なやむとりNFTを盗まれたらどうしよう?盗難や詐欺の対策を教えて!
こんな悩みを解決します!
- NFTが盗まれる仕組み
- 盗難からNFTを守る具体策
重要な事実なのですが、NFTの世界は詐欺や盗難が多いです。
中でも知識を持たない初心者が狙われやすく、実際の被害も出やすい傾向にあります。
- やっと手に入れたNFTがウォレットから消えていたら…?
- 愛着のあるNFTが盗まれたら?
- 別の誰かの手に渡り、売られてしまったら?
ろびんショックすぎて立ち直れませんよね…
最悪の事態を避けるために、本記事では詐欺・盗難の対策を解説します!
ほとんどの被害は知っているだけで防げるので、本記事を読んで守りを固めましょう。
記事を読み終わったころには、安心してNFTの世界を楽しめるようになりますよ!
記事を書いた人
ろびん
- 元地方公務員(10年)のフリーランス
- 資産運用×ブログ運営
- 投資歴5年以上
- 資産運用額3,000万円↑
ろびん
- 元地方公務員(10年)のフリーランス
- 資産運用×ブログ運営
- 投資歴5年以上
- 資産運用額3,000万円↑
NFTが盗まれる仕組み
まずはNFTが盗まれる仕組みを理解しておきましょう。
なやむとりなぜ仕組みの理解が必要なの?具体的な対策だけを知っておけば良いんじゃない?
ろびん仕組みを理解できていれば自ずと対策を自分で考えられるからです。新たな詐欺手法が出現していても、その仕組がわかっていれば対策できます。
NFTが盗まれるのは大きく分けて2パターンあります。
- パスワード・シードフレーズ・秘密鍵が漏れる
- 悪意のある取引を許可してしまう
仕組み1:パスワード・シードフレーズ・秘密鍵が漏れる
1つ目はウォレットを操作するのに必要なパスワードやシードフレーズ・秘密鍵がハッカーに漏れてしまうことです。
それぞれの用途は以下のとおりです。
- パスワード … ウォレットにログインする本人確認のため(変更可能)
- シードフレーズ … 単語の羅列。秘密鍵を生成するマスターキーのようなもの(変更不可)
- 秘密鍵 … ウォレットの中身を送付するのに必要(変更不可)
シードフレーズか秘密鍵のどちらかが知られてしまった段階でアウトです。
理由はシードフレーズor秘密鍵のどちらかがわかれば、他のPC上でウォレットの復元ができてしまう(=不正に中身を引き出せる)からです。
なやむとりどうやって漏れるんですか?
具体的には以下の3パターンが多いです。
- マルウェア(ウイルス)に感染
- クラウドから流出
- フィッシング詐欺
マルウェア(ウイルス)に感染
悪意のあるwebサイトにアクセスしたり、悪意のあるプログラムをダウンロードして実行してしまうなどで、PCがマルウェア(ウイルス)に感染します。
感染すると、知らないうちに自分のPCの情報が外部に漏れてしまいます。
対策
- 怪しいwebサイトへアクセスしない
- 怪しいプログラムをダウンロード・実行しない
- ウイルス対策ソフトの導入
- WindowsよりMacを使う
クラウドから流出
インターネット上にデータを保存するクラウドストレージに、パスワードなどを保存している場合に起こりえます。
- クラウドサービスがハッキングにあい、情報が流出してしまう
- 不正にクラウドサービスにログインされ、盗み見られてしまう
運営元へのハッキングは個人ではどうしようもないですが、不正ログインは二段階認証を設定するなどで対応しましょう。
対策
- クラウドサービスに二段階認証を設定
- そもそもクラウドサービスへパスワード・シードフレーズ・秘密鍵は保存はしない
フィッシング詐欺
公式アカウントを装い、偽サイトへ誘導し、シードフレーズなどを入力させてきます。
webサイトのURLや、SNSアカウントのIDを一文字変えて偽装してきたりなど巧妙な手口なので、本物だと勘違いしてしまいます。
基本的に、シードフレーズや秘密鍵はどんなことがあっても他人に伝えてはいけません。
仕組み2:悪意のある取引を許可してしまう
2つ目は「悪意のある取引を許可してしまう」です。
NFTにはスマートコントラクトといってプログラムが組み込まれています。
プログラムの中に「ウォレットの中身を引き出す」という命令が組み込まれていた場合、実行を許可してしまうと一瞬でNFTが盗まれてしまいます。
事例としてはこんな内容です。
- フリーミントをしたらNFTが盗まれた
- 知らないNFTがウォレットにあり、オファーを承認したら他のNFTが盗まれた
なやむとり……どういうことですか?
どちらも、ウォレットの中身を引き出すプログラムが仕込まれていて、盗まれてしまったパターンです。
これは「Set Approval for All」という機能を悪用した手口になります。
「Set Approval for All」に注意
メタマスクを使っていると、こんな画面を目にしますよね?
署名をしたり、トランザクションを実行したりなど、NFTを取り扱うのに必要な確認画面です。
(この画面はだたの署名なのでOKです)
例えばミントサイトで「すべてのアクセスとその送金を許可しますか?」の表示が出たら、一度手を止めて詐欺を疑ってください。
ミント時に自分のウォレットの中身を送付する権限は不要なはずですが、この画像では「Set Approval For All」という命令が実行されようとしています。
「Set Approval For All」は相手に「全ての権限を与える」命令ですので、許可した先に悪意のあるプログラムが組み込まれているとNFTが盗まれてしまいます。
ちなみに上記の画像は「Set Approval For All」の例です。画像を入手するために、OpenSeaでNFTを売ろうとした時のものです。OpenSeaは信頼できるのでSet Approve For Allは実行してOK。OKしないとNFTが売れません。
ただ注意したいのは「Set Approve for All」が全てダメというわけではありません。
OpenSeaなど信頼できるwebサイトでもNFTを売買するのに必要な場合もあるので、最終的には自分で判断をするしかありません。
NFTを守る対策
では具体的な管理方法3つと、具体的な行動指針4つ紹介します。
管理方法
- 保管用ウォレットを分ける
- ハードウェアウォレットを使う
- 保管用PCを使う
行動
- シードフレーズ・秘密鍵は絶対に入力しない
- 「Set Approval for All」に注意
- Twitterで流れてくるリンク、DMは無視する
対策1:管理方法
管理方法
- 保管用ウォレットを分ける【必須レベル】
- ハードウェアウォレットを使う
- 保管用PCを使う
管理方法1:保管用ウォレットを分ける【必須レベル】
日常的にwebサービスにつなぐ用のメインウォレットとは別に、NFTを管理する「保管用ウォレット」を別に作りましょう。
ろびん実はこれだけでほとんどの被害を防止できます。
仮にメインウォレットのハッキングを受けても、保管用ウォレットに大事なNFTを移していれば被害は最小限で抑えられるからです。
保管用ウォレットの作成方法や注意点は、別の記事でまとめているのでこちらを参考にしてください。
お金がかかるようなことではないので、必ずやっておくことをおすすめします。
管理方法2:ハードウェアウォレットを使う
ハードウェアウォレットとは、物理的なデバイスに秘密鍵を保存する方法です。
通常はブラウザ内に秘密鍵が保存されていますので、PCへ不正アクセスされるなどで漏洩する可能性があります。
一方、ハードウェアウォレットを利用すると秘密鍵はブラウザ上に保存されなくなり、物理的に隔離して秘密鍵を保管することができます。
いくらハッカーでもインターネットにつながっていないデバイスにアクセスすることはできないですからね。
ハードウェアウォレットジャパン:レジャーナノの日本直売店です。
>>レジャーナノを購入する
ろびん偽物を掴まないように必ず正規店から購入しましょう。Amazonや楽天での購入もやめたほうが安全です。
(参考)>>Ledger Nano(レジャーナノ)モデルを比較!どれを選べば良い?
管理方法3:保管用PCを使う
方法1のウォレットを分けたうえで、さらにウォレットを管理するPCも分けてしまう方法です。
「物理的に分ける」という点はハードウェアウォレットと似ていますね。
この時に保管用のPCは、必要なとき以外はインターネットに接続しないようにします。
とはいえPCは高価ですから、例えばPCを買い換えるタイミングなどで、保管用のPCが用意できるのであれば採用しましょう。
ろびんより徹底するのであれば、WindowsよりもMacを利用したほうが安全です!
対策2:行動
管理方法の対策ができたら、次は行動に注意しましょう。
これは「知っていれば被害を防げる内容」ので、必ず一度は目を通してくださいね。
具体的には以下の内容です。
行動
- シードフレーズ・秘密鍵は絶対に入力しない
- 「Set Approval for All」に注意
- Twitterで流れてくるリンク、DMは無視する
- フリーWiFiを使わない
行動1:シードフレーズ・秘密鍵は絶対に入力しない
シードフレーズ・秘密鍵はウォレットそのものと言っても良いかもしれません。
シードフレーズor秘密鍵さえわかれば、誰でも別のPCでウォレットを復元し、自由に中身を引き出せるからです。
詐欺師はあらゆる手段を使って、このシードフレーズ・秘密鍵を入手しようとしてきます。
事例:
公式サイトそっくりのwebサイトでログイン時にシードフレーズを要求していくる。
URLを一文字入れ替えるなどで、パッと見では真偽の区別がつきにくいように作っている。
行動2:「Set Approval for All」に注意
メタマスクが起動し、なんらかのアクションを承認する時に「Set Approval for All」が実行されないか確認しましょう。
これは相手に「全ての権限を許す」コマンドになっているので、承認先がウォレットの中身を操作できるようになります。
事例:
NFTをミントしようとウォレット接続し、メタマスクの画面を承認したらウォレット内のNFTがなくなっていた…。
こういったことが起こります。
ただSet Approval for All自体がダメというわけではありません。OpenSeaなどでNFTを売ったりするのに必要な場合があります。
>>Set Approval for Allについての解説へジャンプする
行動3:Twitterで流れてくるリンク、DMは無視する
Twitterなどで流れてくるリンク、知らない人からDMで送られてくるメッセージは100%詐欺だという認識で良いです。
発信元のSNSアカウントが、公式になりすましている場合が多いです。
例えば、以下の画像はNinjaDAOのTwitterアカウントです。
アカウントIDを1文字替えて偽装しています。フォロワー数を買ったりすることもできるので、フォロワー数が多いからといった信用してはだめですよ。
行動4:フリーWiFiを使わない
空港や駅などで自由にネットが使えるフリーWiFiは便利ですがセキュリティ的には危ないです。
実はフリーWiFiには通信情報を盗み取られる可能性があるからです。
特にウォレットを管理しているPCをフリーWiFiにつなぐ場合は、無防備のままだと非常に危険です。
実際にフリーWiFiに接続してウォレットの中身を盗まれてしまった事例があるんです!
理由がなければフリーWiFiの利用を控えるか、モバイルWiFiやスマホのテザリングを利用しましょう。
どうしてもフリーWiFiを利用する場合はVPNサービスを利用しましょう。
通信内容を保護してくれるので安心してフリーWiFiを使えます。
>>NordVPNとは?評判と使ってみた感想【フリーWiFiでも安心】
「守る力」をつけて脱初心者へ
本記事では、NFTの盗難・詐欺対策を解説しました!
ここまで読んでいただいた方であれば、知識を持っていればほとんどの被害は防げることが理解できたと思います。
ろびん守りの力がつけば初心者は卒業ですね!
盗まれてからでは遅いので、最低でもウォレットを分けることだけはしておきましょう。
今後もNFT投資を続けていくのであれば、ハードウェアウォレット(レジャーナノ
)の購入もしておくとかなり安心できると思います。
守りを固めて、NFTを楽しんでいきましょう!
よりNFTを理解したい人には、教科書的なコレをどうぞ。
内容は、NFTを売買して稼ぐ方法やNFTプロジェクトを運営するコツなど、NFTホルダー〜仕掛ける側までの広い情報が詰まっているので、NFTの世界の現在地が理解できますよ。