暗号資産のフィッシング詐欺対策｜偽サイトの手口と被害を防ぐ方法を解説

暗号資産を狙うフィッシング詐欺は、すでに一部の人だけが遭遇する特殊なトラブルではありません。弊社で実施したアンケート調査では、暗号資産ユーザーの約68%がフィッシング詐欺や偽サイトに遭遇した経験があると回答しています。また「引っかかりそうになったが途中で気づいた」と回答した人は16.89%、さらに「実際に操作してしまった」と回答した人も4.05%いました。

こうした被害が起きる原因は、偽サイトや偽メールの見た目が巧妙になり、利用者が一目で判断しにくくなっているためです。調査でも、詐欺を見抜くのが難しい理由として「内容が巧妙で違和感が少ない」と回答した人が44.59%に上っています。

そのため、暗号資産のフィッシング詐欺を防ぐには「怪しいものを見分ける」だけでは不十分です。メールやSMSのリンクからログインしないこと、公式サイトや公式アプリから確認すること、リカバリーフレーズや秘密鍵をサイト上で入力しないことを徹底する必要があります。

この記事では、暗号資産のフィッシング詐欺で狙われやすい情報、よくある手口、被害を防ぐための対策、被害に遭った可能性があるときの対処法を解説します。暗号資産を保有している方は、実際に情報を入力する前に、どのような場面で立ち止まるべきかを確認しておきましょう。

暗号資産のフィッシング詐欺とは

暗号資産のフィッシング詐欺とは、実在する暗号資産交換業者やウォレットサービスなどを装い、偽サイトへ誘導して重要な情報を盗み取る手口です。警察庁の公式サイトでも注意喚起されており、フィッシング詐欺について、実在のサービスや企業を語り、偽のメールやSMSで偽サイトに誘導し、IDやパスワードなどを盗む手口と説明されています（参照：フィッシング対策｜警察庁Webサイト）。

暗号資産の場合、被害は取引所アカウントの乗っ取りにとどまりません。ウォレットのリカバリーフレーズや秘密鍵を入力してしまうと、第三者にウォレット内の資産を移動される恐れがあります。

これらは、銀行口座のログイン情報とは性質が異なります。暗号資産では、秘密鍵やリカバリーフレーズを知っている人が資産を動かせる状態になるため、第三者に知られないよう厳重に管理する必要があります。

暗号資産のフィッシング詐欺で狙われる情報

暗号資産のフィッシング詐欺では、主に取引所のログイン情報とウォレットの重要情報が狙われます。どちらも資産流出につながることがあるものの、被害の起き方は異なります。

取引所のログイン情報を盗まれた場合は、暗号資産交換業者のアカウントに不正ログインされる可能性があります。一方で、ウォレットのリカバリーフレーズや秘密鍵を盗まれた場合は、取引所を介さずに資産を動かされる恐れがあります。

取引所のログイン情報を盗まれるとアカウントを乗っ取られる

暗号資産交換業者のIDやパスワードを偽サイトに入力すると、第三者にアカウントへログインされる恐れがあります。取引所のアカウントは、暗号資産の売買や送金、登録情報の管理に使われるため、乗っ取られると保有資産を動かされる可能性があります。

特に危険なのは、ログイン後に暗号資産を外部ウォレットへ送金されるケースです。暗号資産の送金は、銀行振込やクレジットカード決済のように、あとから簡単に取り消せるものではありません。攻撃者の管理するアドレスへ送金されると、資産を取り戻すのは難しくなります。

また、取引所によっては、ログイン後に登録メールアドレスや出金先アドレス、セキュリティ設定を変更される可能性もあります。こうした変更をされると、本人がログインし直すことや、被害状況を確認すること自体が難しくなる場合があります。

二段階認証を設定していても、油断はできません。偽サイトにワンタイムパスワードや認証コードを入力してしまうと、そのコードを攻撃者がすぐに使い、不正ログインを成立させる可能性があります。つまり、二段階認証は有効な対策ですが、偽サイトに入力してしまえば防御として機能しにくくなります。

そのため、取引所から「不正ログインを検知しました」「出金を制限しました」「本人確認が必要です」といったメールやSMSが届いても、本文内のリンクからログインしてはいけません。確認が必要な場合は、必ず公式アプリやブックマーク済みの公式サイトからアクセスし、アカウントの状態を確認することが重要です。

リカバリーフレーズや秘密鍵を盗まれるとウォレット内の資産を動かされる

自己管理ウォレットを利用している場合、最も注意すべき情報はリカバリーフレーズと秘密鍵です。リカバリーフレーズとは、ウォレットを復元するための単語の組み合わせで、秘密鍵とはブロックチェーン上の暗号資産を動かすために必要な情報です。

これらを第三者に知られると、相手は別の端末や別のウォレットアプリから同じウォレットを復元できる可能性があります。つまり、本人のスマートフォンやパソコンを直接操作されなくても、ウォレット内の資産へアクセスされる恐れがあります。

リカバリーフレーズや秘密鍵が漏れた場合、取引所のパスワード変更のような対応では資産を守れません。ウォレットの鍵そのものが知られている状態のため、同じウォレットを使い続ける限り、再び資産を動かされるリスクが残ります。

そのため、リカバリーフレーズや秘密鍵を安易に共有したり、サイト上で入力してはいけません。正規のサポート担当者であっても、通常これらの情報を聞き出す必要はありませんので、ご注意ください。

暗号資産のフィッシング詐欺でよくある手口

暗号資産のフィッシング詐欺では、利用者を焦らせたり、利益が得られるように見せかけたりして、偽サイトへ誘導する手口が使われます。暗号資産では、以下の入口から被害に繋がる可能性があります。

• 取引所
• ウォレット
• エアドロップ
• SNS
• 検索広告

ここでは、特に注意したい代表的な手口を確認しておきます。

取引所を装ったメールやSMSで偽サイトに誘導する

暗号資産のフィッシング詐欺では、暗号資産交換業者を装ったメールやSMSから偽サイトへ誘導する手口があります。文面には「不正ログインを検知しました」「本人確認が必要です」「出金を制限しました」など、利用者を焦らせる内容が使われることがあります。

この手口が危険なのは、利用者が「自分の資産に問題が起きた」と思い込んでしまい、冷静に確認する前にリンクを開いてしまいやすい点です。暗号資産は値動きが大きく、送金や出金にも関わるため、取引所からの警告に見える連絡には反応してしまいやすい傾向があります。

リンク先の偽サイトは、正規の取引所とよく似た画面で作られているケースが多く、ロゴや色、ログイン画面の配置が本物に近いため、見た目だけで偽サイトだと判断するのは困難です。

また、特に注意したいのは、メールやSMSの内容が本当にありそうな内容で送られてくることです。例えば、本人確認の再提出、セキュリティ強化、利用規約の変更、出金制限の解除などは、実際の取引所でも案内される可能性があるため、文面だけを見て正規の連絡かどうかを判断するのは危険です。

取引所から重要なお知らせが届いた場合でも、メールやSMS内のリンクからログインしないことが大切です。確認が必要な場合は、公式アプリやブックマーク済みの公式サイトからアクセスし、アカウントのお知らせや通知を確認してください。リンクを開く前にアクセス方法を変えるだけでも、偽サイトへ誘導されるリスクを下げられます。

ウォレットの偽サポートに誘導してリカバリーフレーズを入力させる

自己管理ウォレットを利用していると、アプリが開かない、残高が表示されない、機種変更後に復元できないといったトラブルが起こることがあります。このような場面で利用者が焦って検索したり、SNSで質問したりすると、偽のサポート窓口へ誘導される恐れがあります。

ウォレットにログインできない状態だと、冷静に判断しにくくなります。「このまま資産を失うかもしれない」という不安があるため、普段なら怪しいと感じる案内でも、復旧に必要な手続きだと思って従ってしまうことがあります。

ウォレットの不具合や復元で困った場合でも、検索結果やSNSで見つけたサポート窓口をすぐに信用してはいけません。公式サイトで案内されている窓口かを確認し、リカバリーフレーズや秘密鍵は絶対に共有しないことが重要です。

エアドロップやキャンペーンを装ってウォレットを接続させる

暗号資産やNFTの無料配布を装い、偽サイトにウォレットを接続させる手口があります。エアドロップとは、暗号資産やトークンを無料配布する企画のことです（関連：エアドロップとは）。

「今だけ受け取れる」や「ウォレットを接続すれば付与される」といった文言で利用者を誘導し、その後、ウォレット接続や署名操作を求められ、不利な内容を承認してしまう場合があります。

ウォレット接続は、単なるログイン操作とは限りません。内容によっては、暗号資産やNFTの移動に関わる権限を与えてしまう可能性があります。よく分からないサイトでは、ウォレットを接続しないことが基本です。

検索広告やSNSから偽サイトへ誘導する

フィッシング詐欺は、メールやSMSだけでなく、検索広告やSNSからも誘導される場合があります。例えば、取引所名やウォレット名で検索したときに、正規サイトに似せた広告や偽サイトが表示される可能性があります。表示順位が上にあるからといって、必ずしも正規サイトとは限りません。

SNSでも、公式アカウントに似た名前やアイコンを使い、偽のキャンペーンやサポート窓口へ誘導する手口があります。フォロワー数や表示名だけで判断せず、公式サイトから案内されているアカウントか確認することが重要です。

暗号資産のフィッシング詐欺を防ぐ対策

暗号資産のフィッシング詐欺を防ぐには、届いたメールや表示された画面をその場で見分けようとするだけでは不十分です。偽サイトは本物に近い見た目で作られることがあり、ロゴや画面デザインだけで安全性を判断するのは難しいためです。

重要なのは、不審な連絡を受けたときでも、普段から決めた手順に沿って確認すること。焦って操作するのではなく、ログイン方法や情報の入力場所、ウォレットを接続する場面を一つずつ慎重に確認する必要があります。

特に暗号資産では、取引所のアカウント情報やウォレットの重要情報を扱います。一度の入力や承認が資産の移動につながる場合もあるため、被害に遭ってから対応するのではなく、事前に危険な操作を避ける習慣を作ることが大切です。

ここからは、暗号資産のフィッシング詐欺を防ぐために確認しておきたい具体的な対策を解説します。普段のログイン方法やウォレットの使い方を思い浮かべながら、自分の管理方法に問題がないか確認していきましょう。

メールやSMSのリンクからログインしない

暗号資産交換業者やウォレットサービスを名乗るメールが届いても、本文内のリンクからログインしないことが重要です。リンク先が正規サイトに見えても、実際には偽サイトである可能性があります。特に、以下の言葉がある場合は、注意が必要です。

• 至急
• 停止
• 制限
• 不正ログイン

こうした表現は、利用者を焦らせて確認を省かせるために使われることがあります。ログインが必要な場合は、メール内のリンクではなく、自分で登録したブックマークや公式アプリからアクセスしてください。この習慣だけでも、偽サイトへ誘導されるリスクを下げられます。

公式サイトや公式アプリからアクセスする

暗号資産交換業者やウォレットを利用するときは、公式サイトや公式アプリからアクセスすることが基本です。広告やSNSに表示されたリンクからアクセスすると、正規サイトに似せた偽サイトへ誘導される恐れがあります。

公式サイトを確認するときは、まずサービス名で検索した結果をそのままクリックするのではなく、URLの表記を確認します。公式サイトに見せかけて、英字の一部を入れ替えたドメインや、余計な単語を付け足したドメインが使われる場合があるためです。見慣れないURLや、公式サービス名と一致しないURLであれば、ログイン情報を入力しない方が安全です。

より確実なのは、一度正しい公式サイトを確認したうえで、ログインページをブックマークしておく方法です。次回以降は、メールやSMS、検索結果のリンクからではなく、自分で保存したブックマークからアクセスします。これにより、偽サイトへ誘導されるリスクを下げやすくなります。

スマートフォンで取引所を利用する場合は、公式アプリを使う方法もあります。ただし、似た名称のアプリが表示される可能性があるため、アプリ名だけで判断せず、提供元の会社名、公式サイトからの案内、既存の公式ページに掲載されているリンクを確認してからインストールしてください。

ウォレットアプリも同様です。検索結果やSNSで紹介されているリンクから直接インストールするのではなく、公式サイトや開発元が案内しているページから確認することが重要です。特にリカバリーフレーズや秘密鍵を入力するアプリでは、偽アプリを使うと資産流出につながる可能性があります。

リカバリーフレーズの共有前に相手の信頼性を確認する

リカバリーフレーズは、ウォレットを復元するための重要情報です。第三者に知られると、別の端末やウォレットアプリから資産へアクセスされる恐れがあるため、原則として安易に共有してはいけません。

一方で、ウォレットの復旧を専門業者へ依頼する場合は、作業の性質上、リカバリーフレーズの共有が必要になるケースがあります。例えば、利用者自身でウォレットを復元できない場合、対応ウォレットの選定や復元作業を進めるために、リカバリーフレーズを確認しなければならないことがあります。

原則として、リカバリーフレーズは共有するものではありません、しかし、どうしても共有しなくてはいけないときは、相手が信頼できる事業者かどうか、会社情報や問い合わせ窓口、過去の対応実績、料金体系、作業内容の説明が明確かを確認することです。

特に、SNSのDMで突然連絡してくる相手や、検索広告から誘導された不明なサポート窓口には注意が必要です。「すぐ復旧できます」や「今すぐ入力してください」などと急かす相手に、リカバリーフレーズや秘密鍵を渡してはいけません。

復旧を依頼する場合でも、作業前にどの情報を共有する必要があるのか、共有した情報をどのように扱うのか、復旧後にどのような安全対策を取るべきかを確認しておくことが大切です。リカバリーフレーズを扱う以上、相手の信頼性を確認せずに依頼するのは危険です。

また、復旧後は同じウォレットを使い続けるのではなく、必要に応じて新しいウォレットへ資産を移動することも検討します。復旧作業でリカバリーフレーズを第三者と共有した場合、その後の管理方法まで見直すことで、将来的なリスクを抑えやすくなります。

取引所ごとに異なるパスワードを設定する

複数の暗号資産交換業者を利用している場合は、取引所ごとに異なるパスワードを設定することが重要です。同じパスワードを使い回していると、一つのサービスで情報が漏れた際に、ほかの取引所アカウントにも不正ログインされる危険性があるからです。

とはいえ、取引所ごとに長く複雑なパスワードを設定すると、自分で覚えて管理するのは難しくなります。その場合は、パスワード管理ツールを使う方法があります。代表的なものとしては、Bitwardenや1Passwordなどがあり、複数のパスワードを安全に保管し、サービスごとに異なるパスワードを使いやすくするためのツールとして利用されています。

パスワード自体は、推測されやすいものを避ける必要があります。短く分かりやすい文字列ではなく、取引所ごとに異なる、長く推測されにくいパスワードを設定することが大切です。

二段階認証を設定して不正ログインに備える

暗号資産交換業者を利用する場合は、二段階認証を設定しておくことが重要です。二段階認証とは、IDとパスワードに加えて、認証アプリなどで発行されるコードを使って本人確認をおこなう仕組みです。

二段階認証を設定しておけば、IDとパスワードだけを盗まれても、不正ログインを防げる可能性があります。ただし、偽サイトに二段階認証コードを入力してしまうと、攻撃者に使われる恐れがあります。

そのため、二段階認証は設定するだけでなく、入力する場所にも注意が必要です。メールやSMSのリンクから開いた画面ではなく、公式アプリや公式サイトからログインした画面でのみ入力するようにしてください。

ウォレット接続や署名内容を確認する

DeFiやNFT関連のサービスを利用する場合は、ウォレット接続や署名内容にも注意が必要です。DeFiとは、銀行などの金融機関を介さずに、ブロックチェーン上で金融取引をおこなう仕組みです。

ウォレット接続や署名は、単にサイトへログインする操作とは限りません。内容によっては、暗号資産やNFTを移動する権限を与えてしまう可能性があります。よく分からないサイトでは、ウォレットを接続しないことが基本です。署名画面が表示された場合も、内容を確認できないまま承認しないようにしてください。

フィッシング詐欺に遭ったときの対処法

フィッシング詐欺に遭った可能性がある場合は、まず落ち着いて追加の操作を止めることが重要です。不安になって画面の案内どおりに操作を続けると、さらに情報を入力してしまったり、別の偽サイトへ誘導されたりする恐れがあります。この時点で大切なのは、以下を整理して状況に遭った対応を取ることです。

• どのサイトにアクセスしたのか
• 何を入力したのか
• どのような承認操作をしたのか

焦って検索結果やSNS上の復旧サポートへ相談することにも注意が必要です。被害回復を装った二次被害に繋がる可能性があるため、相談先や対応方法は慎重に選ぶ必要があります。ここからは、フィッシング詐欺に遭った可能性があるときに確認したい対応を、状況別に解説します。

取引所のログイン情報を入力した場合はすぐに変更する

暗号資産交換業者のIDやパスワードを偽サイトに入力した可能性がある場合は、すぐに公式サイトや公式アプリからパスワードを変更してください。

メールやSMS内のリンクから変更手続きに進むのは避けるべきです。

あわせて、二段階認証の設定状況も確認します。登録メールアドレス、電話番号、出金先アドレスなどが変更されていないかも確認してください。

すでに不審なログインや出金申請がある場合は、暗号資産交換業者のサポート窓口へ連絡する必要があります。可能であれば、ログイン履歴や出金履歴の画面を保存しておくと、状況説明に役立ちます。

リカバリーフレーズや秘密鍵を入力した場合は別ウォレットに移動させる

暗号資産交換業者のIDやパスワードを偽サイトに入力した可能性がある場合は、まず正規の公式サイトや公式アプリからログインし、パスワードを変更してください。

パスワードを変更したら、二段階認証の設定も確認します。二段階認証が無効になっていないか、身に覚えのない認証方法が追加されていないかを確認してください。あわせて、登録メールアドレス、電話番号、出金先アドレスなどの情報が変更されていないかも確認する必要があります。

特に注意したいのは、出金先アドレスの変更です。攻撃者が外部ウォレットのアドレスを登録していると、暗号資産を不正に送金される恐れがあります。出金制限やアドレス登録の通知が届いていないか、メールや取引所内のお知らせも確認しておきましょう。

すでに不審なログイン履歴や出金申請がある場合は、すぐに暗号資産交換業者のサポート窓口へ連絡してください。その際、ログイン履歴、出金履歴、登録情報の変更履歴、受信したメールやSMSの画面を保存しておくと、状況を説明しやすくなります。

不正送金が発生している場合は取引履歴を保存する

すでに暗号資産が不正送金されている場合は、まず取引履歴や関連する画面を保存してください。不正送金が発生した後は、取引を取り消すことが難しいため、被害状況を確認できる情報を残しておくことが重要です。

保存しておきたい情報は、送金日時、送金された暗号資産の種類と数量、送金先アドレス、トランザクションIDなどです。取引所から送金された場合は、取引所内の出金履歴やログイン履歴、不審な通知メールもあわせて保存しておくとよいでしょう。

トランザクションIDとは、ブロックチェーン上の取引を識別するための番号です。この情報があると、どのアドレスへ送金されたのか、ブロックチェーン上で取引が完了しているのかを確認できる場合があります。警察や取引所へ相談する際にも、状況を説明する材料になります。

また、フィッシング詐欺に使われたメールやSMS、アクセスしたURL、偽サイトの画面なども残しておくことが大切です。これらの情報は、どのような経路で被害に遭ったのかを整理するうえで役立ちます。

暗号資産は、送金処理が完了すると、原則として利用者側の操作だけで取り消すことはできません。そのため、被害に気づいた時点で証拠となる情報を整理し、取引所や警察へ相談できる状態にしておく必要があります。

取引所や警察に相談する

フィッシング詐欺の被害に遭った可能性がある場合は、利用している暗号資産交換業者やウォレットサービスに相談してください。取引所内で不正ログインや不正送金が発生している場合、アカウント停止や確認対応が必要になることがあります。

また、被害が発生している場合は、最寄りの警察署やサイバー事案に関する通報窓口に相談することも検討してください。警察庁も、フィッシングの被害に遭った場合は、警察署やオンライン受付窓口への通報・相談を案内しています。

• フィッシングサイトを発見した際の通報先
  • IHC - インターネット・ホットラインセンター
• フィッシングの被害に遭った場合の通報窓口
  • サイバー事案に関する相談窓口｜警察庁Webサイト

相談時には、メールやSMSの文面、アクセスしたURL、入力した可能性のある情報、取引履歴などを整理しておくと説明しやすくなります。証拠になり得る画面は、削除せず保存しておくことが重要です。

暗号資産のフィッシング詐欺は「入力しないこと」が最大の対策

暗号資産のフィッシング詐欺では、偽サイトを見分ける力だけに頼るのは危険です。偽サイトは本物に似せて作られるため、ロゴや画面の見た目だけで判断するのは難しい場合があるからです。

そのため、最も重要なのは、危険な情報を入力しないことです。メールやSMSのリンクから取引所へログインしないこと、リカバリーフレーズや秘密鍵をサイト上で入力しないこと、よく分からないサイトにウォレットを接続しないことを徹底する必要があります。

暗号資産は、銀行預金のように中央の管理者がすべての取引を取り消してくれる仕組みではありません。特に自己管理ウォレットでは、自分で秘密鍵やリカバリーフレーズを守る意識が欠かせません。

不審なメールやSMSを受け取った場合は、すぐにリンクを開かず、公式サイトや公式アプリから確認してください。少しでも違和感がある場合は、入力する前に立ち止まることが、資産を守るための現実的な対策になります。