Columns

第4回 暗号資産のWeb3活用|急増中!フィッシング詐欺から資産を守る

第4回 暗号資産のWeb3活用|急増中!フィッシング詐欺から資産を守る

公開日: 2025年7月30日

最終更新日: -

▼目次

    「暗号資産のWeb3活用」シリーズでは、SBI VCトレードをご利用の皆さまや、暗号資産(仮想通貨)の活用に関心のある皆さまに向けて、暗号資産を「保有」するだけでなく、積極的に「活用」するための視点をご紹介しています。

    暗号資産市場は、ブロックチェーン技術がもたらす利便性と将来性への期待から、近年は世界中で急速に普及が進んでいます。その一方で、利用者の資産を狙うサイバー犯罪も巧妙化の一途を辿っています。
    大切な資産を守るために、サイバー犯罪の手口を知り、セキュリティの知識を身につけて、日々意識してインターネットを利用することが重要となります。

    本記事では、暗号資産のセキュリティに関する基本的な考え方から、特に手口が巧妙化しているフィッシングの具体的な事例、そして暗号資産を守るための対策について解説します。


    1. 拡大するサイバー犯罪リスク

    近年、暗号資産は投資対象として注目を集めており、暗号資産取引所(※1)の口座数と稼働口座数(※2)は増加傾向にあります。

    出所:一般社団法人日本暗号資産取引業協会・統計情報

    「暗号資産取引月次データ(2018年9月〜2025年5月)」


    また、利用者預託金残高の合計金額も増加傾向にあります。

    出所:一般社団法人日本暗号資産取引業協会・統計情報

    「暗号資産取引月次データ(2018年9月〜2025年5月)」


    このように、暗号資産の盛り上がりが注目される一方で、犯罪への悪用も増加傾向にあります。

    警察庁の発表によると、2024年度の不正送金事犯発生件数のうち約99%が個人で、被害総額は約86億9,000万円にのぼり、フィッシングがその手口の9割を占めるとしています(※3)。また、被害額の約37%に当たる約32億1,000万円が暗号資産交換業者の口座に送金されたと報告されています。
    特に、電子メールやSMSは、フィッシングに悪用される実態がみられます。

    出所:警察庁・サイバー空間をめぐる脅威の情勢等

    令和6年におけるサイバー空間をめぐる脅威の情勢等について


    民間の事業者で作るフィッシング対策協議会の「フィッシングレポート2025」によると、2024年に報告されたフィッシング報告件数はおよそ171万8,000件で、前年と比較して著しく増加しています。また、2025年上半期は約119万6,000件の報告がされており、半期ごとの報告件数は過去最多となりました。

    出所:フィッシング対策協議会・月次報告書


    2. 巧妙化するフィッシングの手口

    フィッシング対策協議会は、フィッシング(Phishing)を、「実在する組織を騙って、ユーザーネーム、パスワード、アカウントID、ATMの暗証番号、クレジットカード番号といった個人情報を詐取すること」と説明しています(※3)。
     
    フィッシングの具体的な手口としては、まず電子メールやSMSが挙げられます。
    「アカウントがロックされました」「決済情報更新のお願い」「報酬加算のお知らせ」といった、緊急性を煽る内容や、過剰なメリットを提示する内容で、利用者の不安や好奇心を刺激し、偽のログインページへ誘導します。


    また、検索ブラウザに表示される偽サイトにも注意が必要です。これらは、正規サイトと見分けがつかないほど精巧に作られています。
    また、検索エンジンで公式サイトを探した際、広告枠に偽のサイトを上位表示させる手口も横行しています。URLをよく見ると、1文字だけ違うなど、巧妙に偽装されているのが特徴です。


    SNSやチャットツールなどを通じたフィッシングも多発しています。
    例えば、X(旧Twitter)などの公式SNSアカウントが乗っ取られたり、なりすましアカウントが偽のプレゼント企画やエアドロップを宣伝したり、サポートを名乗るDM(ダイレクトメッセージ)で偽のサイトへ誘導したりするケースが後を断ちません。


    Discord(ディスコード)のような公式コミュニティサーバー内であっても、運営者や管理者のアカウントになりすまし、そこから不審なリンクやファイルを送ってくる事例も確認されています。
    さらに、「当選しました」「限定キャンペーンです」といった魅力的なキャッチコピーでウォレット接続を促し、資産を抜き取る詐欺も横行しています。

    3. 口座の資産を守るためのセキュリティ対策

    暗号資産のセキュリティ対策には、暗号資産交換業者が講じる対策と、お客さま自身が正しい知識を身につけて実践する対策があります。

    金融庁に登録されている暗号資産交換業者は、法律に基づく規制や規定を遵守し、KYC(本人確認)やAML(マネーロンダリング対策)の徹底、顧客資産の分別管理、コールドウォレット保管、不正アクセス対策、システムトラブル対応などのセキュリティ対策を行なっています。
    SBI VCとトレードが実施している安全なお取引への取り組みはこちらをご覧ください。

    また、お客さまご自身がセキュリティ意識を身につけ、正しい知識に基づいてサービスを利用することも、資産を守るために大切な行動です。

    不審な電子メールは開封しない

    電子メールの差出人情報などは簡単に詐称ができるため、差出人情報などを頼りに電子メールの真偽を見抜くことは困難です。フィッシング対策協議会は、「銀行やショッピングサイトなどからどのようなタイミングで、どのようなメールが届くかを事前に理解し、それに当てはまらないものは全て怪しいと考える」ことが大切であると注意喚起しています(※4)。

    また、受信者の意向を無視して一方的に大量に送られてくる電子メールが近年急増しています。このスパム(迷惑)メールには、フィッシングサイトへの誘導が含まれている場合や、マルウェアを仕込んだファイルやリンクが含まれている場合があります。
    もし不審な電子メールが届いたら、開封せずに削除することが大切です。誤って開封してしまった場合でも、URLや添付ファイルはクリックせず、速やかに削除しましょう。

    不審なDMやキャンペーン情報に注意する

    公式アカウントのなりすましにも注意が必要です。
    サポートデスクや有名人を名乗るアカウントからのメッセージが届いたり、魅力的なキャンペーン情報などを見かけたりした場合は、安易に反応せず、公式ウェブサイトやファウンダー(※5)の発信を確認して、信用できる情報かを確認することが大切です。

    「検索結果の上位表示≠正しいURL」を意識

    検索エンジンでキーワードを検索した際、上位に表示されたページにフィッシングサイトが紛れ込んでいることがあります。フィッシングサイトは、正規サイトと見違えるほど精巧に作られているため、見分けることが困難です。
    なお、フィッシング対策協議会は、フィッシングの被害に遭いやすいのは「思い込んでいる時」「急いでいる時」「疲れている時」であると注意喚起しています(※6)。

    検索エンジンに表示されるリンクや、SNS等の投稿で見かけたリンクなどは、クリックする前に正しいURLかを必ず確認しましょう。

    ブックマークの設定

    インターネット上のサービスを利用する際、公式サイトのURLをあらかじめブックマークに設定しておくことを推奨します。
    検索エンジンではなくブックマークからアクセスする習慣をつけることで、偽サイトへのアクセス防止に繋がります。

    2要素認証の設定

    2要素認証とは、メールアドレス・パスワードなどの「知識情報」や、IDカードやスマートフォンの専用アプリで生成するワンタイムパスワードなどの「所持情報」、顔や指紋などの「生体情報」といった認証の3要素から、2つの異なる認証要素を組み合わせることで、セキュリティを強化する方法です。

    SBI VCトレードでは、Google Authenticator(時間ベースのワンタイムパスワードを生成するアプリ)やSMS認証の設定を強く推奨しています。
    詳しい設定方法はSBI VCトレード「ログイン・パスワード 2要素認証」をご覧ください。

    4. ウォレットでのセキュリティ対策

    この項目では、ご自身で秘密鍵を管理する「ノンカストディアルウォレット」のセキュリティ対策について説明します。

     

    リカバリーフレーズの厳重な管理

    ウォレットのリカバリーフレーズ(シードフレーズ、ニーモニックフレーズともいわれます)とは、秘密鍵のバックアップとして機能するマスターキーです。
    ウォレットで管理している資金はこのフレーズと関連づけられており、もしウォレットのパスワードを紛失した場合でも、リカバリーフレーズを使って復元できます。

    このフレーズを他人に知られたり、紛失したりすると、資産を失う恐れがあります。リカバリーフレーズは紙などに正確に書き写し、自宅の金庫や貸金庫など、インターネットから完全に切り離された(オフラインの)安全な場所に保管すること推奨します。
    なお、パソコンやモバイル端末のスクリーンショット、クラウドサービス、電子メール、チャットアプリなど、デジタルデータとして残すことは避けてください。これらのデータは、不正アクセスやマルウェア感染によって窃取される恐れがあります。

    また、リカバリーフレーズを知る人は、そのウォレットで管理しているすべての資産にアクセスし、送金できるようになります。ご自身の資産を守るためにも、リカバリーフレーズを他人と共有することは絶対に避けてください。
    もし、サービスのサポート担当や開発者を名乗る人物、あるいは親しい友人であっても、いかなる場合でもリカバリーフレーズを他人に教えないという原則を徹底しましょう。

    不審なサイトやアプリにウォレットを接続しない

    フィッシングを目的とした悪意あるサイトやアプリは、悪質な取引(トランザクション)の承認を促すことで、暗号資産を抜き取ろうとします。
    ウォレットを接続する前に信用できる提供元かを必ず確認し、少しでも怪しいと思ったらウォレットを接続しないようにしましょう。

    公式アカウントや公式サイトの確認

    ウォレットアプリや拡張機能をインストールする際は、提供元をよく確認し、アプリのダウンロード数(ユーザー数)やレビューの評価も必ず確認しましょう。
     
    偽サイトや偽ストアの場合、ドメインが公式とは異なっていたり、アプリのダウンロード数やレビュー数が非常に少なかったりすることがあります。

    承認(Approve)内容の確認

    NFTマーケットプレイスなどのWeb3サービスにウォレットを接続した際に、「承認(Approve)」という操作を求められることがあります。これは、スマートコントラクトがウォレット内の暗号資産やNFTを動かすことを許可するための操作です。
    例えば、ウォレットAで管理しているNFTをNFTマーケットプレイスに出品する場合、承認(Approve)することでトークンの譲渡を自動化できるようになります。これにより、NFTの売買が成立した際にはウォレットAからウォレットBへNFTが自動で転送されるようになります。

    このように、Web3サービスの利用に欠かすことができない「承認(Approve)」ですが、使い方を誤るとトークンが不正に引き出されるリスクがあります。

    特に「無制限の承認(Unlimited Approve)」を与えてしまうと、そのスマートコントラクトはウォレット内の対象トークンを制限なく動かせるようになります。ウォレットを対象としたフィッシング詐欺の多くは、この仕組みを悪用して行われるため、注意が必要です。

    承認(Approve)の署名を行う際は以下の点を確認しましょう。
    ①   コントラクトアドレスの確認
    ウォレットに表示されるアドレスが、そのWeb3サービスの公式サイトに記載されているものと一致しているかを確認します。

    ②   トークンの種類と数量の確認
    どのトークン(暗号資産やNFT)に対し、どれだけの数量を求めているかを確認します。特に、「infinity」や極端に大きな数値が表示されている場合、それは「無制限の承認」を意味します。信頼できるアプリケーションでない限り、必要最小限の数量のみ承認するようにしましょう。

    ③   要求されている権限の確認
    不必要に広範な権限(無制限の承認など)が要求されていないかを確認します。少しでも不自然な文言が表示されている場合は、承認を中止してください。

    ④   ガス代(※7)の確認
    表示されたガス代が通常よりも異常に高額な場合、悪質なコントラクトが原因の可能性を疑ってください。
    リアルタイムのガス代は、イーサスキャンポリゴンスキャンのようなブロックチェーンエクスプローラーのウェブサイトで提供されている「Gas Tracker」などのツールで確認できます。相場と照らし合わせて判断するようにしましょう。

    ⑤   定期的な承認の取り消し
    一度承認(Approve)すると、自動的には失効しません。使用していないWeb3サービスや、すでに廃止されたプロジェクトに対して与えている承認は、定期的に確認してRevoke(取り消し)するようにしましょう。
    Revokeは、イーサスキャンポリゴンスキャンのようなブロックチェーンエクスプローラーのウェブサイトで提供されているツールなどで実行できます。

    5. まとめ

    近年、サイバー犯罪、特にフィッシング詐欺の脅威が急増しており、成長を続ける暗号資産市場も例外ではありません。
    フィッシングは電子メールや偽サイト、SNS、チャットツールなど、多岐にわたる手口で巧妙に仕掛けられるため、その手口を知り、常に警戒することが重要です。

    暗号資産を守るためには、暗号資産交換業者が提供する強固なシステムと、お客さま自身が実践する対策の両方が不可欠です。暗号資産取引所の口座利用時は、必ず信用できるルートからアクセスし、2要素認証やパスワード管理を徹底しましょう。

    また、ウォレットでご自身が管理する資産については、リカバリーフレーズをオフラインで厳重に保管し、決してデジタルデータとして残さないことが重要です。さらに、不審なサイトやアプリに安易にウォレットを接続したり、内容をよく確認せずに送金などの承認(Approve)を行なったりしないよう、常に細心の注意を払うようにしてください。

    フィッシング詐欺は巧妙化の一途を辿っています。本記事で解説したセキュリティ対策が、ご自身の暗号資産を守る一助となれば幸いです。



    (※1)正式には「暗号資産交換業者が提供する販売所・取引所及び各種サービス」ですが、文中では一般的な理解のしやすさを優先し、「暗号資産取引所」と記載しています。
    (※2)稼働口座数とは、当月に取引が行われた口座又は残高を有する口座です。
    (※3)出所:警察庁「令和6年におけるサイバー空間をめぐる脅威の情勢等について」p.13
    (※4)出所:フォッシング対策協議会「利用者向けフィッシング詐欺対策ガイドライン 2025年度版」p.12
    (※5)Web3における「ファウンダー」とは、プロジェクトを立ち上げた創業者や設立者、または初期の企画・開発・運営に携わった人物やグループを指します。
    (※6)出所:フィッシング対策協議会「フィッシングとは
    (※7)ガス代とは、トランザクションを作成する際に必要となるネットワーク手数料のことです。ネットワークが混雑している場合、ガス代が高額になることがあります。
     
    参考
    ・一般社団法人日本暗号資産取引業協会「統計情報
    ・警察庁「サイバー空間をめぐる脅威の情勢等
    ・フィッシング対策協議会「月次報告書
    ・フィッシング対策協議会「フィッシングレポート2025
    ・SBI証券「SBI証券を装ったフィッシングメール等にご注意ください
    ・SBI VCトレード「セキュリティ
    ・SBI VCトレード「安全なお取引への取り組み
    ・SBI VCトレード「【注意喚起】お客さまの大切な資産をお守りするために