仮想通貨投資の世界では取引所やウェブウォレットの偽サイトによるフィッシング詐欺が横行しています。
不幸にも、それらの詐欺の被害に遭ってしまう人も少なくないと聞きます。
通常のWebサービスとは異なり、仮想通貨関連のサイトはまさに“お金そのもの”を取り扱っているため、悪い人たちからの標的になっているのです。
フィッシング詐欺による詐欺被害が多いことは聞いていましたが、5月には私のもとにも偽物のMyEtherWalletから詐欺メールが届いたり、偽物のbitFlyerからも詐欺メールが届いたりしていました。
この他にも、実際に私のもとには届いていませんが、Zaifや某ICO運営プロジェクトも公式の名前を騙ったフィッシング詐欺メールが来ていると注意喚起していました。
今後も、そういった怪しいメールがあなたのもとへ届く可能性もあると思いますので、改めてフィッシング詐欺に騙されて資産を失わないようにするための知識を記事にしておきます。
特に後半部分に記載しているドメイン認証マークに関しては、知らない方も多いですが、非常に重要な安全性の見極めポイントなので必見です。
記事の目次はこちら→
あなたの資産(仮想通貨)は常に狙われていると認識すべき
仮想通貨関連のフィッシング詐欺に引っかからないために、まずは自分自身が持っている仮想通貨が資産であり、世界中の悪い人たちから狙われている可能性があることを認識するべきです。
おそらく、この記事を読んでいる方は、仮想通貨が資産であることに異論はないと思います。(資産だと思っていないのなら、そもそも仮想通貨を買おうとは思わないでしょう…)
ビットコインが「デジタルゴールド」なんて呼び方をされるように、仮想通貨のことを資産価値があるものだと認識している人たちは増えてきています。
仮想通貨が、私たちの生活を便利にする可能性があるデジタル通貨であるという点は革命的だと言えます。
しかし、仮想通貨は普通の消費者・生活者にとってだけでなく、悪意のあるハッカーにとっても革命的なのです。
非常に良くない比較の例え話ではありますが、実際の銀行に拳銃や包丁を持って強盗に入るのと、自宅のパソコンから仮想通貨取引所に侵入するのとではどちらが精神的なハードルが低いでしょうか?
技術的な話を抜きにすれば、間違いなく、ハッキングを行うほうが精神的なハードルは低いでしょう。
そもそも、銀行の場合、その銀行に常に置いてある現金は限られています。
しかし、仮想通貨取引所の場合はウン百~ウン千億円単位の仮想通貨が保管されているのです。
実際に2018年1月のコインチェック事件では約580億円相当のネムが盗まれてしまいました。
そこら辺にある銀行の支店に580億円の現金が置いてあることはまず考えられません。
つまり、悪意のある人間にとっては物理的・精神的に銀行の実店舗からお金を盗もうとするよりも、仮想通貨取引所からお金を盗もうとしたほうが効率が良いのです。
こういった事情があるので、「自分が所有している仮想通貨は常に狙われているんだ」と認識しておくことが、仮想通貨関連のフィッシング詐欺に遭わないための第一歩となります。
仮想通貨関連で発生するフィッシング詐欺の手口とは?
仮想通貨関連のWebサイトで気を付けるべきなのは、仮想通貨取引所・ウェブウォレット・ICO参加者用サイトの主に3つです。
これらにログインさえできれば、仮想通貨を別の場所に移動させることができてしまうため、悪い人たちが狙っています。
ログイン情報を盗むために、本物のWebサイトとそっくりの偽物のWebサイトを作り、そこにアクセスさせてログイン情報や秘密鍵を入力させるのです。
取引所へのログイン情報やウェブウォレットの秘密鍵が分かってしまえば、悪者はその情報で本物のサイトへアクセスし、保管されている仮想通貨を別の場所へ移動させてしまいます。
取引所のログイン情報やウェブウォレットの秘密鍵を渡してしまうのは、それこそ、銀行通帳・カード・暗証番号を悪い人にそのまま渡してしまうようなものです。
そこまでの情報があれば、何も苦労せずに銀行のお金を引き出すことができてしまいます。
そして、悪い人たちは、偽物の取引所サイトやウェブウォレットに誰かをアクセスさせるために迷惑メールをばらまきます。
例えば、あなたがA取引所を使っているユーザーだったとして、A取引所を装ったメールで下記のような内容が届いたら、どうするでしょうか?
あなたの取引口座がハッキング被害を受けそうになりましたが、セキュリティ対策によって被害を防止しました。安全性を高めるために、今すぐ下記のパスワード変更画面へログインして、新しいパスワードを設定してください。
↓
本家サイトにそっくりのフィッシング詐欺サイトへのURL
焦って、ログイン情報を入力してしまう人も多そうですよね。
私もこんなメールが来たら、本当にログイン情報を入力してしまうかどうかは別としても、一瞬ドキッとしてしまうと思います。
実際にこういった手口で仮想通貨を盗まれてしまう被害は起きていますので、十分すぎるほど注意しておく必要があります。
仮想通貨関連の怪しい迷惑メールはそもそも開封しない!
最近では迷惑メールフィルタの性能が上がってきているため、基本的にフィッシング詐欺のようなメールは迷惑メールボックスに振り分けられることが多いです。
私のもとへ来ていた偽MyEtherWalletや偽bitFlyerからのメールも迷惑メールボックスに自動で振り分けられていました。
稀に、迷惑メールフィルタが強力すぎて、全く迷惑メールではないメールまでも迷惑メールフォルダに振り分けられてしまうこともありますが、基本的には迷惑メールボックスに入ったメールは無視するのが良いでしょう。
しかし、Webメールサービスの種類やメールソフトによっては、正しく迷惑メールが振り分けられない時もあると思います。
そういうケースが一番判断に困るわけですが、フィッシング詐欺メールは送信元のメールアドレスがおかしかったり、メール内の文章がおかしかったりする場合が多いです。
このため、通常のメール受信ボックスに届いているメールであっても、「このメール怪しいかも?」と思ったら、送信元メールアドレスやメール内の文章をしっかりと確認しましょう。
怪しい迷惑メールを開封してしまっても、メール内のURLは絶対にクリックしない
迷惑メールはできれば開封すらしないほうがいいのですが、間違って開封してしまう場合もあると思います。
開封してしまうだけであれば、何らかの被害に遭うことは少ないと思いますが、メール内のURLはクリックするべきではありません。
クリックしてアクセスした先のサイトで何が起こるか分からないからです。
もしかすると、悪意のあるソフトウェアを勝手にインストールされてしまう可能性もゼロではないでしょうし、ほぼほぼ間違いなく、偽サイト(フィッシング詐欺サイト)にリンクしています。
迷惑メールに関してはそもそも開封しないのが原則ですが、万が一、開封してしまったとしてもメールの送信アドレスやメール内の文章におかしいところがないかをしっかりと確認するべきです。
あと、少しでも怪しいと思った場合には、Twitterや検索エンジンで検索を行ってみたほうがいいですね。
届いた迷惑メールの件名で検索を行えば、大抵はそのメールがスパムであることを注意喚起したブログ記事などが出てきます。
Twitterに関しては、取引所やウェブウォレットの公式ツイッターをフォローしておきましょう。こういったフィッシング詐欺メールが横行している時には注意喚起を行っている場合も多く、いち早く情報を仕入れることができます。
5月に起きた偽MyEtherWalletからのフィッシング詐欺メールについても、MyEtherWalletの公式ツイッターで注意喚起がされていました。
「怪しい迷惑メールが届いた」→「送信元アドレスや日本語の文章を確認」→「ネット検索やTwitterの公式情報を確認」→「そのメールの真偽を判断する」
という流れを習慣化しておけば、フィッシング詐欺サイトに騙されて大切な資産を失ってしまう可能性はグッと下がるはずです。
仮想通貨取引所やウェブウォレットへログインする時には必ずSSLサーバー証明書&ドメイン認証マークを確認する
ここまでの心構えと手順をしっかりと頭の中に入れておけば、フィッシング詐欺被害に遭ってしまう可能性は少ないと思います。
ただ、迷惑メールかどうかを判断できず、うっかりと偽サイトへアクセスしてしまう場合もあるかもしれません。
そんな時には「ドメインがSSL化されているか」と「ドメイン認証マーク」をしっかりと確認することで、自分がアクセスしているサイトが信頼できるサイトかどうかを判断できます。
SSLやドメイン認証マークと言っても知らない方も多いと思いますので、画像を交えて詳しく解説していきます。
WebサイトがSSL化(https化)されているかを確認する方法
まず、当ブログのドメイン(URL)を見ていただくと、https://cc-man.comとなっているのが分かると思います。そして、左側には【保護された通信】と表示されています。(パソコン版のGoogleクロームで表示した場合)
一方で、下の画像のように【保護されていません】と表示されているWebサイトもよく見かけると思います。この表示の場合は、http://example.comのようなURLになっています。
つまり、httpの場合は「保護されていない通信」で、httpsの場合は「保護されている通信」ということになります。
私自身もこの辺の暗号化通信技術に物凄く詳しいわけではないので、簡単に説明しますが・・・あなたがWebサイトにアクセスする時は、パソコンやスマホのWebブラウザとサイト側のサーバーが通信を行います。
この通信内容を暗号化してやり取りする技術が「https(=SSL)」です。
スマホの場合はイメージしやすいと思いますが、離れた場所とデータ通信を行っているわけなので、通信が暗号化されていないと、悪意のある第三者に通信内容を盗み見られてしまう危険性があります。
まぁ別に今日の天気を見ていたり、芸能ゴシップの記事を読んでいるのが盗み見られても正直なにも問題はないです。
でも、盗み見られるのがクレジットカード番号や銀行口座情報、仮想通貨取引所へのログイン情報などであれば大問題です。
だから、ECサイトの注文画面などはURLが「https://~」となっていて、通信を暗号化しています。
SSLという暗号技術を使って通信を行っていれば、安全にクレジットカード情報などを相手に送ることができるようになります。
前提知識の話が長くなってしまいましたが、要は、仮想通貨取引所といった大切な情報をやり取りしているWebサイトは必ずSSL(https)形式になっているということです。
このことからも分かるように、当ブログはしっかりとSSL(https)化に対応しているので、安心して通信してもらうことができます。
と言っても、ブログ読者から何か重要な情報を取得しているわけではないので、その点は安心してください。
最近では、特に重要情報のやり取りが発生しないサイトに対しても、Googleが通信を暗号化することを推奨しているため、当ブログもその方針に従っているだけです。
ということで、仮想通貨関連のWebサイトへアクセスする場合に一つ注目すべき点は、URLの部分がしっかりと「https」になっているかどうかを確認することです。
もちろん、これにプラスして、そもそものURLが合っているかどうかを確認する必要もあります。
例えば、日本人にも人気の海外取引所であるBINANCE(バイナンス)はドメインが「www.binance.com」ですが、きちんとSSL化(https化)されています。
パソコン版Googleクロームでアクセスすると緑色の南京錠のようなマークと【保護された通信】という表示が出ているのが分かります。
仮想通貨関連で重要な情報(ログイン情報や秘密鍵)をやり取りするWebサイトに関しては、最低限「https」になっていることを確認するようにしてください。
さらに信頼性が高い“ドメイン認証マーク”を確認する
ただし、ここで注意しなければいけないのは、「https」になっているからと言って、100%そのWebサイトを信頼できるわけではないという点です。
フィッシング詐欺サイトであっても「https」になっているWebサイトは普通に存在します。
なぜなら、この「https」という仕様を導入するのは、全くハードルが高くないからです。
「https」よりも、さらに信頼性が高いWebサイトには「ドメイン認証マーク」が採用されています。
これは言葉で説明するよりも、見ていただいたほうが分かりやすいと思いますので、まずはbitFlyer(ビットフライヤー)のサイトを見てみましょう。
上の画像を見ていただければ分かる通り、ドメインが「https」となっているだけではなく、【bitFlyer, Inc. [JP]】と表示されています。
これは「https://bitflyer.jp/ というドメインは、日本のbitFlyer, Inc.という会社が所有していることを確認しているドメインですよ」というマークです。
インターネットの独自ドメインは誰でも簡単に取得できるものです。
bitFlyerを例に取れば、似ている文字列である「https://bitfyer.jp/」や「https://bitflyr.jp/」を取得して、偽サイトを作ることもできてしまうわけです。
こういった偽サイト・なりすましサイトの被害を防ぐために、ドメインの認証機関がその会社や団体の存在をしっかりと確認して、認証を行う方法があります。
その方法での認証を行うと、先のbitFlyerのように【bitFlyer, Inc. [JP]】というマークが表示されるようになるのです。
例えば、Zaif(ザイフ)の場合は【Tech Bureau, Corp. [JP]】と表示されています。
これは「https://zaif.jp/ のドメインをテックビューロ株式会社が所有しています」という意味です。
bitbank(ビットバンク)も同様にドメイン認証が表示されています。
日本国内の取引所に関しては、この方式でのドメイン認証が多いです。
GMOコインについても、しっかりとドメイン認証マークが表示されています。
ちなみに、代表的なウェブウォレットであるMyEtherWalletも、この方式でのドメイン認証を採用しています。
【MyEtherWallet Inc [US]】と表示されているので「アメリカのMyEtherWalletという会社が、https://www.myetherwallet.com/のドメインを所有している」ということです。(MyEtherWalletも法人が運営しているんですね)
取引所やウェブウォレットの中には、ドメイン認証までは行っておらず「https」のみの取引所もありますので、自分が利用するWebサイトがどのようなドメインになっているのかは事前に把握しておくと良いでしょう。
その上で、自分がアクセスしているサイトが本物かどうかを見極めるために以下の3点を確認します。
1.ドメイン認証がされている場合はしっかりと会社名・団体名が表示されているか
2.1の認証がないサイトの場合でも「https」になっているか
3.アクセスしているサイトのURLが正しいURLになっているか
これらを確認すれば、まずフィッシング詐欺サイトに騙されてしまい、資産を失ってしまうような事はないでしょう。
(対応していない取引所もありますが)特に1を確認できれば、かなり安全性は高いです。
なぜなら「このドメインは○○株式会社が所有しています」という認証マークを取得するためには、しっかりとした手続きが必要だからです。
企業の実在証明(本当にその所在地に存在するのか)までを確認しないと取得できないものなので、フィッシング詐欺集団が有名取引所の偽サイトを作ったとしても、この部分のドメイン認証まではごまかすことができません。
ということで、後半部分のドメイン認証については少し専門的な話も含まれますし、技術的な仕組みまでを100%正確に理解する必要はないのですが、かなり重要な見るべきポイントであることは間違いありません。
上記の3点を確認した上で安全だと判断できたら、そのURLをブックマークしておき、それ以降はブックマークからのみアクセスを行うようにするのが良いと思います。
くれぐれも、怪しい迷惑メール内のURLからアクセスしたWebサイトで取引所のログイン情報や秘密鍵を入力しないようにしてください。
正直、仮想通貨関連のセキュリティ対策は面倒な事も多いので、そこまで難しく色々と考えたくない場合は、セキュリティが強い取引所を使うのがおすすめです。
bitFlyer(ビットフライヤー)は、過去に第三者機関によって取引所のセキュリティが世界No.1だと認められたこともあるくらいセキュリティが強いので、あまり難しいことを考えたくない初心者の方にはおすすめできる取引所です。
bitFlyer(ビットフライヤー)であれば、ドメイン認証マークも取得しているので、上記で解説している通りにドメイン認証マークの確認も行っておけば、かなり安全に使うことができるでしょう。
コメントを残す