ブロックチェーンセキュリティ企業スローミスト(SlowMist)の最高セキュリティ責任者(CSO)である23pds氏が1月5日、メタマスクのユーザーを標的とした極めて巧妙な「2FA認証」(二要素認証)フィッシング詐欺について緊急警告を発した。
今回発見された詐欺手口は、攻撃者はメタマスクの公式デザインを完全に模倣したセキュリティ警告ページを作成し、ユーザーを段階的に罠に誘い込む。
23pds氏がX(旧Twitter)で公開したスクリーンショットによると、詐欺の流れは複数の段階に分かれており、各段階で本物のメタマスク画面と見分けがつかないほどの完成度を誇っている。
最初に、偽のセキュリティ警告画面が表示され、「すぐに対応が必要」という心理的プレッシャーをかける。
次に、カウントダウンタイマー付きの偽の「2FA認証」設定画面に誘導される。制限時間内に認証を完了しなければアカウントが制限されるという偽の警告により、ユーザーは冷静な判断ができない状態に追い込まれる。
最終段階で、ユーザーは「セキュリティ強化のため」という名目でウォレットの復元フレーズ(シードフレーズ)の入力を求められる。詐欺師は「真正性の検証」という文言まで用意しており、疑い深いユーザーでさえ誤認してしまう可能性が高い。
メタマスクウォレットは現在、ネイティブの二要素認証(2FA)機能を提供していない。つまり、メタマスクから2FA設定を求めるメールやウェブページが届くこと自体が詐欺だ。
さらに、正規のメタマスクサポートが復元フレーズの入力を求めることは絶対にない。復元フレーズを入力すれば、攻撃者はそのウォレット内の全ての仮想通貨を盗み出すことができる。
スローミストの2025年年度報告によると、ブロックチェーン関連のセキュリティインシデントの被害総額は約29億3500万ドル(約4,600億円)に達している。
仮想通貨ユーザーは、不審なリンクを絶対にクリックせず、復元フレーズを要求するサイトには一切入力しないという基本原則を徹底する必要がある。
関連: メタマスクにログインできない時の対処法|パスワード忘れ・機種変更も解説
関連: メタマスクがビットコイン対応を追加、法定通貨での購入や送金が可能に
