NFT、仮想通貨を楽しむための防御力
おはようございます。🐤
NFTの盗難被害がたくさん出ています。
一方で「犯人が捕まった」「NFTが返ってきた」という事例は聞いたことがありません。
泣き寝入りです。
僕自身、サポート中にその人がリアルタイムで詐欺被害にあった経験があります。今でも胃がキュッとなります。
とにかくこれ以上詐欺被害を見たくない、自分や自分の大事な人を守りたい、その一心で渾身の記事を書きました。
ターゲットは自分の娘と息子です、口調がうざかったらごめんなさい!
これだけわかれば詐欺は防げる!(1分で読めます)
!!!NFTや仮想通貨の世界では詐欺被害がとても多い!!!
🎁高価なNFTプレゼント(Giveaway)キャンペーン
🎁今買えば10倍に!? お得なミントサイトの紹介
🎁知らないうちにウォレットに入っていたNFTに数万円のオファーが!?
🎁自分にTwitterの通知が!なにやらお得そうだ!
これらすべてよくある詐欺です。基本的に以下の5点を守っていれば、ウォレットの資産を盗まれることは防ぐことができます。
知人以外からのメッセージはまず「スパム」(迷惑メール)を疑うこと
お得なサイトへ誘導するリンク(URL)はクリックしないこと
秘密のリカバリーフレーズ(12/24の英単語)はどこにも入力しないこと
PC、スマホのOSは最新にすること
普段使いと保管用のウォレットを分けること
ほんとうにこれだけです。これだけで詐欺被害の99%は防ぐことができます。ここまで読んでいただいてありがとうございました。
詳しく知りたい方は次へどうぞ、長いですぞ!
具体的な詐欺の方法~詐欺師の立場で考える
よく言われる「NFTの世界は99%の優しい人と、1%の悪い人」という比率ですが、それが正しいとすると、仮に「日本」に1万人のNFT参加者がいたとして、100人も悪い人がいます。
その比率でいくと「世界」には何千、何万と詐欺師がいます。
だから常にあなたは数千、数万の詐欺師に狙われていると考えてください。そこからがスタートです。
さて、あなたが詐欺師の立場になったと思ってください。(こういうの意外と大事だと思います)
ひたすらDM(ダイレクトメール)を送り付けて無視されて、あげく「詐欺師」とか言われて通報されてアカウント凍結されて。
ということで、詐欺のアカウントは基本フォロワーを買って使い捨て、短期決戦です。
だから、詐欺師は「効率の良いリスト」を使って資金を盗もうとあの手この手で狙います。
NFTの持ち主はすべてブロックチェーン上で公開されているので、簡単に取得することができます。
また、「Giveaway」や「プレゼントキャンペーン」をRT、いいねをしている人のリストも取得しやすいです。
こうして、まず「盗めそうなNFTを持った」または「イージーにひっかかってくれそうな」効率の良さそうなリストを収集します。
具体例1「盗めそうなNFTを持ったアドレスリスト」
次のような条件をもったNFTコレクションは詐欺師の格好の獲物になります。
単価が高い(儲かる)
流動性が高い(すぐ売れる)
アドレス数が多い(網を広げやすい)
ということで、そんなNFTコレクションに狙いをつけて、オーナーのリストをEtherscanなどから簡単に取得します。
1. 取得したウォレットアドレスのリストに、適当なNFTを送りつけます
2. それにオファーを出します。ちなみにこのNFTは「売れない」細工がしてあるので、仮にオファーを受けられても詐欺師に支払いは発生しません。
3. ウォレットの持ち主がOpenSeaにメールアドレスを登録していたら、OpenSeaからウォレットの持ち主に通知メールを送ってくれます
4. ウォレットの持ち主は「おっ、0.35 ETHで売れるの?」と興味をもちます
5. ところが売れないので、「なぜ?」と「Description」欄の説明を読むと、「このNFTはこうしたら利益がでるよ、すぐにアクセス!」といって詐欺サイトへ誘導するリンクが貼られています
CNPなんて格好の標的ですね、なんせ単価は0.9 ETH(約18万円)と高く、アドレス数は10月現在で約4,800と多い。仮にこの0.1%がひっかかったとして、1回で4~5件の詐欺が成功します。利益は100万円以上になるでしょう。
具体例2「ひっかかりそうなリスト」
TwitterでNFTに関連するツイートをピックアップする
Giveawayに応募しているアカウントをピックアップする
「プレゼントキャンペーン」に応募しているアカウントをピックアップする
などして、「欲深くひっかかりそうな」アカウントのリストを作ります。(コンピュータで抽出します)
そうして得たリストにメンション(@をつけたユーザーに通知させる)をつけてメッセージを投稿します。
これらを数千人、数万人に対して送りつけ、詐欺サイトへのリンクをクリックさせます。
具体例3「キーワードに反応するbot」
Twitterで「Metamask」という文字を含んだツイートをすると、すぐに「サポートが必要ですか? こちらにDMしてください」とサポートを装ったリプがつきます。
普通なら「何これ?」と思う程度ですが、「送金したのにMetamaskに着金しない、なぜ?」と調べている時に現れてくれたサポートだとしたらどうでしょう。
または、「あなたのウォレットは危険な状態です、すぐにこちらのサポートにアクセスしてください」なんて言われたらどうですか。
ついすがりたくなりませんか?
ちなみに僕は初心者の頃、TelegramというSNSアプリで質問をすると、すぐにサポートを名乗る人(詐欺師)からコールがありました。その時本気で「なんてよくできたサポート体制なんだ」と思ったことをよく覚えています。話している英語が理解できたらきっとひっかかっていたんだと思います。
以上は一例ですが、そんなふうに「困っている時」に現れてくれた人にはすがりたくなります。そこで「サポートはこちらから受け付けます⇒URL」なんて差し出されたら、ひっかかる確率が格段にアップします。
詐欺師の立場で考えてみる
とにかく、何がいいたいかというと、詐欺師は人間心理をうまくついて、詐欺のメッセージをたくさんばらまいて、そのうちの一定の割合がひっかかるのを待っています。
普通の人がひっかかる必要はないのです、むしろ「こんな怪しいものに誰がひっかかるねん!」っていうくらいわかりやすいものに「いいね」や「RT」をするくらいリテラシーが低い(詐欺にひっかかりやすい)人をあぶりだすツールでもあります。
1万人に1人ひっかかれば十分なのです。ただしすぐに通報されるのでスピード勝負! 詐欺師は必ず焦っています。
「リテラシーのない人」だけではなく、リテラシーがあっても「酔っている人」「寝ぼけている人」「困っている人」「慌てている人」はひっかかってしまいます。だから、知識をつけるだけでは足りなくて、「間違えてクリックした場合」でも安全な状態であることが必要です。
次からの項目は「知識をつけること」と、それでも間違えてしまった場合に「被害を少なくすること」の2本柱で進めていきます。
インターネットの基本知識
あなたの使っているPC/スマホはウイルス対策ができていますか?
不安な方はこの項目を読んでください、NFTや仮想通貨だけでなくインターネットに接続する端末をもっているすべての人がもっておくべき基本知識です。
PC/スマホのウィルス対策
コンピュータに悪さをするウィルス(マルウェア)はさまざまなところから、手を変え品を変え、ありとあらゆる手段で侵入しようとしてきます。
怪しいメールにあったリンクをクリックしてしまう
USBを刺しただけ(CDを入れただけ)でウィルスが侵入する
ホームページを見ただけでウィルスに感染する
送られてきた画像をクリックするだけで感染する
送られてきたWord、Excelファイルを開くと感染する
これらは、過去に流行った手口で、現在はOSやアプリの側で対策がされています。OSは最新バージョンにアップデートして使うことがとても大事です。
また、感染のしくみなどセキュリティに関する基礎知識をつけることで感染の可能性を減らすことができます。
しかし、「ついうっかり」したり、新しい詐欺の手段が日々生み出されていることから、現実的には自分ひとりで完全に詐欺を防ぐことは難しいです。
URLをクリックすることの危険性
そもそも、URLをクリックすることはそんなに危険なのでしょうか?
ブラウザはいろんな機能を実現するために、各種プログラムを実行することができるようになっています。そのため、ブラウザ本体や、ブラウザの拡張機能のセキュリティの穴をついた犯罪が発生しています。
だから、「URLをクリックするだけ」でウィルスに感染することは十分ありえます。リンク先が正しいか、少しでも意識することを心がけてください。
特にGoogle検索の結果を信じないようにしてください。詐欺サイトが検索結果の一番トップに表示されることはよくあることです。
フェイルセーフ対策
気をつけていてもクリックしてしまうことはあります。だから、「怪しそうなリンク」「儲け話への誘導リンク」には注意することに加えて、万一クリックしても安全なように次のことを行ってください。
OSを最新バージョンにしておく
⇒セキュリティの穴が見つかる場合があります、OSを最新バージョンにすることでその穴が改善されますウィルス対策ソフトを入れる(特にPC)
(スマホの場合)権限を与えるときは注意する
公衆無線LANの危険
パスワードなしで利用できる公衆無線LANは、通信が丸見えです。大事なパスワードなどを送信することはとても危険です。
また、無料でサービスを提供する目的がそもそも「パスワードを盗むこと」だったりもするので、信頼できない無料Wi-Fiを使うのは避けましょう。
SNSの基礎知識
あなたはTwitterやDiscordなど、SNSの危険性のことを考えたことがありますか?
この項目では「アカウント乗っ取り」の怖さと「パスワード管理」について説明します。
アカウント乗っ取りの怖さ
あなたのアカウントが勝手に使われる
同じIDとパスワードにしている他のサービスも勝手に使われる
メールのアカウントを乗っ取られたら、SNSだけでなく銀行やカードなど広い範囲の認証が破られる
友人、知人に「あなたの名前で」勝手にメッセージを送られる
「あなたから届いたメッセージ」は友人、知人に信頼されて、リンクはクリックされてしまい被害が広がる
この地獄、わかるでしょうか。
特にメールのアカウントが破られたら、「メール認証」が破られるということなので、ほんとうに恐ろしいです。
【体験談】
僕の知人にFacebookアカウント乗っ取りにあった人がいて、たくさんのフォロワーにDMされました。すぐに気づいてFacebookに連絡して止めてもらい、事情を説明するDMを送ったそうです。
幸いにも被害は出ていなかったようですが、もし気づくのが遅かったら、被害が広がっていたら、友人に訴えられていたら……と考えると恐ろしいですね。
アカウント乗っ取りを防ぐために
アカウント乗っ取りを防ぐ基本は「パスワードを複雑に」かつ「漏れないように」です。
信じられないかもしれませんが、世の中には「誕生日」や「ID」さらには「1111」や「qwerty」など簡単な文字列をパスワードにしている人が一定の割合でいます。仮に0.01%だとしても、1万人にアタックしたら1人がひっかかるのです。
パスワードは大文字小文字数字混じりで8桁以上、できる限り複雑にしましょう。そしてサービスごとにパスワードを変えておくべきです。メモするのが一番ですが、サービス名から類推する一部の文字を変えるだけでもかなり時間稼ぎはできると思います。
例:
Twitterのパスワード⇒hiyo1234tw
Discordのパスワード⇒hiyo1234dis
SNS特有のセキュリティを高める方法
そしてSNSにはセキュリティを高める方法がさらに2つあります、「DM(ダイレクトメッセージ)をオフ」と「2要素認証」です。これはどちらも設定することを強く推奨します。
DM(ダイレクトメッセージ)をオフ
DMをオフは、フォロワーやフレンド以外からのメッセージを表示させない機能です。友人以外からのDMは迷惑メールや詐欺メールの確率がとても高いので、これを設定しておけば安心です。
Discordの設定
画面左下の「ユーザー設定(歯車アイコン)」から設定に進みます。
「プライバシー・安全」⇒「サーバーにいるメンバーからのダイレクトメッセージを許可する」のチェックをオフにします。
また、この設定はサーバーごとに変えることもできます。
「サーバー設定」⇒「プライバシー設定」⇒「ダイレクトメッセージ」
Twitterの設定
メニューの「もっと見る」⇒「設定とサポート」⇒「設定とプライバシー」をクリックする
「プライバシーと安全」⇒「ダイレクトメッセージ」をクリックする
「すべてのアカウントからのメッセージリクエストを許可する」のチェックをオフにする
2要素認証
2要素認証は、パスワードに加えて「SMS(携帯電話のショートメッセージ)」や「認証アプリ」などでセキュリティを高くするしくみです。万一パスワードが破られてもアカウント乗っ取りを避けることができます。
認証アプリは「Google認証」が使われることが多いです。
なお、Google認証アプリを使う場合、このアプリをインストールしたスマホをなくすとけっこうな手間になりますので、次のような対策を強くお勧めします。
各サービスの認証キーをメモ
複数のスマホにGoogle認証アプリをインストールし同期
Discordの設定
画面左下の「ユーザー設定(歯車アイコン)」⇒「マイアカウント」⇒「二要素認証を有効化」をクリックします。
パスワードを入力し、「二要素認証を有効化」画面に進みます。
画面の指示に従って、Google認証アプリにキーを手動で入力するか、QRコードをスキャンしてDiscordを認証アプリに登録し、できたDiscord用の6桁の数字を画面下の「コードでログイン」の欄に入力し「有効にする」をクリックします。
画面の指示に従って、SMS認証も有効にしておくか、バックアップコードをダウンロードして保管しておいてください。これをしっかりしておかないと「認証アプリをインストールしたスマホを紛失/故障」した場合にたいへんな手間がかかります。
Twitterの設定
メニューの「もっと見る」⇒「設定とサポート」⇒「設定とプライバシー」をクリックする
「セキュリティとアカウントアクセス」⇒「セキュリティ」をクリックします。
「2要素認証」をクリックし、好きなものを選択します。
・「テキストメッセージ」(携帯電話のショートメッセージサービス)
・「認証アプリ」(Google認証アプリなど)
・セキュリティキー(USBなど物理デバイス)
一定の通知をミュート
さらに、Twitterでは一定の認証がされていないアカウントからの通知をミュートにすることができます。 これにより「知らない人からメンションされて、偽サイトへのリンク(URL)をクリックしてしまう」という被害を防ぐことができます。
メニューの「もっと見る」⇒「設定とサポート」⇒「設定とプライバシー」をクリックする
「プライバシーと安全」⇒「ミュートとブロック」をクリックします
「ミュートしている通知」をクリックし、一覧から好きな設定を選択します。
おすすめは「メールアドレスが未確認のアカウント」にチェックをつけることです。 詐欺をするアカウントはメールアドレス未確認のことが多いという実体験に基づくものです。
そして、有益なツイートをするアカウントはメールアドレスを登録していることが多いため、ミュートされる確率は少ないです。 有益なツイートを取り入れながら詐欺アカウントをミュートするバランスに優れた設定です。
ウォレットの基本
あなたはウォレットの資金がどこにあるかわかりますか?
「メタマスクに入ってるんでしょ?」
「ハードウェアウォレットの中に入ってるよ」
という方は理解が足りていない可能性があるので、ぜひこの項目を読んでください。
ブロックチェーンのしくみ
改めて「ブロックチェーン」の基本を説明します。
あなたの資産はブロックチェーンという共有の台帳に記録されています。この台帳は、たくさんのコンピュータで管理されています。
このブロックチェーン上の自分の資産を操作できるものが「秘密鍵」であり、メタマスクなどのウォレットアプリはその秘密鍵を管理するものです。鍵を生成し、管理し、必要な時に使ってブロックチェーン上にある自分の資産を操作します。
だから、あなたの資産は「メタマスク」に入っているわけではありません、また「ハードウェアウォレット」に入っているわけでもありません。ブロックチェーンに記録されています。
ちょうど、銀行の預金があなたのネットバンキングアプリに入っていないのと同じイメージです。
だから、万一メタマスクをインストールしたスマホをなくしてしまったとか、ハードウェアウォレットが壊れてしまった、という場合でも、復旧する方法はあります。
それは、「秘密のリカバリーフレーズ」を使うことです。秘密のリカバリーフレーズとは、メタマスクのインストールの時にメモした12の英単語です。
その他にもいろいろな呼び名があって、みな同じものです。(単語の数が24の場合もあります)
シークレット・リカバリー・フレーズ
シードフレーズ
ニーモニック
秘密のリカバリーフレーズは秘密だよ(もう1回)
ということで、秘密のリカバリーフレーズは自分の資産を操作するための「秘密鍵」を復旧(リカバリー)することができるものです。
言いかえると、メタマスクのパスワードがわからなくても、このリカバリーフレーズさえあれば復旧はできます。つまり、他人にこのリカバリーフレーズが知られると、あなたの資産は自由に操作されてしまうことになります。
だから絶対に他人に教えてはいけませんし、フォームに入力してもいけません。それでも詐欺師はこの12のフレーズを聞き出そうとあの手この手を考えてきますが、とにかく
「12の単語を聞かれたら詐欺」
としっかり覚えておいてください。あなただけの秘密です。
被害を少なくするために
では最後に被害を少なくするための方法です。
いくら知識をつけても、いくら対策をしても、詐欺師との戦いにはキリがないし、自分も常に気を張っているわけでもありません。
だから、万一事故にあった時に被害を少なくする工夫について説明していきます。
ウォレットを分ける
ふだん使いのウォレットと、保管用のウォレットを分けます。
ふだん使いは、いつも使っている便利なPCやスマホでいいでしょう。家族と共用はできれば避けたいですけど、「盗まれる前提」であればそれもまたよしです。
考えてみたら、全財産を常に持ち歩いている人いないですよね。通帳やら印鑑やら大事なものは家の金庫など大事なものを保管する場所に入れていますよね。
財布に入れておくお金は、なくしていいわけじゃないけど、ちょっとした油断で落とすこともあればどこかに忘れることもある、盗まれることだってある。でも金庫はそうじゃなくて、失うリスクをこれでもかというくらい小さくしています。
それと同じ考えです。ふだん使いのウォレットと、保管用のウォレットを分けることが大事です。
当然ですが、リカバリーフレーズが共通では意味がないので、保管用のウォレットは新しく作成します。
そして、保管用ウォレットは、「コールドウォレット」つまり、インターネットに常時接続していないウォレットが望ましいです。ここでは保管用のウォレットを2つ紹介します。
自分にあった方を使っていただいて、確実に資金を守りましょう。
ハードウェアウォレット
「秘密鍵」を管理するものを、メタマスクのようなソフトウェアではなくて、実体のあるハードウェアにしたものです。
このハードウェアウォレットだけでブロックチェーン上の自分の資産を操作することはできなくて、PCかスマホが別途必要になり、さらに接続ケーブルやPC/スマホで操作するためのアプリが必要です。
インターネットにつながっていないから安全、という面はあります。が、理解していないと危険なのは、ふだんはつながっていなくても、資金を操作する時には当然接続しないといけなくて、その時に攻撃されると結局は資金は盗まれてしまうこと。
また、秘密のリカバリーフレーズを知られたら、資金は盗まれてしまうということ。
安全性が格段にあがるのは確かなのですが、これさえあれば絶対に資金は盗まれない、というものではないことを理解しておかないといけません。
保管用PC(スマホ)
次に保管用PCです。
ふだん使いのPCとの違いは、メールやSNSなど便利な(しかしその分攻撃を受けやすい)アプリが入っていないこと、常時インターネットに接続されていないことです。
ハードウェアウォレットは8000円から2万円くらいのものですが、保管用PCは探せばピンキリで、例えば僕の使っているChromebookは、2万円くらいでした。余計なアプリは極力インストールしません。
つまり、PC(スマホ)をハードウェアウォレット代わりに使うというイメージです。
効用はハードウェアウォレットと同じで、安全性は格段に高くなり、ハードウェアウォレット特有の操作がないため慣れた操作方法で使いやすいですが、これもリカバリーフレーズを盗まれたらおしまいなので、十分な注意が必要です。
どちらの保管用ウォレットを使うにしても、やはり秘密のリカバリーフレーズは重要なので、この保管はしっかり金庫にしておきましょう。
まとめ
長くなりました。
1万字近いもの、これではきっと本当に届けたい人には届かないと薄々感じているので、コンポーザビリティを考えて、小さな単位のnoteに分割しました。リンク先を貼っておきます。
もし使えたら使っていただけたら嬉しいです。
セルフGoxを避けるための方法はまた後日…これも詐欺と同じくらい資産を失う危険は高いので、注意です。この世界危険多すぎィ!😭
というわけで今日のnoteは以上です。
この記事でNFTや仮想通貨を安心して楽しむことができたら、なによりです。
それではまた、DeFi~(@^^)/~~~
この記事が気に入ったらサポートをしてみませんか?