Twitterで「NFTを盗まれた!」って最近よく聞くから不安です…。
ハッカーの手口やハッキング対策について教えてほしい。
こういった要望に応える記事を用意しました!
本記事の内容
- NFT詐欺(ハッキング)対策16選
- 実際にあったハッキング8選
本記事は、仮想通貨やNFTにまつわる「ハッキング対策」について徹底的にまとめた【最新版かつ完全保存版】になります(ブックマーク必須💡)。
〝超初心者〟目線で「セキュリティ」について徹底解説したので、本記事を読み終わるころには、ハッキング対策について概ね理解できている状態になっていますよ!
失敗したくないですよね?
コインチェックはアプリが見やすい&使いやすい!しかも、国内最大手で、みんな使ってるから初心者でも安心。
失敗しないためにも『コインチェック』から始めましょう!
\ 無料5分・スマホでもかんたん /
この記事を書いた人
ヘボ
NFT図解ブロガー
もくじ
- NFT詐欺(ハッキング)対策16選【セキュリティを強化せよ】
- ①:詐欺を他人事だと思わない
- ②:DiscordのDMはオフにする
- ③:Discordのなりすましに注意する
- ④:公式Twitterをフォローして、あとはブロックする
- ⑤:Twitterのメアド未認証のアカウントをミュートする
- ⑥:公式からOpenSeaにアクセスして、ブックマークする
- ⑦:スマホにはメタマスクを入れない
- ⑧:フリーWiFiは使わない
- ⑨:利用頻度の低いサイトとの接続は解除する
- ⑩:コールドウォレットを作り、NFTをトランスファーする
- ⑪:ハードウェアウォレットで管理する
- ⑫:秘密鍵はオフラインで管理する
- ⑬:保管用PCを用意する
- ⑭:アプルーブを理解して、定期的にリボークする
- ⑮:ハッカーの手口を覚える
- ⑯:NFTをロックする
- まとめ:仮想通貨のはじめの1歩は口座開設!
NFT詐欺(ハッキング)対策16選【セキュリティを強化せよ】
- ①:詐欺を他人事だと思わない
- ②:DiscordのDMはオフにする
- ③:Discordのなりすましに注意する
- ④:公式Twitterをフォローして、あとはブロックする
- ⑤:Twitterのメアド未認証のアカウントをミュートする
- ⑥:公式からOpenSeaにアクセスして、ブックマークする
- ⑦:スマホにはメタマスクを入れない
- ⑧:フリーWiFiは使わない
- ⑨:利用頻度の低いサイトとの接続は解除する
- ⑩:コールドウォレットを作り、NFTをトランスファーする
- ⑪:ハードウェアウォレットで管理する
- ⑫:秘密鍵はオフラインで管理する
- ⑬:保管用PCを用意する
- ⑭:アプルーブを理解して、定期的にリボークする
- ⑮:ハッカーの手口を覚える
- ⑯:NFTをロックする
当たり前のことから、お金がかかる対策まで揃えたので、資産を失って後悔しないためにも最後まで読んでいってくださいね!
①:詐欺を他人事だと思わない
まず大前提として、本記事で紹介する「詐欺を他人事だと思わないこと」です。
あなたがビットコインやイーサ、NFTアートを所有しているなら「自分の身にも起こりうる現実」です。
それをしっかり頭に入れて読み進めてくださいね。
②:DiscordのDMはオフにする
実際にあったハッキング①
- ①:DMが届く(Congratulations!)
- ②:偽サイトに誘導される
- ③:メタマスクを接続する
- ④:ハッキングされる☠️
最も多いのが、このパターンです。
DMで「特別な招待」が届き、時間や個数を限定することで煽られ、メタマスクを偽サイトに接続すると…ウォレットの中身をすべて盗まれてしまう😱
知らない人からのDMは「ぜんぶ詐欺」だと思ってオッケイなので、DiscordのDMはオフにしておきましょう。
DiscordのDMをオフにする方法
- 1-A(PC):「ユーザー設定(歯車のアイコン)」をクリック
- 1-B(スマホ):「自分のアイコン」をクリック
- 2:「プライバシー・安全」をクリック
- 3:「安全第一」を選んで「サーバーにいるメンバーからのDMを許可する」をオフにする
オフにしても「友だち(フレンドリストのメンバー)」とはDMできるので、ご安心ください。
詐欺は「OpenSeaからのメール」でもやってきます。
実際にあったハッキング②
- ①:「あなたのNFTが売れました!」というメールが偽OpenSeaから届く
- ②:偽サイトに誘導される
- ③:メタマスクを接続する
- ④:ハッキングされる☠️
いわゆる「フィッシングメール」というやつですね。そこで対策です。
OpenSea絡みの詐欺は他にもあります。
実際にあったハッキング③
- ①:OpenSeaに知らないNFTがエアドロされる
- ②:そのNFTにオファーがつく
- ③:アプルーブ(承認)する
- ④:ハッキングされる☠️
NFTのエアドロを利用した詐欺ですね。無料でもらったNFTが高額で売れたらラッキーですが、そんな「うまい話」はありません。
知らないNFTがOpenSeaの「Collected」に入っていると気になると思いますが、その内OpenSea側で消してくれるので、触らずにそっとしておきましょう。
③:Discordのなりすましに注意する
実際にあったハッキング④
- ①:Discordになりすましアカウントが投稿
- ②:偽サイトに誘導される
- ③:ハッキングされる☠️
上記は2022年10月31日、キングコング西野さん監修のコレクション『ハロウィンプペルNFT』がリリースされた4時間後に『CHIMNEY TOWN DAO』で実際にあった詐欺です。
ミントサイトにはDiscordに貼られる公式リンクからアクセスしてくださいね!
必ずこうアナウンスされるのでDiscordの情報は信用しがちですよね。Discordのアカウントにも「なりすまし」や「乗っ取り」はあります。
注意点
- ①:アカウントが乗っ取られることもある
- ②:日本語がおかしい
- ③:早朝に投稿される
- ④:注意するとBANされる
本人が寝ている早朝に投稿されたり「この投稿は詐欺ですよー!」と注意した人をBANしたりするので、自分の目で見抜く力が試されます。
最低でも「2段階認証」は必ず設定しましょう!
④:公式Twitterをフォローして、あとはブロックする
実際にあったハッキング⑤
- ①:公式を装ったTwitterアカウントを作る
- ②:フォロワーを万単位で買う
- ③:固定ツイートやDMで偽サイトに誘導される
- ④:メタマスクを接続する
- ⑤:ハッキングされる☠️
フォロワーが10,000人とかいたら本物だと思ってしまいますよね。
フォロワーを10,000人買っても「5万ほど」でしょう。一発で回収できるので詐欺師は買うわけです。
ハッキング対策
- ①:公式Twitterをフォローする
- ②:偽物を見つけたら全てブロック
- ③:できればその前に通報する
「ブロックするほどではないかも🤔」と思うかもですが、何かあってからでは遅いので、片っ端からブロックしましょう。
⑤:Twitterのメアド未認証のアカウントをミュートする
実際にあったハッキング⑥
- ①:Twitterでメンションが届く
- ②:偽サイトに誘導される
- ③:ハッキングされる☠️
Twitterの詐欺はメンションでも届きます。英語で「MetaMask」や「OpenSea」とつぶやいたら最後です。
そこで「メールアドレスが未認証のアカウントからの通知」をミュートしましょう。
設定の流れ
- ①:設定とサポート
- ②:設定とプライバシー
- ③:通知
- ④:フィルター
- ⑤:ミュートしている通知
ミュートできるアカウントは次のとおり。
ミュートできるアカウント
- ①:フォローしていないアカウント
- ②:フォローされていないアカウント
- ③:新しいアカウント
- ④:プロフィール画像が設定されていないアカウント
- ⑤:メールアドレスが未認証のアカウント
- ⑥:電話番号が未認証のアカウント
これで詐欺アカウントからの通知は激減するでしょう。
⑥:公式からOpenSeaにアクセスして、ブックマークする
⚠️ SCAM Alert ⚠️
We've had some reports that this is a fake account on OpenSea and need you to report a fake account.☠️🐾Official OpenSea link is: https://t.co/IO55YZ2tHS
This is a fake account.👇 Please beware of scams. pic.twitter.com/KBIV7NBiwj
— CatRescue NFT😸 (@CatRescue19) September 3, 2022
ツイートのとおり、OpenSeaには必ずと言っていいほど「偽コレクション」が現れます(ツイートのページは削除済み)。
少し前には「OpenSea」とGoogleで検索すると、いちばん上に偽サイト(広告)がヒットすることもありました。広告にお金を払ってでも「トップ」に表示させて儲けていたわけですね。
必ず公式からアクセスする
- 公式Twitter → OpenSea(ブックマーク!)
- 公式Discord → OpenSea(ブックマーク!)
次回からは必ずブックマークからアクセスするようにしてください。
⑦:スマホにはメタマスクを入れない
- ブラウザの拡張機能(デスクトップウォレット)
- アプリ(アプリウォレット)
メタマスクには「デスクトップとスマホアプリ」の2つがありますが、NFTや仮想通貨に4ヶ月ほど触れてみて「スマホアプリ」のメタマスクは不要と感じたので、現在はスマホに入れていません。
ここは意見が分かれるところかもですが、僕は「NFTの購入や送金」は必ずPCで行うので、リスクヘッジのためにも「スマホにメタマスクは不要論」を唱えます。
⑧:フリーWiFiは使わない
実際にあったハッキング⑦
- ①:フリーWiFiを使う
- ②:シードフレーズを盗まれる
- ③:ハッキングされる☠️
ここで言うシードフレーズとは、メタマスクの「リカバリーフレーズ(12の英単語)」のことです。
どうしても外でメタマスクに接続する場合は、有料ですが「VPN(Virtual Private Network」を利用するようにしましょう(詳しくはググってね)。
こう考えて間違いないです。
⑨:利用頻度の低いサイトとの接続は解除する
メタマスクで接続しているサイトは上記から確認できます。定期的に確認して「利用頻度の低いサイトとの接続は解除」しましょう。
また接続すればいいだけですからね。
⑩:コールドウォレットを作り、NFTをトランスファーする
ホットウォレットとコールドウォレット
- ホットウォレット:NFTの売買などを行うインターネットに接続されたウォレット
- コールドウォレット:売買予定のないNFTや仮想通貨を保管するためのウォレット
ここで言うコールドウォレットは「メタマスクを新たに作成すること」で作ることができます。
コールドウォレットの作り方
- ①:Google Chromeでプロファイルを追加する
- ②:新しいプロファイルにMetaMaskをダウンロードする
- ③:ガチホするNFTをトランスファーする
現在のメタマスクの中に「複数のアカウントを作る方法」とは違うので注意してくださいね。
コールドウォレットは「絶対に」作って、ガチホするNFTはトランスファー(送付)しておきましょう!
関連記事コールドウォレットとは?作り方を解説【メタマスクをもう1つ作る】
⑪:ハードウェアウォレットで管理する
ハードウェアウォレットとは、NFTや仮想通貨をオフラインで管理できるUSB端末のようなものです。
ハードウェアウォレットで保管できるもの
- 秘密鍵
- 仮想通貨
- NFT
ハードウェアウォレットの2大ブランドは次のとおり。
2大ブランド
『SecuX Nifty』というNFT専用のハードウェアウォレットも誕生しました。液晶付きで保管したNFTを見ることができます。
ハードウェアウォレットを購入する時の注意点は1つ。
メルカリやヤフオクの「中古品」にはウイルスが入っているかもしれませんからね。
⑫:秘密鍵はオフラインで管理する
ここで言う「秘密鍵」とは、メタマスクを作成した際に割り当てられる「長い文字列」のことです(ウォレットアドレスとは別)。
メタマスクの秘密鍵をスクショして、スマホやクラウドで管理している人多いですよね。
実際にあったハッキング⑧
- ①:秘密鍵をスクショする
- ②:クラウドにアップロードする
- ③:ハッキングされる☠️
そこで「オフライン管理」です。
オフラインとは
- ①:ペーパーウォレット
- ②:Cryptosteel(クリプトスティール)
とはいえ、紙で保管するのは何かと不安ですよね。
紙で保管するリスク
- ①:なくしちゃう
- ②:水に濡れちゃう
- ③:火事で燃えちゃう
そこで「Cryptosteel(クリプトスティール)」いう〝ステンレス製のカード〟で管理するのが一般的です。
ハードウェアウォレットとクリプトスティールの併用で管理すれば尚良しです。
⑬:保管用PCを用意する
保管用PCでは
- ①:ミントしない
- ②:売買しない
- ③:Twitterしない
- ④:Discordしない
- ⑤:メールしない
もう1台パソコンを用意して、そこにコールドウォレットを作成・管理している人もいます。資産が高額になったら当然の対策と言えますね。
⑭:アプルーブを理解して、定期的にリボークする
- アプルーブ(Approve):送付を許可すること
- リボーク(Revoke):送付許可を取り消すこと
詐欺サイトでアプルーブしてしまい、メタマスクの中身をすべてトランスファー(送付)されてしまう手口が多発しています。
アプルーブ(送付許可)は一度「有効」にすると、リボーク(取り消し)しない限り、ずっと有効のままです。
ハッキング対策
- 怪しいサイトでアプルーブしない
- アプルーブしてしまったら、すぐリボークする
アプルーブの確認、そしてリボークは以下のサイトでできます。
リボークできるサイト
- ①:REVOKE.cash
- ②:Etherscan
ここでは『REVOKE.cash』でリボークする方法をカンタンに紹介します。
リボークのやり方
- ①:REVOKE.cashにアクセスする
- ②:Connect Walletをクリックして、メタマスクを接続する
- ③:TokensからNFTsに切り替える
- ④:Revokeボタンが表示されているものがアプルーブしたままのコレクション
- ⑤:Revokeボタンをクリック
- ⑥:ガス代をチェックして「確認」をクリック
アプルーブは定期的に見直してリボークするようにしましょう。ちなみに、アプルーブする時にもガス代がかかります。
⑮:ハッカーの手口を覚える
実際にあったハッキングまとめ
- ①:当選DMが届く☠️
- ②:OpenSeaから「売れました!」メールが届く☠️
- ③:NFTがエアドロされ、それにオファーがつく☠️
- ④:Discordのなりすましアカウントの投稿☠️
- ⑤:公式を装ったTwitterアカウントから誘導☠️
- ⑥:Twitterでメンションが届く☠️
- ⑦:フリーWiFiでシードフレーズを盗まれる☠️
- ⑧:スクショした秘密鍵の画像をクラウドから盗まれる☠️
本記事で紹介した「実際にあったハッキング」をまとめました。ハッカーの手口を知っておくことも大事ですからね。
とはいえ、詐欺師も進化するので今後も更新していきます(`・ω・´)ゞ
⑯:NFTをロックする
NFTロック機能のついたコレクション
- ①:ハロウィンプペルNFT
- ②:Aopanda Party
『ハロウィンプペルNFT』に、業界最先端の盗難防止用「NFTロック機能」が搭載されました!今後、いろんなコレクションに実装されていくはずです。
NFTロック機能の使い方
- ①:ロックサイトにアクセスする
- ②:メタマスクを接続する
- ③:鍵マークをクリックする
- ④:変更を保存をクリックする
- ⑤:ガス代を確認して払う
前述したハロウィン翌日の詐欺でもロックしていた方は被害に遭わずに済みました。
こちらも少額のガス代はかかりますが「1分」で終わるので、機能が実装されているなら必ずロックしましょう。詳しいやり方は西野さんの動画をどうぞ。
【NFT】
10月31日発売となるハロウィンプペルNFTは初心者の方が多く購入されるので、詐欺にあわないよう、NFTをロック(盗めないように)するシステムと説明画像を作っていただきましたー。
詐欺をトコトン潰す為に、こちらのツイートをシェアしていただけると助かります❤️ pic.twitter.com/VNlSWMSNKE
— 西野亮廣(キングコング) (@nishinoakihiro) October 26, 2022
まとめ:仮想通貨のはじめの1歩は口座開設!
- ①:詐欺を他人事だと思わない
- ②:DiscordのDMはオフにする
- ③:Discordのなりすましに注意する
- ④:公式Twitterをフォローして、あとはブロックする
- ⑤:Twitterのメアド未認証のアカウントをミュートする
- ⑥:公式からOpenSeaにアクセスして、ブックマークする
- ⑦:スマホにはメタマスクを入れない
- ⑧:フリーWiFiは使わない
- ⑨:利用頻度の低いサイトとの接続は解除する
- ⑩:コールドウォレットを作り、NFTをトランスファーする
- ⑪:ハードウェアウォレットで管理する
- ⑫:秘密鍵はオフラインで管理する
- ⑬:保管用PCを用意する
- ⑭:アプルーブを理解して、定期的にリボークする
- ⑮:ハッカーの手口を覚える
- ⑯:NFTをロックする
「NFTハッキング対策」について超初心者向けに徹底的にまとめてみました。
また、仮想通貨を買うのも、NFTアートを買うのも、はじめの一歩は「仮想通貨取引所に口座を持つこと」です。
\ 無料5分・スマホでもかんたん /