NFTの人気が一気に広がるにつれて、詐欺師たちもそれにあやかろうとしている。例えば、偽造NFT、ラグプル(出口詐欺)、価格操作といった、NFT界隈の詐欺には注意が必要だ。
この記事は、ESET社が運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。
2012年を振り返ってみると、当時のColored Coins(カラードコイン)は、現在NFT(非代替性トークン)と呼ばれるものの先駆けだった。あれから10年が経過し、ブロックチェーン技術に基づいた暗号資産(仮想通貨)は、さまざまなものに適用できるようになり、芸術・スポーツ・ゲームの世界などはもちろんのこと、世界中の誰もが関心を抱く対象となった。
NFT市場は2020年に盛り上がりを見せ、前年比で300%以上成長し、暗号資産で数億円の規模にまで達した。しかし、これらの販売件数は、2021年9月の最高値225,000件から、2022年5月の第1週には19,000件まで減少し、92%落ち込むこととなった。また、アクティブウォレット数は11月の119,000から約88%減少して、約14,000であった。
こうした市場の落ち込みにも関わらず、暗号資産ベースで数億円規模の市場を維持しているため、詐欺師の格好のターゲットとなり、NFTの安全性に懸念が生じている。美術館にある芸術品を物理的に盗むためには監視カメラや防犯体制を破る必要があったが、今やデジタルウォレットは、マルウェアやソーシャルエンジニアリングの手法を使って不正アクセスできるようになってしまったのだ。
デジタルアーティストのQing Han氏が2020年に亡くなったとき、詐欺師たちはその機に乗じて、同氏の芸術作品をNFTにして販売してしまった。また、2021年9月には、世界的に著名なグラフィティ・アーティストであるバンクシー氏のWebサイトがハッキングされ、同氏が初めて発行するNFTを販売すると謳った広告が掲載された。あるコレクターは、33万6,000ドル(4,510万円相当)を騙し取られる結果となってしまった。
NFT市場には規制がないため、あらゆる種類の詐欺が横行してしまう状況にある。そのため、アドビ社を含めたいくつかの企業では、正規のNFTトークンを検証する認証スタンプの開発を進めている。詐欺を防ぐ手段がいくつか講じられているものの、変化の激しい市場という背景もあり、詐欺に対する防御はユーザーの対応にかかっている。
ここでは、NFTに関連した詐欺の主な手法と、その被害に遭わないための方法について解説する。
Discord上のダイレクトメッセージ
チャットアプリであるDiscordはサイバー犯罪者にとって魅力的で、ユーザーを騙そうとするさまざまな詐欺が横行している。このチャットアプリにはサーバーと呼ばれるコミュニティ機能があり、そこではユーザー同士が会話したり、配信したり、ゲームをプレイすることができる。
最近公開されたゲーム関連のNFTマーケットプレイスFractalによって運営されるDiscordサーバーには、373人のユーザーが参加していた。2021年12月には、このDiscordサーバーのデジタルウォレットの認証機能が不正アクセスの被害に遭い、暗号資産Solanaベースで15万ドル(2,000万円相当)の損失が発生した。
Discordを悪用した詐欺には、DM(ダイレクトメッセージ)を用いた方法もある。企業やアーティスト、インフルエンサーから連絡が来たように見せかけて、ユーザーを騙そうとするものだ。基本的にはDiscordの参加者が多いほど、詐欺のメッセージを受け取るリスクも高くなる。見知らぬ人から送られてきたリンクをクリックしたり、送金するよう依頼されたりした場合は、十分に注意するべきだ。同様に、新たなNFTを購入する機会があった際には、そのオファーが正当なものかを確認するなどして、トラブルに巻き込まれないようにしてほしい。
ソーシャルメディアにおける偽アカウント
1イーサリアム以下でNFTを売ってほしい。
ユニークな作品、かわいい作品、あるいは変わった作品を売ってほしい。
そして、あなたの出身地を教えてください。
NFT製作者を呼び込む、ソーシャルメディアの偽アカウント
Twitterなどのソーシャルメディアプラットフォームを利用するユーザーは、偽アカウントの可能性を常に意識しておく必要がある。多くの場合、細かい点を確認すれば容易に偽アカウントだと見抜くことができるものだ。場合によっては、一文字違いで詐欺師と見分けられることもある。
同時に、ユーザーにメッセージへの対応を促すようなボットや、技術サポートに見せかけた詐欺アカウントも存在する。ソーシャルメディアを介してユーザーに接触し、暗号資産ウォレットのアカウント情報を聞き出そうとするものだ。必ずしも詐欺が成功するわけではないが、詐欺師にとっては、成功した詐欺の一部が大きな収益につながればよいのだ。
加えて、チャットやアドバイスを求めたりするようなふりをして、ユーザーへ近づこうとする詐欺師もいる。怪しい兆候があれば詐欺師だと見抜ける場合もある。具体的には、フォロワー数、ツイート数、リツイート数、オリジナルコンテンツの有無、といった要素から判断できる。
フィッシング詐欺
正規のWebサイトやアプリを完全にコピーするのも、よくある手法だ。偽のNFTマーケットプレイスや偽造の暗号資産ウォレットは、DiscordやTwitter、フォーラム、あるいは電子メールで拡散されている。実際の企業のものと極めて類似しているため、URLのわずかな違いや画面レイアウトなどの小さな違いに十分に注意しなければならない。
そのため、特にWebサイトで個人情報を入力する際には、リンクをクリックする前に必ずURLを確認してほしい。NFTウォレットのシードフレーズ(ウォレットへのアクセスを回復するための文字列)やパスワードを誰にも伝えてはならないというルールを徹底するべきだ。
Webサイトが正規のものだと確認した後は、NFTそのものの信憑性を検証する必要がある。販売者のプロフィールや過去の売買履歴を確認してほしい。特に、ニーズのある高価なクリプトアートを購入する際は、NFTがオリジナルのもので、ほかのマーケットプレイスで販売されていない点を確認するべきだ。価格に関して言えば、詐欺師は模造品を低価格で販売する傾向があるため、驚くほど安い作品には慎重になる必要がある。
アーティストのなりすまし
前述のWebサイトがハッキングされたバンクシーの例に加え、ほかのアーティストも同様な被害に遭っている。Art Blocks(NFTマーケットプレイス)で公開された「Fidenza」という作品を手掛けたTyler Hobbs氏は、同氏のプログラムを流用してレプリカ作品を不正に販売したとして、SolBlocksというNFTプロジェクトを訴えた。また、Derek Laufman氏の作品は、同氏の名前を騙り、認証アイコンさえも取得した偽のアカウントによって不正に販売された。
これらの詐欺は数え切れないほどあり、アーティストたちは、自身の作品を無断で販売する偽アカウントへ呼びかけたり、レビューしたり、訴える活動に追われるようになっている。
価格操作詐欺
NFTの価格操作詐欺は、ある個人や集団によって特定のNFT(または暗号資産)が大量に購入された後、彼ら自身によって買い戻される点が特徴だ。あたかもNFT資産に高い需要があると見せかけるのが狙いである。このようにして、転売利益を引き上げることができるのだ。
Robert Evans(The Only Robert Evans)
多数見られるNFTの大量な売却の多くは、価格操作かマネーロンダリングの一環で、購入者自身が行っているものだ。
購入者にとっては、絶好の投資機会であるように見える。プロフィール欄でNFTを拡散するインフルエンサーによって支えられているように見えるからだ。購入者は、より高い価格で売り抜けようとするが、詐欺師が痕跡を残さないよう資金を引き揚げるため、残念ながら価格の上昇は起こらない。
ラグプル(出口詐欺)
ラグブルはNFT市場にも悪用された古典的な詐欺手法だ。詐欺だと気付いたときには既に手遅れという点で、ラグプルは共通している。
価格操作詐欺と同様、詐欺師は事業を盛り上げて投資を促し、予告なしに打ち切る。投資家から金銭を完全に吸い上げたと思えたタイミングで、NFTウォレットから資金を引き出し、マーケットプレイスやソーシャルメディアからアカウントを削除する。
最も有名な事例の1つに、テレビドラマ「イカゲーム」に関連した暗号資産によるものが挙げられる。このトークンは、わずか数週間のうちに2,800ドル(37万6,000円相当)まで価格を上げた後、突然、姿を消した。ソーシャルメディアやWebサイトも、すべて痕跡を残すことなく削除された。その間、詐欺師は330万ドル(4億4,300万円相当)を詐取したものと見られている。
オークション詐欺
NFTオークションにおける偽の入札も、頻繁に見られる手法の1つだ。正規の販売者がNFTをオークションで売ろうとするときに発生する。販売者は望む価格の暗号資産を指定するが、詐欺師は、より価格の低い暗号資産へ変更してしまう。
別の方法として、NFTマーケットプレイスから作品を削除して、価格を一桁ずらしてから再度、作品を追加するといった手法がある。変更について通知されないため、購入者は最初に見たときよりも、はるかに高い価格をつかまされることになる。実生活と同様に、支払う前に価格を確認することは必須だ。
ソーシャルメディアアカウントの乗っ取り
偽のオファーやプレゼント企画は、ソーシャルメディアでユーザーの興味を引く、よく使われる詐欺手段だ(ソーシャルメディアに限らないが)。驚いたことに、これらは著名なユーザーアカウントから発信される場合がある。しかし、実際のところ、詐欺師にアカウントを乗っ取られ、詐欺的行為に加担されているケースが多い。
Lazy Lions | Lazy Cubs
Discordが不正アクセスされた。リンクをクリックせず、ミント(NFTの発行)もしてはならない。
脅威は取り除かれたが、サーバーの安全性が完全に確保されるまで、監視を継続する。
あらゆる発表を二重・三重に確認してほしい。
偽のオファーへ飛びついたユーザーは、パスワードや個人情報を入力するよう促される。個人情報を奪われる一方、得られるものは何もない。
偽のミント(NFTの発行)
こうした手法では、有名人がブロックチェーン上にNFTをミント(発行)したように見せかける。実際には、詐欺師がインフルエンサーのウォレットへNFTをエアドロップ(無料配布)するという手法だ。人気を集め、NFTの価値が急騰するのを予測するため、インフルエンサーのウォレット履歴を監視している購入者が多い点を悪用している。
これらの詐欺では、アーティストのなりすましや価格操作詐欺といった先述した手法が組み合わせて用いられる。最大のNFTマーケットプレイスであるOpenSeaによると、無料で発行されたNFTの80%以上は、偽物であるか、ほかのアーティストからの模造品、あるいはスパムであったと報告されている。
Aja Trier
私の作品は86,000回も盗用され、OpenSeaで販売されている。知的財産権を無視し、厚かましくもコレクションを公開している。どうなっているんだ?
NFTを安全に利用するためのヒント
NFTの世界に飛び込む際には、紹介したような数々の詐欺手法に注意を払う必要がある。詐欺師は常に金銭を巻き上げる方法を模索しているものだ。後でトラブルに巻き込まれないよう、常に疑いの目を向け、慎重になっておくことは重要である。
NFTを扱う際に安全性を確保するためのヒントをいくつか紹介する。
- シードフレーズやパスワードを誰にも教えてはならない。
- 多要素認証を適用し、複雑でユニークなパスワードを設定する。
- 受け取ったダイレクトメッセージが正規のものであるか、常に確認する。
- 無料の品を提供したり、素早い回答を要求したりするリンクをクリックしてはならない。クリックする場合でも、最初にリンク元を確認するべきだ。Discord上でも同様の対応が求められる。
- NFTトークンは、ソフトウェアウォレット(別名:ホットウォレット)を避け、ハードウェアウォレット(コールドウォレット)で保存する。
引用・出典元
■ Common NFT scams and how to avoid them by Mario Micucci 23 May 2022 - 11:30 AM
https://www.welivesecurity.com/2022/05/23/common-nft-scams-how-avoid-them/
※本記事はキヤノンマーケティングジャパンのオウンドメディア「サイバーセキュリティ情報局」から提供を受けております。著作権は同社に帰属します。
セキュリティ最前線
サイバー攻撃の最新動向とセキュリティ対策についてまとめたカテゴリです。
[PR]提供:キヤノンマーケティングジャパン