初回投稿 2023年5月6日

<解決>メタマスク偽サイト5例の共通点で見分け方2つとハッキング手口の知識を得る

Google検索にメタマスク抜かれる偽サイト上位表示の詐欺フィッシング紹介。MetaMask偽物・本物の見分け方、MetaMaskウォレット資産ハッキングはシークレットリカバリーフレーズ入力で危険。

ググると、いきなりメタマスク偽サイトの衝撃!
どんなキッカケで資産を抜かれるのかハッキング詐欺の手口を紹介します。

  1. Google 検索上位に表示されるメタマスク偽サイト
  2. シークレットリカバリーフレーズ盗むハッキング手口
  3. メタマスク偽サイト詐欺のハッキング対策

広告が危険!? Google 検索上位に表示されるメタマスク偽サイト

まず、偽りない本物のメタマスク (MetaMask) の URL はココ。

本物! 本物! 本物!
metamask.io

MetaMask (メタマスク) は、Ethereum 系ブロックチェーンの通貨や NFT (非代替性トークン) を一括で補完・管理できるソフトウェアウォレットであり、ブラウザ拡張機能版とモバイルアプリ版がある。
MetaMask の開発を手掛けるのは 2014 年に創業した米国 Consensys (コンセンシス社)。
https://ja.wikipedia.org/wiki/MetaMask
.io は国別コードトップレベルドメインの一つであり、イギリス領インド洋地域 (Indian Ocean Territory) に割り当てられている。イギリス領インド洋地域に関係するサイトはほとんどないスタートアップ企業でよく使われている。
https://ja.wikipedia.org/wiki/.io


そこに偽物!? Google 検索結果にメタマスク偽サイトの罠

ところがです。

次のような日本語キーワードでググると、その検索結果に ハッキング目的の危険なメタマスク偽サイト がシレッと普通に表示される場合があります。

 ~ 平凡な検索キーワード ~
「メタマスク」 「メタマスク ダウンロード」 「メタマスク ログイン」

メタマスク偽物をハッキリと捉えたスクリーンショット画像をご覧ください。

メタマスク偽サイトが2つ表示されたグーグル検索結果
検索結果の 1、2 番目にメタマスク偽物

グーグル検索に上位表示されたメタマスク偽サイト3つ
メタマスク偽物が Google 検索の 1、2、3 番目

Google検索 「メタマスク ログイン」 で上位に表示されるフィッシング詐欺サイト
Google 検索でメタマスク偽物に誘導する手口

この場合、検索結果に表示された 3 番目、4 番目のウェブサイトが 広告を除く真の 1 位 であることに注目してください。

危険! Google 検索にメタマスク偽サイト
検索結果のスポンサー広告
・ メタマスク偽サイトが検索結果の広告として本物より上に表示
[スポンサー] の目印で広告のリンクと検索結果を区別できる
Bing でも仮想通貨取引所の偽サイト表示例あり
怪しい広告リンクの広告主
URL 右端の [︙] マークで偽物を出稿する広告主が判明!?
・ 溶接ワイヤ製造会社 (ベラルーシ)
・ 電化製品販売店? (ブラジル)
・ 様々な個人名 (トルコ)
・ プロパンガス会社? (ブラジル)
・ 自動車用品店? (ブラジル)
・ 電気工事会社 (ベラルーシ)
・ 医療機器製造会社 (ベラルーシ)
・ 電気通信事業者 (フィンランド)
・ 衣料品店? (ブラジル)
・ 鉄鋼商社? (ブラジル)
→ 詐欺師が Google の広告審査や身元確認を華麗に突破?
→ 第三者のアカウントに不正アクセスして広告を勝手に出稿?

このようなメタマスク偽サイトの罠は、日本だけのお話ではないようです。

2020年、メタマスクは英語の Google 検索結果に偽物が表示される事態に注意を促していて、つまり検索キーワードは 「メタマスク」 に限らないことになるワケで、事態の深刻さが伺えます。

Google 検索の広告に注意を促すメタマスクの中の人】
🎣🚨 Phishing warning? 🎣🚨
Google is allowing a phisher to buy sponsored ads on their search results. When using crypto, try to use direct links, and if you need to use search, watch out for sponsored links! (2020年12月)
https://twitter.com/MetaMask/status/1334012407014834184

〔日本語の意味〕
フィッシング詐欺師が検索結果のスポンサー広告を購入することを Google は許しています。仮想通貨を利用する時、直リンクを使うようにして、検索する必要があるならスポンサーのリンクに気をつけて!


本物? メタマスク偽物の見分け方 2 つ

Google の検索結果に出現する偽物たち。
それら共通点から導き出される メタマスク偽サイトの見分け方 のポイントは 2 つです。

  1. メタマスク偽物は URL が本物の metamask.io ではない

  2. [スポンサー] という文字列は 広告のリンク を意味する

それでも、Google の検索結果で一番上のリンクを何も考えず反射的に踏むユーザーさんがいるはずです。

【検索エンジンの検索結果に広告リンク】
「リスティング広告」 「検索連動型広告」 と呼ばれていて、ユーザーが検索するキーワードに連動して検索結果の上部や下部に表示される広告。

Google の説明では 「広告掲載は有料で、必ず 「広告」 または 「スポンサー提供」 という文言が明示されています。広告のランク付けは、広告主の入札単価や広告の品質など、さまざまな要素に基づいて行われます。」

身近なソーシャルメディアの Twitter、Instagram、Discord を始め、仮想通貨 (暗号資産) の界隈では詐欺師が広く暗躍していて、そんな危うい実情が Google の汚染された検索結果から垣間見えるのでした。


シークレットリカバリーフレーズ盗む詐欺のハッキング手口

Google 検索結果に出現する偽物を知ったところで、もしそこへ進んだ場合はどんな展開が待っているのでしょうか?

Google 検索結果の上位 ≠ 公式サイト

「メタマスク抜かれた! (悲鳴)」 に至ってしまう詐欺の全貌を画像を交えて紹介します。


本物のメタマスク公式サイトとソックリな偽物

まず最初に、メタマスクの公式サイトと外観デザインがソックリで区別のつきにくいメタマスク偽サイトがこちら。

メタマスク偽サイトは公式サイトのトップ画面とソックリで危険
偽物!? 見た目で違和感のないメタマスク偽サイト
rnetasmkk***.com ドメイン)

メタマスク偽サイトは日本人を狙って日本語で表示される場合も
ビミョーに日本語が不自然なメタマスク偽サイト
rnetamask-lo.chro***.com ドメイン)

ググって、このメタマスク偽物の画面を目の前に 「メタマスクと関係ないウェブサイトにアクセスしてしまった~」 と即座に気づくのは、ハッキリ言って無理かもしれません。

  • メタマスク偽サイトの完成度の高さ
    説得力を持たせようと詐欺師は外観デザインに並々ならぬ力を注ぐ
    表面的な見た目や雰囲気で判断すると危険性に気づけない
    → 詐欺師がメタマスク公式のロゴやイメージ画像を流用して実現

  • メタマスク偽サイトの URL アドレス
    ブラウザのアドレスバーが示す URL は metamask.io ではない ← 確認ポイント
    「m」 を 「r」+「n」 で表現する ホモグラフ の偽装 「rnetarnask」 「rnetamask」

  • 決して対岸の火事ではない脅威
    英語のほか、日本人を明確に狙って日本語のメタマスク偽サイトあり

そのまま、メタマスク偽サイト内の 青いボタン をポチッと押して先へ進めていきます。

すると、個人情報やクレジットカード情報を入力する、偽サイトに MetaMask のウォレットを接続する、ブラウザに拡張機能を追加する、何かアプリをインストールする場面はありません でした。

メタマスク偽サイト秘密のリカバリーフレーズ危険
URL に注目! ラテン文字 「ẹ」 「ķ」 を使って騙す

メタマスク偽サイトでシークレットリカバリーフレーズの入力フォームが表示されている詐欺フィッシング
シークレットリカバリーフレーズを入力させる詐欺

メタマスク偽サイト 「秘密の回復フレーズでアカウントを復元する」 詐欺フィッシング
日本語で 「秘密の回復フレーズでアカウントを復元する」

メタマスク偽サイトが「ウォレットのインポート 回復フレーズ」の12単語を要求する詐欺フィッシング
日本語で 「ウォレットのインポート」 を案内する偽物

Restore wallet メタマスク偽サイト詐欺フィッシング危険
「Restore wallet」 復元で誘うメタマスク偽サイト

メタマスク偽サイト Input your secret private key recovery phrase
偽物 「secret private key recovery phrase」

大きな共通点として、どこも シークレットリカバリーフレーズ を送信する入力フォームに行き着くのです。

なお、「秘密の回復フレーズでアカウントを復元する」 とか 「Access your wallet with your Secret Recovery Phrase」 ように案内して、シークレットリカバリーフレーズを指す表現がいくつかあるものの、同じ情報です。

  • 「Secret Recovery Phrase」 (シークレットリカバリーフレーズ)
    → 「秘密のリカバリーフレーズ」 「秘密の回復フレーズ」 とも表記される

  • 「Seed Phrase」 (シード フレーズ)
    └ MetaMask が 2021 年 5 月まで公式に採用していた旧名称

  • 「Mnemonic Phrase」 (ニーモニック フレーズ)


誰かにシークレットリカバリーフレーズを尋ねられたら詐欺

メタマスク (MetaMask) のブランドを悪用した偽サイトが揃いも揃って シークレットリカバリーフレーズ を入力するよう案内する理由はなぜ?

「Secret Recovery Phrase」 とは何か、暗号ウォレットを安全に保つ方法 (MetaMask サポート)
https://support.metamask.io/hc/ja/articles/360060826432

シークレットリカバリーフレーズは、MetaMask を最初に設定した際に生成される独自の 12 単語のフレーズです。あなたの資金は、このフレーズと関連づけられています。

パスワードを紛失した場合、シークレットリカバリーフレーズを使ってウォレットと資金を復元することができます。
紙に書きとめてどこかに隠す、金庫に入れる、あるいは安全なパスワードマネージャを使用してください。ユーザーの中には、自分のフレーズを金属板に刻んでいる人もいます。
シークレットリカバリーフレーズを物理的なオフライン形式で保存すると、ハッキングのリスクが排除されます。

決して誰ともシークレットリカバリーフレーズを共有してはなりません。シークレットリカバリーフレーズを誰かと共有するということは、銀行カードの暗証番号や家の鍵を渡してしまうようなものです。その相手はあなたの資金すべてにアクセスし、引き出すことができるようになってしまいます。

MetaMask チームは決してシークレットリカバリーフレーズを共有するように求めたりしません。
もし誰か、あるいはウェブサイトが共有を求めてきた場合は、それは詐欺行為です。

シークレットリカバリーフレーズの英単語 12 個を外部に漏らす行為はゼッタイにやってはいけないそうで、メタマスク偽サイトは詐欺師の大いなる欲望を体現していることが分かります。

詐欺師の仕込んだ偽サイトに無警戒なユーザーが迷い込む (経路の 1 つが Google 検索)

案内されるがままシークレットリカバリーフレーズを入力して送信する

シークレットリカバリーフレーズを手にした詐欺師はあなたのウォレットに完全にアクセスできる

詐欺師の管理下にあるウォレットへ仮想通貨を勝手に移動させて盗む

こうして、MetaMask (メタマスク) のウォレットに保管されている大事な資産をぜんぶ抜かれて、被害者が異変に気づいた時には、すでにウォレットの中身がスッカラカンというハッキング被害です。


詐欺師はユーザーの心を操りハッキングを実現する

ウォレット内の資産が消失するのは、ユーザーが偽サイトを訪問した瞬間ですか?

いやいや、そういうことは起こりえないです。

Bitget 偽サイトでメタマスク接続のフィッシング詐欺 「セキュリティ・アラート セキュリティのため、秘密のリカバリーフレーズを使ってウォレットへのアクセスを確認してください。リカバリーの秘策」
無登録の仮想通貨取引所 Bitget の偽サイト
シークレットリカバリーフレーズを盗み出す場面

直前にある動向として、メタマスクの関係者のフリをして接近したり、説得力のあるメタマスク偽サイトを用意したり、メタマスク開発元から正当な指示を出しているかのようユーザーに信じ込ませます。

その上で、詐欺師はユーザーの心を操ってシークレットリカバリーフレーズを共有させてきます。


【PR】 Amazon.co.jp | 通販 - ファッション、家電から食品まで【通常配送無料】

メタマスク偽サイト詐欺の手口から学ぶハッキング対策

Google 検索に罠を仕掛けてシークレットリカバリーフレーズを盗む詐欺師の手口を丸裸にしたところで、シークレットリカバリーフレーズを入力する正当な場面はどこでしょうか?

これは 「ウォレットをインポート」 するため 〔ブラウザ拡張機能〕 と 〔スマホのアプリ〕 の 2 系統に限られます。

MetaMask アプリの 2 系統
- アプリ入手先 (制作者の名義)
ブラウザ拡張機能
(PC版)
Microsoft Edge アドオン (MetaMask)
Chrome ウェブストア (metamask.io)
Firefox Add-ons (danfinlay)
スマホのアプリ Google Play ストア (MetaMask Web3 Wallet)
Apple App Store (MetaMask)


【1】 MetaMask 拡張機能内のページで入力

シークレットリカバリーフレーズの正当な入力先の 1 つ目です。

それは URL が metamask.io ですらなく、あくまで ブラウザ拡張機能内 のページです。

MetaMaskブラウザ拡張機能 「秘密のリカバリーフレーズでウォレットにアクセス」
秘密のリカバリーフレーズを入力する拡張機能内のページ

【ブラウザ拡張機能 MetaMask で本物のメッセージ】
シークレットリカバリーフレーズでウォレットにアクセス
MetaMaskはユーザーのパスワードを復元できません。代わりにシークレットリカバリーフレーズを使用して所有者を確認し、ウォレットを復元して新しいパスワードを設定します。まずはじめに、ウォレットの作成時に提供されたシークレットリカバリーフレーズを入力してください。詳細 無題な濃いログ
シークレットリカバリーフレーズを入力してください [12語のフレーズがあります]
シークレットリカバリーフレーズ全体をいずれかのフィールドに張り付けできます。

MetaMask 拡張機能内のページと認識できる見分け方は、Chrome ブラウザの場合はアドレスバーが 「chrome-extension:// ~」 という特徴的な URL を示します。

【本物! MetaMask 拡張機能内のページ

Microsoft Edge の場合
extension://ejbalbakoplchlghecdalmeeeajnimhm/ ~

Google Chrome の場合
chrome-extension://nkbihfbeogaeaoehlefnkodbefgpgknn/ ~

Mozilla Firefox の場合
moz-extension://*-*-*-*-*/ ~


【2】 スマホの MetaMask アプリで入力

そして、シークレットリカバリーフレーズの正当な入力先の 2 つ目です。

それは手元のスマートフォン端末にダウンロードしてインストールする MetaMask アプリです。

シークレットリカバリーフレーズ入力 MetaMask スマホアプリ
スマホアプリ MetaMask で 「シードからインポート」

もし、🦊 のイラストが描かれたTシャツを着て、あなたの前に現れた人物が ――

「メタマスクのシークレットリカバリーフレーズを教えて

のように話しかけてきたら、どのような肩書で自己紹介をしてきたとしても、その人物の正体はハッキング攻撃を仕掛けて騙そうとする詐欺師と判断するのが正解です。


メタマスクは自己管理型ウォレット

シークレットリカバリーフレーズを盗む詐欺師の多くは、海外のサイバー犯罪者グループでしょうか。

海を超え、山を超え、国境を超える犯罪の被害解決は、日本の法律が何ら及ばないため困難です。

偽サイトを表示する Google はヒドい!!!
いったい広告の審査はどうなっているの?

しかし、シークレットリカバリーフレーズを入力して送信する行為、他者に聞かれて律儀に返答する行為は、メタマスク (MetaMask) の ”自己管理型” というスタンスから自業自得でしかないようです。

ハッキング/詐欺被害を受けた 自分のアカウントでの不正なトランザクション (MetaMask サポート)
https://support.metamask.io/hc/articles/360052511372

残念ながら、トランザクションを取り消したり、失った資金を復元することはできません。
MetaMask は自己管理型ウォレットであり、ユーザーアカウントへのアクセスを管理したり、ユーザーに代わってアカウントや資金に介入し、救出することもできないのです。

web3 の規模と範囲が非常に大きいため、ウォレットが侵害された理由となり得る攻撃ベクトルが膨大に存在します。
一般的な原因を下記にいくつか示します。

・ あなたのコンピュータが悪意のあるソフトウェアに侵入され、そのコンピュータに個人情報を保存していたため、例えばシークレットリカバリーフレーズを特定、取得されてしまいました。

情報を盗み取る、悪意あるフィッシングサイトにアクセスしてしまいました。

・ 秘密鍵あるいはシークレットリカバリーフレーズを誰か、あるいはサイトに渡してしまいました。

・ ダップスあるいはサイトのスマートコントラクトに資金への無制限のアクセスを与えてしまいました。

・ 資金を盗む偽の MetaMask 拡張機能をインストールしてしまいました。


■ メタマスクのハッキング詐欺でセキュリティ対策

フィッシング詐欺の手口に MetaMask 迷惑メール があるけれど、無差別に送信される不審なEメールは暗号資産やメタマスクと縁のないユーザーのところにも届きます。

MetaMask拡張機能フィッシング詐欺の警告画面「Deceptive site ahead」ブロック
MetaMask 拡張機能によるフィッシング詐欺警告

一方、検索結果からメタマスク偽サイトへ大胆に誘導するフィッシング詐欺の戦術は恐ろしいです。

検索結果の最上位に表示されたリンクにアクセスするユーザー心理をうまく悪用していて、メタマスクに縁がありウォレットを保有するユーザーに絞って効率よく罠にはめることができるでしょう。

MetaMask ハッキング回避のセキュリティ術
メタマスクへのアクセス方法
アクセスする時の手段や行動を意識して絞る
ブラウザから公式サイト metamask.io に直接アクセスする
(1) ブラウザ拡張機能 MetaMask のアイコンで管理画面を開く
(2) スマホにインストールした MetaMask アプリを起動する
ウォレットのハッキング攻撃の兆候
「MetaMask Support」 を名乗るEメールを受信する
DM (ダイレクトメッセージ) やリプで詐欺師が接近する
└ MetaMask のサポート社員や開発チームを名乗り騙す
└ ハッキング被害の手助け名目で嘘の解決策を案内する
→ 検索結果の偽サイトを含む複数のルートで攻撃を仕掛ける
シークレットリカバリーフレーズの扱い方
・ 詐欺師の狙いはシークレットリカバリーフレーズ
シークレットリカバリーフレーズを人に教えるダメ。ゼッタイ。
シークレットリカバリーフレーズをウェブサイトに送信するダメ。
・ シークレットリカバリーフレーズの保管方法
「ネットから隔離されたオフライン保存」
「紙に印刷や手書きの清書」
「複数の安全な場所」

シークレットリカバリーフレーズを巡るハッキングの手口から、この詐欺に陥落するユーザーの属性は、右も左も分からない初心者というより 自信過剰でセキュリティ意識が麻痺している中級者・上級者 ではないかと心配します。


ウイルス対策ソフトはセキュリティ保護の対象外

紹介したメタマスク偽サイトで、端末がコンピュータウイルス (マルウェア) に感染する場面は 1 つもありません。

そのため、シークレットリカバリーフレーズをユーザー自らのミスで外部に流出させてしまう、つまり人間の心理的な隙を突くハッキングの戦術を前に ウイルス対策ソフトの活躍は期待できない でしょう。


【PR】 Amazon.co.jp | 通販 - ファッション、家電から食品まで【通常配送無料】

検索結果に偽サイト、知られざるハッキングの舞台裏

【1】 言語の壁を乗り越えるメタマスク偽サイト

Google 検索結果に表示されたメタマスク偽サイト広告 の手口を調べていて、より多くのユーザーから効率よくシークレットリカバリーフレーズを奪取しようと、日本語を含む多言語表示に対応する偽サイトを見つけました。

メタマスク偽サイト表示言語JavaScript
メタマスク偽サイトの表示言語を処理 JavaScript コードの一部

メタマスク偽サイト言語ファイル
日本語でメタマスク偽サイトを表示する時の言語ファイル

  1. アクセスしてきたブラウザのロケール情報 (言語の設定) をメタマスク偽サイトが取得する

  2. 取得した情報から言語ファイルを選択して読み込み、メタマスク偽サイト上に反映する
    → 欧米やアジアの言葉を網羅した 15 もの言語に対応していることが判明


【2】 メタマスク偽アプリをダウンロードさせる別の脅威

Google の検索結果の広告として表示されたウェブサイトではないけれど、通常ページの 1 つとして Google の検索結果に出現した不正な メタマスク偽サイト を発見しました。

その URL は当然のごとく本物の metamask.io ドメインではないけれど、外観デザインが巧妙に偽装されています。

危険なメタマスク偽アプリを配布するメタマスク偽サイト
精巧に造られているメタマスク偽サイト
metamaskpro.metamaskglob*.* ドメイン)

特徴的なのは、攻撃のターゲットが Android OS を搭載するスマートフォン端末であることです。

具体的に、このメタマスク偽サイトはユーザーが青い [Download on Google Play] ボタンをポチッとタップすることで、謎の Android アプリ (拡張子 .apk) がダウンロードされる仕掛けになっていました。

メタマスク偽サイトで偽アプリ Android ウイルス .apk のダウンロード
Android アプリ 「metamask.apk」 のダウンロード

この自称 「MetaMask アプリ」 (metamask.apk) の正体は紛れもない 偽アプリ です。

ハッキングの戦術として、シークレットリカバリーフレーズをコッソリ盗み出す機能が実装された Android マルウェアの感染を意図した脅威になります。

MetaMaskを始める
https://support.metamask.io/hc/ja/articles/360015489531

デバイス/OS に適した公式アプリストア以外の場所から MetaMask をダウンロードしないでください。
MetaMask のクローン版は、シークレットリカバリーフレーズを生成した後、すぐにそれを記録するようにプログラムされています。これらの詐欺の被害に遭わないようにするため、MetaMask の公式アプリは、他のソースからではなく、お使いのデバイスのアプリストアからダウンロードしてください。

  • 偽アプリは手動インストール必須
    Android 端末に偽アプリが勝手に強制インストールされることはない
    ユーザーの意志で Android 端末にダウンロードしてインストールする必要性あり

  • 偽アプリは提供元不明の野良アプリ
    Android OS のセキュリティ設定を手動で変更しておかないとインストール不可能な野良アプリ
    正規の配信プラットフォーム Google Play ストアで公開される Android アプリではない


検索キーワード備忘録

[MetaMask ハッキング] [MetaMask リカバリーフレーズ] [MetaMask シードフレーズ] [MetaMask フィッシングサイト] [MetaMask 偽サイト 見分け方] [MetaMask 詐欺] [MetaMask 偽物] [MetaMask 危険性] [MetaMask 秘密のリカバリーフレーズ] [シークレットリカバリーフレーズ 入力] [シークレットリカバリーフレーズ 忘れた] [シードフレーズ 忘れた] [メタマスク スキャム] [メタマスク ダウンロード] [メタマスク シードフレーズ] [メタマスク ハッキング 原因] [メタマスク ハッキング対策] [メタマスク リカバリーフレーズ 入力] [メタマスク 偽物 見分け方] [メタマスク 抜かれた] [メタマスク 抜かれる] [メタマスク 詐欺サイト] [メタマスク フィッシングサイト] [メタマスク 秘密のリカバリーフレーズ] [秘密のリカバリーフレーズ 入力方法] [仮想通貨 ハッキング] …

関連するブログ記事