もしメタマスクがハッキングされたら？手口と対策を徹底解説

このような疑問にお答えします。

メタマスクがハッキングされたらすることは以下の4つ。

すぐに行動することで、被害を最小限に抑えられます。

はじめに、メタマスクのハッキング事例を紹介し、次にハッキングの手口や対策を解説。

この記事を読めば防御力が上がりますよ！

メタマスクのハッキング事例

2023年4月、ノンカストディアルウォレットのハッキングが2022年末から続きました。

被害額は5,000ETH以上、約1,050万ドル（約14億2000万円：1ドル135円換算）にのぼるとニュースになり話題に。

ベテランユーザーに相次ぐハッキング被害、身を守る術は？ #coindeskjapan #ウォレット #ハードウエアウォレット #ハッキング https://t.co/CPXdXcvtSr

— CoinDesk JAPAN (@CoinDeskjapan) April 20, 2023

ニュースによると、メタマスクだけでなく11のブロックチェーン上のアドレスから盗難された模様。

犯人や原因はわかっておらず、ユーザーには動揺が広がりTwitterでは一時「メタマスク」「ハッキング」がトレンド入りしました。

メタマスクのセキュリティチームは「おそらくシークレットリカバリーフレーズが漏洩した」としていますが、調査は現在も続いています。

メタマスクがハッキングされたらすること

メタマスクがハッキングされたら次の手順で対処しましょう。

リボーク

リボークすることで、詐欺被害を最小限に抑えられます。

どのタイミングでハッキングされたかわからない場合は、疑わしいと思われるウェブサイトとの接続はすべて解除しましょう。

「Revoke.cash」を用いたリボーク方法

スマホからメタマスクアプリを開きます。

ブラウザ→「Revoke.cash」と入力

開始する→MetaMask

接続→リボークする対象を選択。

「無制限（またはUnlimitedと表示）」となっている項目がリボーク可能です。

取り消す（Revoke）→ガス代をチェックし確認

【許可（allowances）】の項目で、対象に「許可がありません」と表示されればOK

新しいウォレットを作成

新しいウォレットを作成します。

（アカウントを増やすのではなく、新しいシークレットリカバリーフレーズを作成するという意味です）

同じウォレット内にアカウントを増やしても、ハッキング対策にはなりません。

Google Chromeを開き右上アイコン→追加

アカウントなしで続行

名前、カラーを決め完了

新しいプロファイルが作成できました。

残っている資産を別のウォレットに移す

新しく作成したウォレットに残っている資産を移しましょう。

仮想通貨

新規作成したメタマスクのアドレスをコピー。

送金元のメタマスクから送金

送金額を入力→次へ

ガス代をチェックし確認→完了！

NFT

新規作成したメタマスクのアドレスをコピー。

OpenSeaを開き、自分のプロフィールページへ。

送付するNFTを選びます。

紙ヒコーキマーク

送付先のウォレットアドレスを入力→Transfer

メタマスクが自動で立ち上がります。

ガス代をチェック→確認

送信完了（Transfer complete）。

送信データ詳細はView Item→Item Activity

報告・通報

すべての作業が完了したら、メタマスクやOpenSea、警察に被害を報告しましょう。

該当のアカウントが凍結され新たな被害を防げます。

メタマスクのハッキング手口と対策

メタマスクのハッキング手口は主に8つあります。

OpenSeaに並ぶ偽コレクション

NFTマーケットプレイス「OpenSea」に並ぶ偽コレクションに注意しましょう。

バナーや作品はすべてコピペされているため、パッと見ホンモノかどうか判断できません。

対策

公式に付与される「青いチェック」があるか確認しましょう。

ただし、OpenSeaに登録された直後のコレクションは、チェックマークが付くまで時間がかかります。

ですから、公式サイトや公式Twitterに記載されているリンクからアクセスするといいでしょう。

Google検索に偽サイト

Google検索のトップに偽サイトが表示されることもあります。

なぜなら、広告料を支払えば誰でも上位表示させられるから。

グーグル検索で偽「えきねっと」　悪用された広告枠、審査強化の訴えhttps://t.co/4OcUEnrWZU

JR東によると、昨年10月中旬と12月初旬、グーグルで「えきねっと」と検索すると、結果一覧の最上部にある広告枠に偽サイトが表示される状態になっていた。 pic.twitter.com/vURPbHAx6u

— 朝日新聞デジタル (@asahicom) February 3, 2023

これは2022年10月に話題になった偽サイトのニュース。

仮想通貨やNFT販売のウェブサイトでも同様の事例が見られました。

アクセスすると詐欺サイトに誘導され、メタマスクをつないだ瞬間に資産がすべて盗まれます。

対策

公式から正しいURLにアクセスしてください。

公式サイトや公式Twitterに記載されているリンクからアクセスすれば安心です。

DM

TwitterやDiscordに詐欺師からDMが届きます。

上記は日本語も怪しいので詐欺師とわかりやすいですが、なかには日本人の詐欺師もいます。

よくある手口は、あなたのNFTがほしいから「〇〇のNFTマーケットプレイス」でアカウントを作成してくれ、というもの。

この「〇〇のマーケットプレイス」が詐欺サイトとなっており、メタマスクを接続すると資産が盗まれます。

対策｜Twitter

Twitterの通知設定を変更し、見知らぬDMが届かないようにしましょう。

設定とプライバシー→通知

フィルター→ミュートしている通知

メールアドレスが未認証のアカウントをオン。

「メールアドレスが未認証のアカウント」をオンにすれば、詐欺アカウントからのDMは届かなくなります。

対策｜Discord

Discordの通知設定はこちら。

Discordアプリ→アイコンマーク→プライバシー・安全　

【DMスパムフィルター】→全てのダイレクトメッセージに対してフィルターする

これで詐欺師からのDMは届かなくなります。

スマホ画面で解説しましたが、PCでもやり方は同じです。

X Premium（認証アカウント）から誘導

認証済みの偽アカウントから詐欺サイトへ誘導する被害も増えています。

というのも、2022年12月以降、Xに課金すれば誰でも「認証マーク」を付けられるようになったから。

Twitterで「認証済み」偽アカウント急増、新Twitter Blue有料プラン受付を停止 | TechnoEdge テクノエッジhttps://t.co/ml1oxGINkD

— テクノエッジ TechnoEdge (@TechnoEdgeJP) November 12, 2022

左がX Premium、右が本来の認証アカウント。

そして、偽アカウントが詐欺サイトのリンクを貼り、メタマスクをつなげると資産が盗まれるというわけです。

対策

Twitterアカウントから見分けがつかない場合、公式サイトから情報を得ましょう。

公式サイトはブックマークしておくと便利です。

見知らぬNFTが送られてくる

OpenSeaに届く見知らぬNFTにもご注意ください。

上記は僕のアカウントへ勝手に送られてきたNFTです。

画像を「Hidden（隠れた）」から「unhide（再表示）」にするだけでハッキングされることもある模様。

対策

放置一択です。

時間が経つとOpenSea側で削除してくれます。

詐欺目的のプロジェクト

「投資家から資金を集めることのみ」が目的のNFTプロジェクトもあります。

（ラグプルと呼ばれる詐欺の一種）

おはようございます！☀
ウォレットになんかno-imageのNFTがあるなぁと思ってよーく見てみたらラグプルしたBCGのNFTだった😂

ウパに食べさせてあげたい！
だけどBNBチェーンはまだ未実装かな？#UPA pic.twitter.com/CmdaCEGk3P

— ひまきち｜NFT(ゲーム・アート)×仮想通貨ブログ🎮🖼️ (@himakiti2022) December 6, 2022

ラグプルには2種類あります。

最初から詐欺目的だったのか否かは判断しにくいため、詐欺と決めつけるわけにもいかないのがポイント。

対策

信頼できるファウンダー、運営者かどうかはいくら調べてもぶっちゃけわかりません。

昔からの知り合いでもありませんしね。

購入を迷うNFTや仮想通貨なのであれば、少額で購入する（一つだけ）というのが最適解です。

仕事の依頼を装い偽サイトへ誘導

絵師さんやクリエイターさんへの仕事依頼を装った詐欺も横行しています。

ぱむさんのだるまも取られてしまった。

今私から言えることはたくさんのクリエイターさんにこのアカウントはDMしまくっています。仕事の依頼の手口でくるので心当たりがある方は今すぐにやり取りをやめて、圧縮ファイルを開いてしまった方は直ちに別ウォレットに金額を移しNFTも移動してください。 pic.twitter.com/ODcMSYGAAv

— ぴん仔🍣固ツイをcheck！ (@pin27144122) March 3, 2022

添付されたファイルにウィルスが仕込まれており、開いた瞬間にハッキング。

PCやスマホ端末とメタマスクを接続詞ていた場合、資産がすべて盗まれます。

対策

すこしでも怪しいと感じるならスルーしましょう。

フリーWi-Fiから侵入

公共施設やカフェなどのフリーWi-Fiからハッキングされる可能性もあります。

他人の運転免許証を偽造してSIMの再発行、そして不正送金。二次元コード詐欺、フリーWi-Fiを使った詐欺…
ホントに怖いな😨
やっぱりスマホにもセキュリティ対策が必要！ギガを節約したいからってフリーWi-Fi使うのはマジ危険⚠️ pic.twitter.com/dFo7dZr6XT

— かっツン…😫甘いもの@欲との戦い👊 (@kattun8112) May 23, 2023

無線通信の内容を傍受するソフトもあるため、フリーWi-Fiは安全とは言えません。

対策

フリーWi-Fiを利用してメタマスク、仮想通貨取引所で操作しないこと。

どうしても利用したいのであれば、VPNを通してからにしましょう。

メタマスクのハッキングにあわないために

メタマスクのハッキングにあわないためにも、以下5つを頭に入れておきましょう。

複数ウォレットで管理

ウォレット（メタマスク）は複数に分けるといいですよ。

「普段使い用」「保管用」と分けておけば、資産を守ることができます。

普段使い用をメインで利用し、しばらく取引しない仮想通貨やNFTは保管用に移動しておきましょう。

秘密鍵や秘密のリカバリーフレーズはオンラインで保存しない

秘密鍵や秘密のリカバリーフレーズはオンラインで保存せず、メモなど物理的な方法で保存しましょう。

なぜなら、ハッキングにあう確率を大幅に減らせるから。

ただし、管理はすべて自己責任。

メモを無くしてしまうと、ウォレットへは二度とアクセスできなくなるのでご注意を。

ハードウェアウォレットを使う

仮想通貨やNFTの最も安全な保管方法は「ハードウェアウォレット」に保管すること。

オフラインで管理できるためハッキングの心配はありません。

最も有名なのはLedger (レジャー)社の「Ledger Nano S Plus」

より安全に資産を保管したい方は、ハードウェアウォレットをお試しください。

シークレットリカバリーフレーズは誰にも教えない

シークレットリカバリーフレーズは誰にも教えてはいけません。

詐欺師に知られると、メタマスク内の資産がすべて盗まれてしまいます。

シークレットリカバリーフレーズは銀行口座の暗証番号のようなもの。

知人や家族にもできるだけ教えないようにしましょう。

メタマスクのハッキングに関するよくある質問

最後に、メタマスクのハッキングに関するよくある質問をまとめておきます。

ウォレットアドレスは人に教えても大丈夫？

ウォレットアドレスは人に教えても大丈夫です。

ウォレットアドレスだけではハッキングできません。

メタマスク運営の問い合わせ先は？

MetaMaskサポートは以下のリンクからアクセスしてください。

会話を始めるをタップすると、チャット形式で問い合わせできます。

英語対応なので、「DeepL」など翻訳サイトを利用してやり取りしましょう。

メタマスクのアカウントを削除するには？

メタマスクのアカウントを削除する手順は以下のとおり。

くわしくは「MetaMaskウォレットのアカウント削除方法【PC・スマホ】」をご覧ください。

シークレットリカバリーフレーズの確認方法は？

シークレットリカバリーフレーズの確認方法は以下のとおりです。

くわしくは「【忘れた人必見】メタマスクのシークレットリカバリーフレーズを確認する方法」をご覧ください。

秘密鍵とシークレットリカバリーフレーズの違いは？

秘密鍵とシークレットリカバリーフレーズの違いは使用用途です。

秘密鍵はウォレット内のアカウントごとに発行されるのに対し、シークレットリカバリーフレーズはウォレットに1つしか発行されません。

まとめ｜もしメタマスクがハッキングされたら？手口と対策

今回は、メタマスクがハッキングされたらすることや手口、対策についてまとめました。

万が一、メタマスクはハッキングされても上記の手順どおりに進めれば、被害を最小限に抑えられます。

いつどこでハッキングされるかわかりません。

普段からできる限り気を付け、仮想通貨やNFTの世界を楽しみましょう！