0xC23274347e8Aa82d363140d3cefb71Ff588EfFed

はい、では本題です。「スキャムは怖い、スキャムに気をつけて」という言葉はこの界隈でよく聞きます。しかし、スキャムとはなにか、何にどう気をつけたらよいか、がわからないとまぁ気をつけようが無いですよね。そのあたりを説明します。

そもそも「スキャム」とは何でしょうか？

Scamとは英語で「詐欺」のことです。ただしあまり正式な言葉ではなくていわゆる口語（こうご）というものです。正式な英語で言えば「Fraud＝フロード」です。日本語に例えるならよく「オレオレ詐欺」と我々は言ったりしますけど正式には、警察発表やテレビニュースなどでは「振り込め詐欺」と呼んだりしますよね。ですからテレビのニュースなどではScamという言葉はあまり使われずFraudが使われる感じです。

まぁ「スキャム＝詐欺」と理解しておけば良いでしょう。

もちろん、詐欺というものは暗号資産、NFTに関わらずどこにでもあります。「暗号資産・NFTは詐欺が多くて怖い」というのはちょっと私は違うのではないかなと思っています。どこにでも詐欺はあるし、特に儲かっているところに詐欺師は目をつけます。更に狙うのは「初心者」ですよね。ですから、「特に暗号資産・NFTだから詐欺が多い」というわけではなく、今、暗号資産・NFTに資金が流入してきている、だから狙う詐欺師も多い、ということだと私は考えています。ですから、しっかりと理解してしっかりと気をつけて、しっかり対策していけばある程度のリスクは削減できる、と考えています。

そのために、まずはNFTに触れている我々の周りに、どういうスキャムがあるか、を分類してみましょう。だいたい分類すると下記の通りです。

１．パソコンを乗っ取る詐欺
２．ウォレットを乗っ取る詐欺
３．ウォレットの一部（特定の通貨のみ）を盗む詐欺
４．MintしたけどNFTがもらえない詐欺
５．フルトラスト取引を悪用した詐欺

このあたりかな、と私は思っています。すべての詐欺はこのあたりに落とし込むためのものでしょう。これらが詐欺師の目的で、このために手を変え品を変えやっていると考えれば遠くないはずです。上のほうが被害が大きく、下のほうがまだ被害は少ないです。ひとつひとつ見ていきますね。

※これはあくまで我々のような個人を対象にしているものです。例えば企業のサーバーをハッキングする、などもあるでしょうが今回は考えてません。

１．パソコンの乗っ取り

これはもう最大ですね。やられてしまうと何してもダメです。ウィルスチェックしてウィルスファイルを駆除しないとすべての情報（パソコン内の個人情報など）を取られますし、最悪遠隔操作されますからブックマークしてある銀行口座などにアクセスされる可能性もあります。パソコンを乗っ取られて、仮にそのパソコンの中にめたますくのシードフレーズを保存していたとしたらそれも盗み見られてしまいます。ですからウォレットの中身も取られる、ということになりますね。とにもかくにも最悪のパターンです。

これをするためには最も多い手法は「安全に見せかけた添付ファイルを解凍させる」というものです。少し前にトヨタの子会社もこの被害にあい工場の操業停止などになっていました。

多く不審なEメール・Twitterダイレクトメッセージ(DM)、Discordのプライベートメッセージ(PM)の目的はこれです。仕事依頼します、相談があります、などと言って連絡し「詳細はこのファイルに書いてますからダウンロードして解凍し中身を確認してください」と落とし込むのが目的です。

不審なメール、DM、PMに返信しないようにと言われるのはこのためです。メールの内容は多岐にわたります。多いのは「あなたのNFTが素晴らしいので仕事を依頼したい」「日本人の友達が欲しい」「あなたのNFTが私の著作権を侵害しているので訴えようと思っている」などなど。このあたりはほぼ詐欺と思ってください。

対策としては以下です。

・不審なメール（TwitterのDM、DiscordのPM）は無視。

→これがすべての前提です。これ以降の詐欺もほぼすべてがメールで連絡来ます。NFT、暗号資産関係なくインターネットを使う上で重要な常識です。

知らない、不審なアカウントからのメールではなく、もし「知ってる人」から来ていても安心と思わないように。

Twitterでやり取りしていたりスペースで毎日のように話していたとしても、多くの場合、相手は「顔も本名も知らない人」ですよね。全員疑え、とは言いませんが「信じすぎないこと」は大事だと思います。

知ってる人でも、少し異変を感じたら本人に確認すべきでしょう。異変とは例えばいつもはTwitterでやりとりしてる人からDiscordのPMが来た、などですね。もしかしたらその人のDiscordが乗っ取られた、なんてことが起こってるかも知れません。いつもはTwitterDMでやり取りしている人から急にDiscordPMが来た、という場合には念のためにTwitterで「いま私にDiscordでPMくれました？」と確認取るべきでしょうね。

加えて、

・不審な添付ファイルは絶対に開かない。不審でなくても念のためにウィルスチェックは必ずしてから開く。

です。

これは暗号資産、NFT関係ありません。至るところで「こういうウィルスファイルを送って手を変え品を変えあなたのパソコンを乗っ取ろうとしている人」は世界の各地にいるんです。それをご理解ください。

更に被害にあった人で少なくないのは（繰り返しますが、NFTの話だけではないです）、下記のようなパターンです。

仕事の依頼のメールが来た（あるいは知っている人のアドレスを装ったメールが来た）ので添付ファイルを開こうとした。しかし自分のパソコンのウィルス対策ソフトが「これ危ないですよ、開かないほうがいいですよ」と警告したので開けなかった。だから、ウィルス対策ソフトの機能（つまり監視）を一時的に停止した（！！！！）というものです。

これはもうめちゃくちゃですよね…。同情はしますし詐欺師がもちろん悪いのですが、ウィルス対策ソフトを一旦停止、、ってそりゃあまずいですよ。

例えるなら泥棒があなたの家に入ろうとしていて、それをちゃんとボディガードがストップしてくれたのに、「おい、ボディガード、お前ちょっと黙ってろ、はい、泥棒さんどうぞお入りくださいー」と詐欺師を自分でドア開けて招き入れてしまった、ということになります。これは絶対にやるべきではないでしょう。ウィルス対策ソフトが「これまずいですよ、開けないですよ」と言ったら絶対に一旦手を止めてください。多くの場合、それは完璧な、紛うことなきウィルスファイルです。

ですから一応、言っときます。

・ウィルス対策ソフトの監視はオフにしない。

ウィルス対策ソフトの監視をオフにしないと受けられない仕事の依頼なんてありえませんよ！

それから、「Eメールは怖いからTwitterDMで」という方も居らっしゃいますが、そうとも言い切れません。

多くのメールサーバ（gmailなども）はある程度のウィルス対策はしています。ですから明らかにウィルスとわかるファイルはそもそもサーバ側で弾きます。だから絶対大丈夫というわけではないです、ある程度、です。しかしTwitterのDMでリンクが送られてきて「ここからファイルダウンロードしてね」といわれた場合、そのリンク先のファイルはノーチェックということになります。だってあなたがリンク行ってあなたがダウンロードしたんですからね。ここはご理解いただきたいです。

２．ウォレットの乗っ取り

パソコンの乗っ取りの次に被害が大きいのはこれです。ウォレット、多くの場合めたますくを丸ごと盗まれるということです。これはどうしたら起きるでしょうか？シンプルに言えば「シードフレーズを人に渡したら」です。逆に言えば「シードフレーズを人に渡さなければこれが起こることは考えづらい」とも言えます。

よく「変なサイトにウォレット繋いだらウォレット乗っ取られた！」という話を聞くかも知れませんが、シードフレーズを渡していなければそれは、ウォレットの一部であり全部では無いはずです。※これは3で説明します。

もちろん、シードフレーズを人に渡してしまえば、ウォレットの中にあるものも、レンディングサービス、DeXと言われるネットワーク上の交換所（ユニスワップ、パンケーキスワップ…）に預けてあるものもすべて取られます。シードフレーズを渡す、ということはそういうことです。しかし仮にそうなったとしても通常の仮想通貨取引所（Bitflyer、コインチェック、バイナンスなど…）においてある資産は奪われません。それはめたますくではなくIDとパスワードが無いとアクセス出来ないので。もちろんパソコンにある自分の個人情報なども盗まれることはありません。めたますくは個人情報とつながっていないからめたますくなんです。

これについての対策は下記です。

・シードフレーズは絶対に人に教えない、絶対にネット上で入力しない。

もちろん、共用的なフォルダ、他人もアクセスできるフォルダにデータでおいて置かない、ということも常識です。会社から貸与されているパソコンでめたますくを使っていて、シードフレーズをそのパソコンに保存している、というのも私は止めるべきだろうと思っています。会社から貸与されているPCはあくまで会社の所有物なわけでその中のデータも会社のものなはずです。このあたり、法律の話になるので私は詳しくありませんが。

それから「シードフレーズ入れて」というリプライを寄せ付けないという予防も大事ですね。

・TwitterでMetamaskとつぶやかない。

変なリプライがついて「こまったらここにアクセスしてシードフレーズ入れると助けてくれるよ」とか言われます。そこでシードフレーズを入力するともうアウトです。自分が気をつけていてもよく知らない人がそちらに入力してしまうかもしれません。どうしてもつぶやくなら日本語がいいでしょう。めたますくとか。日本語の「めたますく」を定期的に巡回して詐欺リプライを付けている人はあまり多くないです。居ないとは断言できませんが。

・資産は分散して保管する。

シードフレーズを誰かに知られてしまうとそのウォレットの中身がすべて取られます。しかしシードフレーズが違うウォレットを作っておいてそこに移しておけば、元のシードフレーズを取られてすべて盗まれても、別のウォレットは無事です。また、めたますくから仮想通貨取引所（ビットフライヤー、コインチェック、バイナンスなど…）に移しておけば、そちらは無事、ということになります。様々な手法がありますが、一つのウォレット（めたますくアカウント）においておかず、分散しておく、というのは万が一、ウォレットが盗まれたとしてもリスク分散にはなるでしょう。

３．ウォレットの一部（特定の通貨のみ）を盗む

暗号資産関連だとだいたい「ウォレットを繋ぎますか？」と聞かれますよね。聞かれた後に何かしようとすると「許可しますか？」（英語だとApprove?）と聞かれますよね。あれは「このサイトに特定の通貨を特定の操作させることを許可しますか？」と聞いています。これ自体は普通のことです。例えばOpenseaにETHを許可しなければOpensea側はあなたがETH持ってるかどうかすら分からない、と言うことはNFTを売ることも出来ません。ですから問題のないサイトに、特定の通貨について許可を与えることは基本的に問題ありません。しかし問題は、悪意あるサイトに許可を与えてしまうことです。例えば「あなたのウォレットのETHを見るだけです、許可ください」と言っておいてそれは嘘で実は全額引き出す許可だった、などですね。

繰り返しますがこれは「特定の通貨毎に許可」していますので、仮にそのような状態になってETHを取られたとして他の通貨もNFTも取られるということは考えづらいです。他の通貨、NFTはまた「許可」しなければいけないので。

これについての対策は下記です。

・変なサイトには繋がない、許可しない。

→一応なのですが、「このサイト、やばいプログラム入っているよ」と調べて警告しているサイトがあります。rugdocというサイトです。

rugdoc.io

しかし、これは「ここはやばい」と言っているだけで「ここは安全」と言っているわけではありません。ここで「警告が出ていない」＝「安全」とはなりませんのでご注意を。とはいえ、このサイトで警告されているサイトは近寄らないほうが無難でしょう。

・念のため定期的にrevoke（許可の取り消し、です）する。

→revokeのやり方はお調べください。

４．MintしたけどNFTがもらえない詐欺

例えば発売予定の人気NFTプロジェクトがあって発売は1週間後なんですが突然メールが来て「あなたに特別にプライベートセールです、正式発売より1週間前ですが特別に買えます」と言われる。そこにあるリンクからMintサイトに行き言われた通りウォレット繋いで0.1ETHとか支払ったけどNFTは届かない、、などですね。

この対策はシンプルです。

・公式アカウントが「公式」と言っているサイトしか信用しない。

これです。

加えて、稀に稀に公式アカウントが乗っ取られて「公式にプライベートセールします！」と言うこともあるのでそれはご注意を。いきなり発売日などが変わるというのはこういう疑いがありますからくれぐれも[「このサイトで特別にMintできますよ」情報はよくよく調べて自己判断を。

５．フルトラスト取引を悪用した詐欺

フルトラスト取引というのはOpenseaなどのマーケットを通さず個人個人で直接やり取りすることです。「あなたのNFTを直接私に送ってくれたら⚫︎ETH送ります」というやり取りですね。マーケットを通さないためその分手数料が浮きます。が、もちろん危険性はあります。一番シンプルなのは、あなたがNFT送ったけど相手がETH送ってこない、アカウント消して逃げる、というものです。

加えて例えば「あなたの作品を●ETHで買いたいのだけどガス代が足りないんだ、●ETHくれないか」というものなんかもありますね。

こんなのいくらでもあります。「PolygonETHをETHに変えてあげるよ、ブリッジ面倒でしょう？Polygon1ETH送ってくれれば、手数料引いて0.9ETHにして送り返すよ」とかね。私ですらいくらでも思いつきます。（もちろん、私はやりませんよ！）

トラストは「信頼」という意味ですからフルトラスト契約は「完全信頼契約」です。まぁそういう人を全信頼したのでそれはもう自己責任とも言えます。

最近発生したのは、その方が信頼できる第三者のアカウントを装い「私が保証するので大丈夫ですよ」と信頼させて、ということもありました。なかなか巧妙ですね。。

とにかくマーケット通さず直接やり取りする場合にはくれぐれご注意を。対策は「ご注意を」としか言えませんね。先払いしてくれるならいいのですが。私もフルトラスト取引をしたことがありますが、先払いでしか受けたことありません。

ただこれは超高級NFTを持っている人にしか来ないのではないかなぁと思うんですよね…。めちゃくちゃお膳立てして私のハッピーマンNFTを奪う、って考えづらいですからね。。

【補足】スパムNFT触ると乗っ取られる、という噂

OpenseaのHiddenフォルダに勝手に入ってくる（勝手に送られてきた）、いわばスパムNFTに触ると乗っ取られる、という噂があります。これは今のところ、概ね否定されています。※知識が無い、怖い、というなら触らないほうが無難でしょう。「触っただけ」「乗っ取られた」というのがとても曖昧ですからね。
まず「触っただけ」ですが、来ているNFTをクリックして開いただけでパソコンが乗っ取られる、ウォレットが乗っ取られるということは考えづらいです。私が確認した「ああ、これは悪いことをしようと考えているな」というスパムNFTのやり口はこちらです。

・そのNFTのDescriptionやUnlockableContentのところにリンクがある。その先には「有益情報や儲け話があるからここからファイルをダウンロードして解凍して中身見て」と書いてある。→要は１を狙っている詐欺。
・同じくリンクがあって、その先には「有益情報あるからここに情報入力して」とある。その一部にシードフレーズ入れる欄もある。→２を狙っている詐欺。
・Youtube動画につながっており、その動画その通りすると特定の通貨（その時はBNB）をどこかに送らされる。→３を狙っている詐欺
・Mintページにつながっており「ここでMint出来ます」と言われる。ETHとガス代払ってそこでMint出来るか不明。仮にNFTを受け取ってもおそらくそれは対して価値の無いもの→４を狙っている詐欺

このあたりですね。ですからスパムNFTがあってそこにリンクが貼ってあったら行かないほうが無難です。おそらく行ったら悪いことが起きる確率が高く、良いことが起きる確率は限りなく低いでしょう。

【補足】Twitterのプロフィールをまるっと信用しないこと

とある詐欺師のアカウントです。このアカウントは何人かの方にDMして色々理由つけて信頼させ、ETHを送らせてだまし取っています。つまりはまぁ５の「フルトラスト取引を悪用した詐欺師」ということになります。

これを見た時にどう思わるでしょうか？

「あ、AZUKIのNFTを保有しているんだ」とお感じになられますか？もしそうだとしたらちょっと気を引き締められたほうがいいでしょうね。Twitterのプロフィール画像は別にそのNFTを保有していなくても設定出来ますよね？画像を右クリックして保存してそれを設定すればよいので。いわゆる「六角形アイコン」つまりTwitterのアカウントとめたますくが連携されていて、自分が保有しているEthereumNFTしか設定出来ない、となっているなら「ああ、この人は保有している（少なくとも、このアカウントとそのNFTを保有しているめたますくが連携されている）んだな」と判断出来ますが。この場合はまだ「絶対に保有しているとはいえない」としか判断できませんね。

更に、FoundationやOpenseaのリンクが貼ってありますね。どう思われますか？「ああ、この人のFND、OSアカウントなんだな」と思うのであれば同じく気を引き締めたほうがいいですよ。Twitterのプロフなんて何でも書けるんですから。あなたのFNDアカウント（のURL）を私が私のプロフィールに描くことだって出来てしまいます。

とにかくTwitterのプロフに書かれていることをまるっとそのまま信用しないほうがいいでしょう。全部「本当かな？」と検証すべきです。

以上です！どんな詐欺があるかを知らずに「詐欺怖い」とただ不安に思うよりも、まずは「こういう詐欺の種類があるんだな」としっかり知って対策をしてきましょう～。ではでは～。

ああ、そうだそうだ、今年のアカデミー作品賞の発表です！