今回の記事では、NFT盗難された実例、私がハッキング被害を受けた実例を見ながら、NFT、仮想通貨に関するハッキング被害を受けないために、絶対守ってほしいことを皆さんに伝えたいと思います。
この記事で分かること
1.NFTの盗難を実例で見てみよう。
2.暗号資産(仮想通貨)の盗難について(被害が受けた私の実例)
3.ハッキング被害を受けたら即やる3つのこと
4.盗難被害を遭われないための6箇条(9割以上のハッキングを防げる)
※ハッキング被害をすでに受けた方については、1と2の項目を飛ばして、目次から直接3と4の項目にアクセスして、すぐハッキング対策をしてください。
1.実例から見るNFTの盗難
最近では、「NFT盗難の被害を受けました」という声がSNSでも結構出てきています。例えば、
自分の気に入りのNFTをやっと手に入れたのに、ハッキング被害を受けて盗難されるのはかなり悔しいですよね。
または、1つ、2つだけではなく、一気に大量に盗まれたことも稀ではないのです。
Debank★というツールを使って、別の被害を受けた方のウォレットを見てみましょう。
★Debankとは、ウォレットの資産状況を一括にまとめてくれる便利なツールです。
似ているようなツールもいくつあり、例えば、Zerion(ジリオン)やZapper(ザッパー)など、どれも使い勝手がいいです。
各種ツールを紹介する記事について、ぜひ合わせてご覧ください。
上記の図のように、1回の転出で一気に50個ぐらいのNFTが盗まれました。
おそらくウォレットの中の値段が高いNFTがごっそり抜かれていると思われます。
これらのNFTをちょっと調べてみましたが、9月中旬現在の値段でも軽く2ethを超える価値があると思います。
被害額が日本円に換算すると数十万円にも上りますね。
なぜこのようにハッキングに遭われたのでしょうか。その原因も探ってみたら、怪しい操作を発見しました。
この図を見てわかるように、ハッキングされる直前に、ウォレットの持ち主がいくつの「setApprovalForAll」☆を実施していたようです。
これらは全部悪いわけではないと思いますが、考えられるのは、この中のどれかが悪いサイトで承認したことによって、今回の被害につながったと考えられます。
☆「setApprovalForAll」とは、サイトと自分のウォレットをつなぐ際に、自分のウォレットの全てのNFTの「転送許可」権限を前もって特定のアカウントへ譲渡するということです。いわゆる、「NFTをどうぞ転送していいよ」という状態になることです。
実はいつも使っているMetamaskをOPENSEAにつないで、NFTを売るときにも、よく出るポップアップです。(下図)
もう少し詳細な解説は、後半の項目4をご覧ください。
2.暗号資産のハッキングについて
実は私自身もハッキング被害を受けました。NFTが盗まれたのではなく、ETHが取られたのです。
以下も同じようにツールDebankで履歴を見ていますが、
①のところは、盗まれた仮想通貨ETHです。0.0792ETHで当時の金額にしたら2万円弱です。
原因について、いろいろ探ってみたんですが、「setApprovalForAll」には特に気を付けてやっているので、変なサイトに承認してはいなかったです。
しかし、直前の履歴を見ると、いくつの怪しいNFTの受け取り(Receive)の履歴がありますよね。(図の②のところ)
これはNFTのAirDrop(エアドロップ)になります。特にどこかで懸賞を申請したこともなく、誰かから勝手に送られてきたものです。
9月現在では、Opensea側で怪しいAirDropのNFTを”Hidenフォルダ”に自動分類してくれますが、7月当時ではOpenseaの”Collectedフォルダ”にそのまま入っていたと記憶しています。
以下の図のように現在でもたくさんのAirDropのNFTが知らない間に送られてきていますね。
これらをOpenseaで売ったりする際には、承認ポップアップが出ますよね、それを承認するといろいろ権限を渡してしまいます。
おそらく、私もその時にいろいろやらかして、ETHが盗まれたと思います。
これらのNFTが怪しいかどうかの見分け方については、後半の項目4のところでもう少し詳しく説明しますので、ぜひご覧ください。
3.ウォレットにハッキング被害が受けたら、すぐやる3つのこと
(1)仮想通貨を安全なウォレットに移す
上記項目1で紹介したけケースでは「setApprovalForAll」を悪いサイトに権限を与えた例ですが、他にもたくさんのハッキングケース(秘密鍵の紛失とか)がありえます。
なので、同じウォレットに入っている仮想通貨がある場合は、とりあえず他の安全のウォレットに一度移ったほうがいいと思います。
ETHの送付方法はETHを例に示します。(下図も合わせてご確認ください)
- ① 送金ボタンをクリック。
- ② 安全なウォレットのアドバイスを入力。
- ③ 金額を入れて、次へをクリック。
- ④ Gas代を確認して、問題なければ確認をクリック。
(2)高額のNFTを安全なウォレットに移す
上記項目2の図では、私のウォレットのハッキング当時の状況を示しましたが、その中の③の部分で、いくつのNFTを外部に送付したのが分かります。
ETHがほぼ全額取られたこともあって、NFTを安全のウォレットに送るのにもGas代が足りていなかった。そのために、
NFTの送付方法はETHを例に示します。(下図も合わせてご確認ください)
- ① 送付したいNFTのページを開いて、右上の送付ボタンをクリック。
- ② 安全なウォレットのアドバイスを入力して、送付(Transfer)ボタンをクリック。
- ③ Gas代を確認して、問題なければ確認をクリック。
(3)REVOKEでAprrove承認を外す&WEBサイトの接続解除を行う
・REVOKEというサービスで過去に署名した(Aprrove承認)ものを取り消すことができます。ぜひやってみましょう。
簡単な手順は以下の通り:
- ① REVOKEのWEBサイトを開く。
- ② ウォレットを接続する。
- ③ 怪しいサイトのところのRevokeボタンをクリック。
- ④ Gas代を確認して、問題なければ確認をクリック。
なお、Revokeの詳細のやり方については、またこちらの記事で詳細を説明していますので、合わせてご確認ください。
・MetamaskのWEBサイトの接続を外すこともできます。根本的な対策にはならないですが、やっておいてたほうが気持ちがスッキリします。
簡単な手順は以下の通り:
- ① Metamaskを開いて、右上の:ボタンをクリック。
- ② 接続済みのサイトをクリック。
- ③ 外したいサイトの右の接続解除をクリック。
- ④ 接続解除をクリック。
4.普段からのウォレットセキュリティ対策6か条
すでに被害に遭われた方にも、まだ被害に遭われいない方でも、普段からウォレットのセキュリティ対策を講じる必要があります。
以下の6つのポイントを注意すれば、9割以上リスクを減らせることができると思います。ぜひ確認して今から対策しましょう。
NFTセキュリティ対策6か条
一、秘密鍵を守るべき
一、フリーWi-Fiを気を付けよう
一、Approve(承認)する際には3度見
一、見覚えのないNFTを触らない
一、DMは99%が詐欺
一、複数アカウントで運用しよう
一、秘密鍵を守るべき
第一に、自分のウォレットの秘密鍵(シードフレーズ)を絶対他人に教えないことです。
Metamask全体に1つの秘密鍵が持っているわけではなく、Metamask下のアカウントごとに秘密鍵があるような仕組みです。
この秘密鍵を持っていれば、Metamaskそのもののパスワードがなくても、該当アカウントのフルアクセス権限を持っていることになります。
他人に漏れないよう十分注意しましょう!(⇩秘密鍵の確認方法⇩)
これを加えて、個人的にはオンライン上(クラウドストレージサービス上)にも秘密鍵を置かないように勧めます。最近はクラウドサービスのハッキング事件も頻繫に起きるようになったので、私は秘密鍵を紙に書き留めています。
書き留めている紙を間違って捨てないようにしましょうね~複数のバックアップを意識しましょう。
もしオンライン上に保管したい場合は、保管ファイルをさらにパスワードをかけてセキュリティを高めましょうね~
一、フリーWi-Fiを気を付けよう
次に、外出先でフリーWi-Fiには接続しないことを勧めます!
フリーWi-Fiはセキュリティ対策が講じていないところが多く、パソコンに侵入される危険性があります。
そしたら、ウォレットにアクセスされる可能性があります。
Metamaskがログアウトしている状態ではまだいいですが、自動的にログインしている状態でパソコンがハッキングされると、当然ながら、Metamaskアカウントの秘密鍵も盗まれます。
どうしても心配の場合は、VPNというサービスがあるので、VPN経由でインターネットをつなぐのがかなりセキュリティ対策として有効です。
VPNを気になる方は、以下のサービスをご確認ください。
各種VPN概要などを比較してみました:
| VPNサービス | サービス概要 | 価額 (1ヶ月) | WEBサイト |
|---|---|---|---|
【SurfShark】    | ・フリーWiFiのセキュリティ強化に使える! ・60カ国以上に1700以上のサーバーを提供。 ・1つのアカウントで好きなだけ同時接続が可能。 ・30日間返金保証あり。 | 2年契約: 262円/月 | 今すぐ申込み  |
| ・60か国対応、サーバー2000台以上提供。 ・最大6台のデバイスを保護。 ・30日間の返金保証。 ・24時間年中無休のカスタマーサポート日本語サポート可能。 | 2年契約: 390円/月 | 今すぐ申込み  | |
MillenVPN(ミレンVPN)   | ・大手レンタルサーバーのmixhostのVPNサービス。 ・特にフリーWiFiのセキュリティ強化に使う。 ・「アプリ」をインストールするだけ! 難しい初期設定や工事は必要なし。 ・30日間返金保証あり。 | 2年契約: 396円/月 | 今すぐ申込み |
スイカVPN  | ・世界45都市47サーバーVPNで日本と同じネット環境を再現。 ・2週間無料お試し期間ありデータ通信量の制限なし。 ・月額定額で使い放題利用者数50,000人突破。 ・土日も日本語サポート | 2年契約: 717円/月 | 今すぐ申込み |
| ・【VPNサーバー設置国】 日本、アメリカ、ドイツ 、韓国、台湾 イギリス、フランス、ベトナム、タイ、インドネシア ・最大2ヶ月間(翌月の月末迄)無料体験可能ユーザーIDとパスワードを即発行、即時利用(クレジットカード支払いの場合) ・高いセキュリティ対策、アクセス規制対策日本語サポート | 1100円/月 | 今すぐ申込み |
一、SetApprove(承認)する際には3度見
よくわからないサイトにMetamaskなどのウォレットを接続する際には常に細心の注意を払う必要があります。
サイトにむやみにApprove(承認)しないことですが、どうしても接続したい場合は、とにかく何度も何度も確認してから承認するようにしましょう。「setApprovalForAll」の表記が出てくるとかなり危険ですので、やめておきたいところです。(下図は危険サインまとめ)
上記項目3でも説明したように、盗まれた後のやることとして、REVOKEというサービスを使いますが、普段からも定期的にREVOKEをチェックして、不要な承認を取り消すようにしましょう。
※取り消すにもGas代がかかるので、個人的にはOpenseaなどの信頼できるサービスへの承認をそのままにしています。
一、見覚えのないNFTを触らない
上の項目3でも説明したように、勝手にエアドロップ(AirDrop)されたNFTを基本触らないことです。
ちなみに、そのNFT自体を開いて見ても特に被害を受けることがありません。
しかし、そのNFTを売ったり、転送したりすると、承認を与えてしまうことになりますので、とりあえず触らないようにしましょう。
そのNFTが怪しいかどうかの見分ける方法を簡単に説明しますと、下の図のように、エアドロップで来たNFTの詳細ページのところに、total volume、floor priceの部分を注目しましょう。
ETHのマークに似ていますが、紫色になっています。実はこれがETHではなく、Polygon(ポリゴン)という仮想通貨です。AirDropされたNFTかつPolygon(ポリゴン)で売買されるものの場合は、基本詐欺だと思ってください。
一、DiscordのDMは99%が詐欺
NFTで稼ぐ際には、SNSとしてよく利用するのがDiscord(ディスコード)でしょう。様々なコミュニティに参加して最新情報をゲットするのがよくあることですね。
しかし、Discordでは簡単にBotを仕込むことができ、コミュニティに加入した瞬間に詐欺DMがすぐ飛んでくるのも日常茶飯事です。これらのDMの99%が詐欺ですので、DiscordのDM機能をOFFにすることがとにかく重要です。
DiscordのDMをOFFにする手順は以下の通り:
- ① Discordを開いて、下の設定ボタンをクリック。
- ② プライバシー・安全をクリック。
- ③ 右の画面より、安全第一をクリック。
- ④「ダイレクトメッセージを許可する」の右のボタンをクリックし、設定OFFにする
ほかのSNS(TwitterやTelgramなど)についても同様に、DMが来たら怪しいと思って疑ってください。DMにあるリンクを絶対踏まないようにしてください!
おまけ
Discordのコミュニティに入るには認証が発動することが多く、たまにDMより認証する必要が出てきます。
その際には、一時的にダイレクトメッセージを許可して、認証完了後に素早く設定をOFFに戻すのを忘れないでください。
一、複数ウォレットで運用しよう
上で説明したように、ウォレットをサイトに接続するときやNFTを売買するときに、いろいろトラップに引っ掛かりやすくなっています。
それを防ぐためには、複数のウォレットを運用することをお勧めします。
今回はウォレットの新しい作り方を省きますが、2つ以上のウォレットを作成して、
よくNFTをFreeMint、売買するサブウォレットには、少量の仮想通貨を入れて運用し、
メインのウォレットをなるべくいろんなサイトに接続しないようにすれば、ハッキングされた後の損失を最低限抑えましょう。
番外編:ハードウェアウォレットを併用するとセキュリティが高められる
Metamaskとハードウェアウォレットを接続する場合、送金の承認などは最終的にハードウェアウォレットで行う必要があることを考えれば、ハードウェアウォレットを併用したほうがセキュリティが高められます。
ポイント
私がよく使うハードウォレットがこちらのLedger Nano X になります。
いかがでしょうか。
今回の記事では、NFT盗難された実例、私がハッキング被害を受けた実例を見ながら、NFT、仮想通貨に関するハッキング被害を受けないために、絶対守ってほしいことを皆さんにお伝えしました。
被害を遭われた方も、まだまだ大丈夫だと思った方も、ぜひこれら6つの対策ポイントを実践して、自分の資産を守っていきましょう!!
