もしメタマスクがハッキングされたら?手口と対策を徹底解説

もしメタマスクがハッキングされたら?手口と対策を徹底解説
初心者さん

メタマスクがハッキングされたらどうしよう…
対策できることはあるかな?

このような疑問にお答えします。

メタマスクがハッキングされたらすることは以下の4つ。

  1. リボーク
  2. 新しいウォレットを作成
  3. 残っている資産を別のウォレットに移す
  4. 報告・通報

すぐに行動することで、被害を最小限に抑えられます。

はじめに、メタマスクのハッキング事例を紹介し、次にハッキングの手口や対策を解説。

この記事を読めば防御力が上がりますよ!

プロフィールカード
送金手数料で損してませんか?

取引所からメタマスクへ送金すると1,000円ほど手数料が発生します。

※コインチェック・ビットフライヤーは0.005ETH(約1,250円)

GMOコインならメタマスクへの送金手数料が無料!

\ 最短10分 /

目次

メタマスクのハッキング事例

2023年4月、ノンカストディアルウォレットのハッキングが2022年末から続きました。

ノンカストディアルウォレットとは、ユーザー自身で管理するウォレットのこと。

特定の管理者の承認を必要とせず自由に利用可能。

ただし、シークレットリカバリーフレーズをなくした場合ウォレットへのアクセスは困難になります。

被害額は5,000ETH以上、約1,050万ドル(約14億2000万円:1ドル135円換算)にのぼるとニュースになり話題に。

ニュースによると、メタマスクだけでなく11のブロックチェーン上のアドレスから盗難された模様。

犯人や原因はわかっておらず、ユーザーには動揺が広がりTwitterでは一時「メタマスク」「ハッキング」がトレンド入りしました。

メタマスクのセキュリティチームは「おそらくシークレットリカバリーフレーズが漏洩した」としていますが、調査は現在も続いています。

エイタ

いつ被害にあうかわからない…
メタマスクを使う以上、ハッキング対策は自分でしなくてならないね

メタマスクがハッキングされたらすること

メタマスクがハッキングされたら次の手順で対処しましょう。

  1. リボーク
  2. 新しいウォレットを作成
  3. 残っている資産を別のウォレットに移す
  4. 報告・通報

リボーク

リボークすることで、詐欺被害を最小限に抑えられます。

リボークとは

メタマスク(ウォレット)の操作権限を取り消すこと。

これまで接続したウェブサイトとメタマスクを完全に切り離すことができます。

どのタイミングでハッキングされたかわからない場合は、疑わしいと思われるウェブサイトとの接続はすべて解除しましょう。

「Revoke.cash」を用いたリボーク方法

スマホからメタマスクアプリを開きます。

ブラウザ→「Revoke.cash」と入力

スマホメタマスクのトップページ
スマホメタマスクのブラウザ

開始するMetaMask

Revoke.cashのやり方1
Revoke.cashのやり方2

接続→リボークする対象を選択。

Revoke.cashのやり方3
Revoke.cashのやり方4

「無制限(またはUnlimitedと表示)」となっている項目がリボーク可能です。

取り消す(Revoke)→ガス代をチェックし確認

Revoke.cashのやり方5
Revoke.cashのやり方6

【許可(allowances)】の項目で、対象に「許可がありません」と表示されればOK

Revoke.cashのやり方7

新しいウォレットを作成

新しいウォレットを作成します。

(アカウントを増やすのではなく、新しいシークレットリカバリーフレーズを作成するという意味です)

同じウォレット内にアカウントを増やしても、ハッキング対策にはなりません。

Google Chromeを開き右上アイコン追加

新しいウォレットを作成しメタマスクで複数アカウントを作成する方法1

アカウントなしで続行

新しいウォレットを作成しメタマスクで複数アカウントを作成する方法2

名前、カラーを決め完了

新しいウォレットを作成しメタマスクで複数アカウントを作成する方法3

新しいプロファイルが作成できました。

新しいウォレットを作成しメタマスクで複数アカウントを作成する方法4

残っている資産を別のウォレットに移す

新しく作成したウォレットに残っている資産を移しましょう。

仮想通貨

新規作成したメタマスクのアドレスをコピー。

【メタマスク版】仮想通貨の送金方法1

送金元のメタマスクから送金

【メタマスク版】仮想通貨の送金方法2

送金額を入力→次へ

【メタマスク版】仮想通貨の送金方法3

ガス代をチェックし確認→完了!

【メタマスク版】仮想通貨の送金方法4

NFT

新規作成したメタマスクのアドレスをコピー。

【メタマスク版】仮想通貨の送金方法1

OpenSeaを開き、自分のプロフィールページへ。

送付するNFTを選びます。

OpenSeaのプロフィール画面

紙ヒコーキマーク

OpenSeaのNFTアート作品ページ
「Owned by you」はあなたがオーナーという意味です。

送付先のウォレットアドレスを入力→Transfer

NFTアート作品のTransfer画面
エイタ

1文字でも間違えたらNFTは紛失。アドレスはかならずコピペしよう

メタマスクが自動で立ち上がります。

ガス代をチェック→確認

メタマスクの見積画面

送信完了(Transfer complete)。

NFTアート作品の送信完了画面

送信データ詳細はView ItemItem Activity

NFT送信データの履歴画面

報告・通報

すべての作業が完了したら、メタマスクやOpenSea、警察に被害を報告しましょう。

該当のアカウントが凍結され新たな被害を防げます。

メタマスクのハッキング手口と対策

メタマスクのハッキング手口は主に8つあります。

  • OpenSeaに並ぶ偽コレクション
  • Google検索に偽サイト
  • DM
  • Twitterブルー(認証アカウント)から誘導
  • 見知らぬNFTが送られてくる
  • 詐欺目的のプロジェクト
  • 仕事の依頼を装い偽サイトへ誘導
  • フリーWi-Fiから侵入

OpenSeaに並ぶ偽コレクション

NFTマーケットプレイス「OpenSea」に並ぶ偽コレクションに注意しましょう。

CNP偽サイト
偽CNPの販売ページ|OpenSea

バナーや作品はすべてコピペされているため、パッと見ホンモノかどうか判断できません。

対策

公式に付与される「青いチェック」があるか確認しましょう。

CNP / CryptoNinja Partners
CNPの公式販売ページ

ただし、OpenSeaに登録された直後のコレクションは、チェックマークが付くまで時間がかかります。

ですから、公式サイトや公式Twitterに記載されているリンクからアクセスするといいでしょう。

Google検索に偽サイト

Google検索のトップに偽サイトが表示されることもあります。

なぜなら、広告料を支払えば誰でも上位表示させられるから。

これは2022年10月に話題になった偽サイトのニュース。

仮想通貨やNFT販売のウェブサイトでも同様の事例が見られました。

アクセスすると詐欺サイトに誘導され、メタマスクをつないだ瞬間に資産がすべて盗まれます。

対策

公式から正しいURLにアクセスしてください。

公式サイトや公式Twitterに記載されているリンクからアクセスすれば安心です。

DM

TwitterやDiscordに詐欺師からDMが届きます。

上記は日本語も怪しいので詐欺師とわかりやすいですが、なかには日本人の詐欺師もいます。

よくある手口は、あなたのNFTがほしいから「〇〇のNFTマーケットプレイス」でアカウントを作成してくれ、というもの。

この「〇〇のマーケットプレイス」が詐欺サイトとなっており、メタマスクを接続すると資産が盗まれます。

対策|Twitter

Twitterの通知設定を変更し、見知らぬDMが届かないようにしましょう。

設定とプライバシー通知

Twitter設定画像
Twitter設定画像2

フィルターミュートしている通知

Twitter設定画像3
Twitter設定画像4

メールアドレスが未認証のアカウントをオン。

Twitterの通知設定画面

「メールアドレスが未認証のアカウント」をオンにすれば、詐欺アカウントからのDMは届かなくなります。

対策|Discord

Discordの通知設定はこちら。

Discordアプリアイコンマークプライバシー・安全 

Discordの通知設定画面(スマホ)

【DMスパムフィルター】→全てのダイレクトメッセージに対してフィルターする

Discordの通知設定画面(スマホ)2

これで詐欺師からのDMは届かなくなります。

スマホ画面で解説しましたが、PCでもやり方は同じです。

X Premium(認証アカウント)から誘導

認証済みの偽アカウントから詐欺サイトへ誘導する被害も増えています。

というのも、2022年12月以降、Xに課金すれば誰でも「認証マーク」を付けられるようになったから。

左がX Premium、右が本来の認証アカウント。

Twitter認証
出典:TechnoEdge

そして、偽アカウントが詐欺サイトのリンクを貼り、メタマスクをつなげると資産が盗まれるというわけです。

対策

Twitterアカウントから見分けがつかない場合、公式サイトから情報を得ましょう。

公式サイトはブックマークしておくと便利です。

見知らぬNFTが送られてくる

OpenSeaに届く見知らぬNFTにもご注意ください。

OpenSeaのhiddenに届く見知らぬNFT
出典:OpenSea

上記は僕のアカウントへ勝手に送られてきたNFTです。

画像を「Hidden(隠れた)」から「unhide(再表示)」にするだけでハッキングされることもある模様。

対策

放置一択です。

時間が経つとOpenSea側で削除してくれます。

詐欺目的のプロジェクト

「投資家から資金を集めることのみ」が目的のNFTプロジェクトもあります。

(ラグプルと呼ばれる詐欺の一種)

ラグプルには2種類あります。

  • ソフトラグ:運営の発信、メンバーが徐々に減り自然消滅
  • ハードラグ:ある日突然プロジェクトが消え去る

最初から詐欺目的だったのか否かは判断しにくいため、詐欺と決めつけるわけにもいかないのがポイント。

エイタ

ラグ(絨毯)プル(引っ張る)が語源

対策

  • 少額で購入し半年ほど様子を見る
  • ファウンダー(創設者)を事前に調べる
  • 運営メンバーの経歴や発信内容を調べる

信頼できるファウンダー、運営者かどうかはいくら調べてもぶっちゃけわかりません。

昔からの知り合いでもありませんしね。

購入を迷うNFTや仮想通貨なのであれば、少額で購入する(一つだけ)というのが最適解です。

仕事の依頼を装い偽サイトへ誘導

絵師さんやクリエイターさんへの仕事依頼を装った詐欺も横行しています。

添付されたファイルにウィルスが仕込まれており、開いた瞬間にハッキング。

PCやスマホ端末とメタマスクを接続詞ていた場合、資産がすべて盗まれます。

対策

  • 見知らぬ人から送られてくるファイルを不用意に開かないこと。
  • 仕事依頼してきた人物(法人)を事前に調べる

すこしでも怪しいと感じるならスルーしましょう。

フリーWi-Fiから侵入

公共施設やカフェなどのフリーWi-Fiからハッキングされる可能性もあります。

無線通信の内容を傍受するソフトもあるため、フリーWi-Fiは安全とは言えません。

対策

フリーWi-Fiを利用してメタマスク、仮想通貨取引所で操作しないこと。

どうしても利用したいのであれば、VPNを通してからにしましょう。

エイタ

メタマスクや仮想通貨取引所の操作は自宅で

メタマスクのハッキングにあわないために

メタマスクのハッキングにあわないためにも、以下5つを頭に入れておきましょう。

  • 複数ウォレットで管理
  • 秘密鍵や秘密のリカバリーフレーズはオンラインで保存しない
  • ハードウェアウォレットを使う
  • シークレットリカバリーフレーズは誰にも教えない
  • 見知らぬファイル・URLを開かない

複数ウォレットで管理

ウォレット(メタマスク)は複数に分けるといいですよ。

「普段使い用」「保管用」と分けておけば、資産を守ることができます。

普段使い用をメインで利用し、しばらく取引しない仮想通貨やNFTは保管用に移動しておきましょう。

秘密鍵や秘密のリカバリーフレーズはオンラインで保存しない

秘密鍵や秘密のリカバリーフレーズはオンラインで保存せず、メモなど物理的な方法で保存しましょう。

なぜなら、ハッキングにあう確率を大幅に減らせるから。

シークレットリカバリーフレーズ
1〜12の英単語を順番通りに並べる

ただし、管理はすべて自己責任。

メモを無くしてしまうと、ウォレットへは二度とアクセスできなくなるのでご注意を。

ハードウェアウォレットを使う

仮想通貨やNFTの最も安全な保管方法は「ハードウェアウォレット」に保管すること。

オフラインで管理できるためハッキングの心配はありません。

最も有名なのはLedger (レジャー)社の「Ledger Nano S Plus

Ledger (レジャー)暗号通貨ハードウェアウォレット

より安全に資産を保管したい方は、ハードウェアウォレットをお試しください。

シークレットリカバリーフレーズは誰にも教えない

シークレットリカバリーフレーズは誰にも教えてはいけません。

詐欺師に知られると、メタマスク内の資産がすべて盗まれてしまいます。

シークレットリカバリーフレーズは銀行口座の暗証番号のようなもの。

知人や家族にもできるだけ教えないようにしましょう。

エイタ

紙にメモをとり無くさないよう大切に保管してね
再発行できないので、メモを無くしたら資産を動かせなくなる

メタマスクのハッキングに関するよくある質問

最後に、メタマスクのハッキングに関するよくある質問をまとめておきます。

  • ウォレットアドレスは人に教えても大丈夫?
  • メタマスク運営の問い合わせ先は?
  • メタマスクのアカウントを削除するには?
  • シークレットリカバリーフレーズの確認方法は?
  • 秘密鍵とシークレットリカバリーフレーズの違いは?

ウォレットアドレスは人に教えても大丈夫?

ウォレットアドレスは人に教えても大丈夫です。

ウォレットアドレスだけではハッキングできません。

エイタ

口座番号のようなもの

メタマスク運営の問い合わせ先は?

MetaMaskサポートは以下のリンクからアクセスしてください。

会話を始めるをタップすると、チャット形式で問い合わせできます。

英語対応なので、「DeepL」など翻訳サイトを利用してやり取りしましょう。

メタマスクのアカウントを削除するには?

メタマスクのアカウントを削除する手順は以下のとおり。

  • メタマスクを開く
  • メニュー
  • ロック
  • 「ウォレットのリセット」をタップ
  • deleteと入力し「ウォレットを削除」をタップ

くわしくは「MetaMaskウォレットのアカウント削除方法【PC・スマホ】」をご覧ください。

シークレットリカバリーフレーズの確認方法は?

シークレットリカバリーフレーズの確認方法は以下のとおりです。

  • メタマスクを開く
  • メニュー
  • 設定
  • セキュリティとプライバシー
  • シークレットリカバリーフレーズを公開
  • パスワード入力→次へ
  • 長押ししてSRPを表示

くわしくは「【忘れた人必見】メタマスクのシークレットリカバリーフレーズを確認する方法」をご覧ください。

秘密鍵とシークレットリカバリーフレーズの違いは?

秘密鍵とシークレットリカバリーフレーズの違いは使用用途です。

  • 秘密鍵:アカウントのインポート時のみ使用
  • シークレットリカバリーフレーズ:パスワードを忘れたときなど、復元するときに使用

秘密鍵はウォレット内のアカウントごとに発行されるのに対し、シークレットリカバリーフレーズはウォレットに1つしか発行されません。

まとめ|もしメタマスクがハッキングされたら?手口と対策

今回は、メタマスクがハッキングされたらすることや手口、対策についてまとめました。

  1. リボーク
  2. 新しいウォレットを作成
  3. 残っている資産を別のウォレットに移す
  4. 報告・通報

万が一、メタマスクはハッキングされても上記の手順どおりに進めれば、被害を最小限に抑えられます。

いつどこでハッキングされるかわかりません。

普段からできる限り気を付け、仮想通貨やNFTの世界を楽しみましょう!

送金手数料で損してませんか?

取引所からメタマスクへ送金すると1,000円ほど手数料が発生します。

※コインチェック・ビットフライヤーは0.005ETH(約1,250円)

GMOコインならメタマスクへの送金手数料が無料!

送金手数料で損したくない方はGMOコインがおすすめ。

\ 最短10分 /

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

アラフォーブロガー。2014年にブログ開始、2018年にフリーランスへ。

ブログ月収月30〜50万円。
仮想通貨・NFT、家事代行、トレンドの3サイト運営中。

暗号資産投資は2021年11月から。
時間とお金、心にゆとりがほしい人の参考になれば幸いです。

目次