サイバーセキュリティ
クリプトの隠れた価格: 金融の自由がフィッシングと出会う
クリプトカレンシーの価格が上昇するにつれ、クリプト保有に対する攻撃も増加しています。実際、サイバー犯罪者は毎日より洗練されたものとなり、コードから人間の脆弱性を利用することに移行しています。
そのような攻撃により、サイバー犯罪者は、複雑なサイバーセキュリティ保護バリアーを突破することなく、クリプトユーザーを詐欺することが容易になります。
あるフィッシング詐欺では、クリプト投資家が300万ドルを失いました。ユーザーは、悪意のあるブロックチェーントランザクションに署名する前に、契約アドレスを確認しませんでした。単一のクリックで、ユーザーのウォレットから300万ドル相当のUSDTが奪われました。
ブロックチェーン分析プラットフォームLookonchainは、X(元Twitter)上的投稿で述べました:
「誰かがフィッシング攻撃の被害に遭い、悪意のある転送に署名し、305万ドル相当のUSDTを失いました。警戒してください。安全に保ちましょう。一つの間違ったクリックでウォレットを空にできるため、絶対にトランザクションをしないでください。」
これはどういう意味でしょうか?まず、理解しましょう。最初に、トランザクションは、デジタル、分散型の台帳であるブロックチェーンに記録されるデータエントリです。
アセットを転送するようなアクションを開始すると、トランザクションが作成され、送信者、受信者、金額、および関連する条件に関する情報が含まれます。トランザクションは、ノードのネットワークに放送され、検証された後、ブロックに追加され、最終的にブロックチェーンに追加されます。
送信者として、自分のアカウントから別のアカウントに価値または資金を転送するとき、受信者のアドレス、金額、そしてトランザクションを承認または署名する必要があります。
トランザクションを承認することは、それを実行することを認めることを意味します。この確認では、トランザクションにデジタル署名するためにプライベートキーを使用する必要があり、トランザクションが実行され、金額がウォレットから受信者に移動され、最終的にブロックチェーンに記録されます。
一方、誰かに資金を送信してもらうように依頼する場合は、トランザクションをリクエストする必要があり、そのためには公開アドレスを提供する必要があります。
アドレスは、ユニークなアカウント識別子であり、それを検証することで、有効であり、正しい人物に資金を送信していることを確認できます。便宜上、アドレスの最初と最後のいくつかの文字を確認するだけで済みますが、多くの場合、それで十分ですが、特に大額の資金を移動する場合は、絶対にそうではありません。したがって、これは最善の方法ではありません。
各クリプトウォレットには、文字のユニークな組み合わせがあるため、アドレスを確認してください。
さらに、クリプトユーザーは、署名リクエストと使用しているウェブサイトまたはサービスのURLを常に二重に確認する必要があります。Lookonchainが述べたように、常に「公式ソースからの契約アドレスを確認してください」。
一つのクリックが数百万を費やす: フィッシングがクリプトユーザーを上回る方法
フィッシング攻撃は、クリプト空間で一般的な現象となっています。先週、フィッシング攻撃の別の被害者が、900万ドル以上の資産を失いました。この特定の攻撃は、被害者が悪意のある承認トランザクションに署名してから457日後に発生しました。
したがって、自分がそのような間違いを犯さないようにするには、ブロックチェーンと脆弱性に対する理解を高める必要があります。まず、フィッシングについて詳しく見てみましょう。
フィッシングは、サイバー攻撃の最も一般的な種類の1つです。フィッシングという用語は、詐欺的な電子メールを使用して情報を「釣る」ハッカーを特定するために最初に使用されました。しかし、今日、フィッシング攻撃は、電子メールだけでなく、ウェブサイト、テキスト、ボイス、ソーシャルメディア、他のチャネルを使用して、人間の信頼と意思決定プロセスを利用するために高度なものとなりました。
これには、ウォレットのプライベートキーまたは個人情報 such as ユーザー名、パスワード、銀行口座情報、クレジットカード番号、またはその他の機密データを提供するように人を欺くことが含まれます。
フィッシングは、実際には、技術的な脆弱性ではなく、人間の心理を利用するソーシャルエンジニアリングの一種です。ネットワークやリソースを直接標的にしていないため、標準の監視ツールはこれらの攻撃を進行中には検出できないことが多いです。
攻撃者は、被害者を心理的に操作して、機密情報の開示、悪意のあるリンクのクリック、添付ファイルの開封、または悪意のあるファイルのダウンロードなどの特定のアクションを実行するように操作します。
攻撃者は、合法的な人物、団体、またはソースに成りすまして、被害者を欺きます。攻撃者が被害者の信頼を得た後、得た情報を使用して資金を盗みます。
IBMの「データ漏洩のコスト」レポートによると、フィッシングは、実際には、最も一般的な初期のデータ漏洩ベクターです。
また、CertiKの「Web3セキュリティ年次レポート」によると、クリプト業界では、これらが最も高価な攻撃ベクターです。2024年には、少なくとも300のフィッシング攻撃が発生し、そのうち3つは、被害者に1億ドル以上の損失をもたらしました。
フィッシング攻撃により、攻撃者は、10億ドル以上の盗まれたクリプト資産を得ました。これらの数字は「保守的な」ものであり、未報告の事件があるため、実際の数字ははるかに高いと予想されます。
これらの攻撃の標的は、日常の人々だけではなく、大手企業や政府機関でもあります。クリプトでは、ウォレット、取引所、さらにはトークンセールが攻撃の標的となり、クリプトユーザーが資金を保護する方法を知ることが重要です。
クリプトでの一般的なフィッシング攻撃には、以下のものがあります:
- スピアフィッシング攻撃 – 標的についての事前の知識を使用して、フィッシャーは電子メールを合法的に見せるようにします。
- ホエーリング攻撃 – これは、組織内の高プロファイルの個人、つまり「クジラ」を標的にし、より大きな影響を与えます。
- クローンフィッシング攻撃 – 攻撃者は、被害者が過去に受け取ったメッセージのコピーを作成します。
- 欺瞞的フィッシング攻撃 – 技術を使用して、実際の会社を模倣し、標的がサイバー攻撃を受けていることを通知し、悪意のあるリンクをクリックさせるために使用します。
- ファーミング攻撃 – 被害者を偽のウェブサイトにリダイレクトすることです、正しいURLを入力していてもです。
- イーブルツイン攻撃 – パブリックWi-Fiネットワークを標的にし、正当なものと同じ名前を使用して偽のネットワークを設定します。
- アングラーフィッシング攻撃 – 偽のソーシャルメディア投稿を使用して被害者を欺くことです。
- スミッシングまたはSMSフィッシング攻撃 – 悪意のあるリンクを含む、見かけ上は合法的な会社のテキストメッセージを送信します。
- ヴァイシングまたはボイスフィッシング攻撃 – コーラーIDを偽装して、合法的な組織からのコールであるように見せかけることです。
- DNSハイジャック – 合法的なウェブサイトのDNSエントリを変更して、偽のウェブサイトにリダイレクトすることです。
- 偽のブラウザーエクステンション – 悪意のあるプラグインで、合法的なもののように見えます。
- 検索エンジンフィッシング攻撃 – ハッカーが、攻撃者のウェブサイトへのリンクとともに、検索結果のトップヒットになるように仕組むことです。
- アイスフィッシング – 被害者に偽のトランザクションを送信し、プライベートキーで署名することを要求します。
- フィッシングボット – フィッシング攻撃を自動化するコンピュータープログラムで、大量のフィッシング電子メールを送信するために使用されます。
クリプトでは、フィッシング攻撃は通常、攻撃者が潜在的な被害者に、合法的なソースからのものであるように見える電子メールまたはメッセージを送信することから始まります。
メッセージには、偽のウェブサイトにリンクが含まれています。リンクをクリックしてログイン情報を入力すると、攻撃者はアカウントにアクセスするためにそれを使用します。
偽の電子メールやウェブサイトを特定することは難しいですが、使用している製品やサービスに精通することで、偽物を発見できます。また、スペルや文法の誤りを探すこともできます。パブリックな電子メールではなく、企業の電子メールを使用することは、疑わしいものとみなすべきです。
フィッシング攻撃から自分を守る方法については、電子メールや信頼できないソースからのリンクをクリックしないこと、信頼できるプラットフォームのみを使用してアプリをダウンロードすること、パブリックWi-Fiネットワークを避けること、システムを最新の状態に保つこと、強力なパスワードを使用すること、および2要素認証を有効にすることが重要です。また、クリプト保有について誰にも話さないこと、および個人情報を誰にも提供しないことも重要です。
フィッシングを超えて: クリプト犯罪の成長するアーセナル
フィッシング攻撃は、クリプトの一般的な攻撃ベクターの1つです。偽のウェブサイト、電子メール、またはメッセージを使用してユーザーを欺くだけでなく、サイバー犯罪者は、クリプト資産または資金を入手するために多くの他の方法を使用しています。
ラグプルは、チームがプロジェクトを構築するために一般から資金を集め、ただし、そのお金で逃げる、というものです。さらに、インサイダーが価格操作を調整して価格を人為的に高騰させ、投資家を惹きつけた後、急いで売却する、というパンプアンドダンプもあります。
クリプトで詐欺されることは、実際にはかなり一般的です。
連邦捜査局(FBI)のインターネット犯罪苦情センター(IC3)によると、アメリカ人は2024年に「驚くべき16.6億ドル」を失い、その大部分が詐欺によるものでした。同局は、クリプト関連の詐欺による損失が93億ドルであったと推定しています。
60歳以上の個人を標的にし、同局は約33,000件の苦情と28億ドルの損失を記録しました。
ハッキングも業界を悩ませ続けています。これは、攻撃者がシステムに未承認でアクセスすることを含みます。これらの行為は2024年に17%増加したという、ブロックチェーンセキュリティ会社TRM Labsの報告ではあります。ノースコリア連動グループだけで、約7.98億ドルを盗みました。
スマートコントラクトのエクスプロイトは、コードのバグまたは脆弱性を使用して資金を盗む、人気の攻撃ベクターです。クロスチェーンブリッジは、特に盗難に対して脆弱であり、犯罪者によって大きな金額のクリプトを盗むために利用されています。
プライベートキーやシードフレーズの危殆化も、主な攻撃ベクターのままです。プライベートキーを盗むために、犯罪者はフィッシング攻撃だけでなく、マルウェア、クリップボードハイジャック、キーロガー、セキュリティのないストレージを利用しています。
TRM Labsの「クリプト犯罪レポート」によると、違法なクリプト活動は昨年24%減少しましたが、ランサムウェア支払いは史上最高になりました。ランサムウェアは、サイバー犯罪者が被害者のシステムにアクセスして個人データを暗号化し、身代金が支払われるまでアクセスをブロックするために使用されるタイプのマルウェアです。
FBIの2024年の報告書では、ランサムウェアは「再び、重要なインフラストラクチャに対する最大の脅威であり、苦情は2023年から9%増加した」と述べられています。
さらに、国境を越えた組織犯罪グループが、クリプトを資金洗浄および人、薬物、野生動物の密売に使用することが増えています。Chainalysisによると、約110億ドル相当の違法なクリプトボリュームが、ハッキング、強要、密売、または詐欺に関与するウォレットによって受け取られました。
これらの数字は、Chainalysisによって報告され、2024年のクリプトの全市場における違法な使用の割合は3年間で最も低い水準に低下しました。Chainalysisは次のように述べています。
「2024年は、発見した違法アドレスへの入金に基づく下限推定値であるため、恐らくイリシットアクターへの入金の記録年となりました。」
今年を見てみると、犯罪者は、2025年の前半にのみ、クリプトサービスから既に21.7億ドルを盗みました。Chainalysisの報告書によると、この数字は年末までに40億ドルに上昇する見通しです。
大部分の資金は、クリプト取引所Bybitから盗まれたもので、ノースコリア連動ハッカーによる15億ドルの大盗難は、クリプト史上最大のものと見られています。
個人とプラットフォームからの盗まれたクリプトの総額は、今年の最初の6ヶ月間に30億ドルに達しました。これは、個人クリプトウォレットに対する攻撃が増加していることと相まっています。
盗難のうち、個人ウォレットが23%以上を占めました。報告書では、「個人ウォレットを標的にした盗難は、現在オンチェーンで85億ドル相当のクリプトを保持しています」と述べられています。攻撃者は、資金へのアクセスを得るために、物理的な暴力や強制を使用しています。
この厳しい状況の下で、クリプトユーザーは、財産を保護するための厳格な措置を講じることが重要です。最も重要なステップは、自分自身を教育することです。したがって、一般的な詐欺や脅威について最新情報を入手しておきます。次に、ハードウェアウォレットを使用してプライベートキーをオフラインで保存し、絶対にシードフレーズを誰にも共有しないでください。
クリプト富の両刃の剣
クリプトユーザーは、毎年数十億ドルを失っています。サイバー犯罪者は、ユーザーを欺いて、プライベートで機密の情報または資金を提供させるために、さまざまな戦術を使用しています。
一方で、クリプトは、世界中の人々に金融の自由を与える力を持ち、犯罪者を富ませていると同時に、人々に力を与えています。
分散型、透明性、不変性の基盤にあるブロックチェーンを使用して、クリプトカレンシーは、従来の金融システムの代替手段を提供します。
ここでは、銀行や送金サービスなどの仲介者は必要ありません。これにより、コストと時間が大幅に削減されます。これは、世界貿易にとって重大な意味を持ちます。政府や金融機関とのつながりがない中央当局や、リンクのない政府や金融機関がないため、クリプトネットワークは、企業や国にとって貴重な代替手段となります。
世界中の個人も、クリプトカレンシーのオープンで国境のない性質を利用できます。
現在、世界中には14億人の大人が、従来の銀行サービスを利用できない状況にあります。アメリカでは、4.2%の世帯が銀行口座を持っていません。マイノリティグループでは、より高い割合です。クリプトセクター全体にアクセスするために、これらの人々は、スマートフォンとインターネットを使用して、制限なしでアクセスできます。
低い参入障壁により、世界中の誰でも、性別、宗教、または政治的信念に関係なく、デジタル資産を使用して、銀行を必要とせずに価値を送信および受信できます。
クリプトのもう一つの用途は、価値を貯蔵することです。特に、インフレ率が高い国または経済が不安定な国ではです。
ロイターの報告書は、ボリビア人が、地元のボリビアーノ通貨の減価に対するヘッジとして、クリプトにますます注目していることを示しています。ボリビアの中央銀行は、デジタル資産の取引が2025年から前年比530%増加したことを繰り返し述べています。
「これらのツールは、外国為替取引を含む小規模な購入や支払い、全国の家庭やさまざまな業界の小規模および中規模企業の所有者にアクセスを容易にしました。」
– 銀行は声明で述べています
一方、ケニア、ベネズエラ、ナイジェリアなどの発展途上国では、クリプトの採用が金融の包含と経済的持続可能性を大幅に高めています。
したがって、クリプトは、伝統的な銀行システムに挑戦し、金融サービスに新しいアプローチを提供する、変革的な力として登場しました。オープンで分散化された基盤を持ち、クリプトは、伝統的な金融が制限した地理的な障壁や高額なコストに対処しています。
しかし、デジタル通貨が金銭の概念を変え、個人が金融の主権を得たように、デジタル通貨は、新しい課題ももたらしました。詐欺、詐術、セキュリティリスクなどです。したがって、クリプトは、双刃の剣です。
金融システムが分散化され、民主化される世界では、機関から個人のコントロールの移行は、権力を与えるものですが、同時に危険でもあります。クリプトでは、直接お金をコントロールし、自分のキーを保持し、運命を握ります。
「大きな力には、大きな責任が伴う」という言葉が示すように、クリプトでは、責任は完全にユーザーにあります。
したがって、クリプトユーザーとして、常に警戒しておくことが重要です。また、最新情報を入手しておくことも重要です。最も重要なことは、絶対に誰も信頼しないで、常に検証することです。
