投資家のアレクサンダー・チョイ氏は7日、巧妙なソーシャルエンジニアリング的手口により、約99万6,000ドル(約1億4,750万円)相当の暗号資産(仮想通貨)が盗まれたと自身のXで報告した。
「誰にでも起こり得る」と自身の経験を共有
チョイ氏によると、攻撃は2日、X上の偽アカウント「@SparkTokenSOL」からのパートナーシップに関する連絡から始まった。このアカウントには、実在するプロジェクトの創設者からのエンゲージメントや、チョイ氏の友人で大口投資家である複数の人物からのフォローもあり、一見すると正当なアカウントに見えたという。
チョイ氏は、これを「創設者との交流の機会」と捉え、オンライン会議を承諾。その後2日おきに2回、「非常にプロフェッショナルな会議」が行われたという。
会議では相手の経歴や事業計画などが語られたが、この時点まで、チョイ氏は一度もウォレットの接続許可などを求められることはなかった(※ウォレット接続を装って資産を奪うのは仮想通貨詐欺の常套手口とされる)。当然、2回の会議終了後も、同氏のウォレット内の資産は無事だったという。
しかし2回目の会議から2日後、チョイ氏は友人と旅行の計画を立てていた最中に、自身のスマートフォンに数百USDCがウォレットから送金されたという通知を受け取った。
すぐにPCを確認したところ、「Phantom(ファントム)」や「MetaMask(メタマスク)」など、約150のホットウォレットから「一銭残らず」資金が抜き取られていたことが判明。被害総額は、ほぼ100万ドルに達していた。
チョイ氏は、その瞬間の心境を「心臓をえぐり取られたような気分だった」と語っている。
攻撃手口の分析と教訓
被害後、チョイ氏が偽アカウントを詳しく調査したところ、フォロワーはボットであり、過去には別の詐欺プロジェクトで使われていたアカウントであったことが判明した。
チョイ氏は、会議中に不審なリンクのクリックやトランザクションの承認は一切行っておらず、「外部拡張機能を通じて会議に参加した瞬間に、何らかのコードによって攻撃された可能性がある」と推測。オンライン会議ツール(Microsoft Teams、Zoom、Google Meetsなど)に参加するだけで、資産が危険に晒される可能性があると警告している。
チョイ氏は、自身の過ちを認め、他のユーザーが同じ過ちを犯さないよう、以下の教訓を共有した。
- 常に疑うこと:どんなに正当に見えても、常に警戒心を怠らない。
- 徹底的な調査:接触してきた相手の過去の活動履歴などを深く調査する。
- 資産管理の徹底:ホットウォレットには、現在取引している分以上の資産を保管しない。大部分はコールドウォレットや法定通貨で管理する。
- オンライン会議の主催権を握る:第三者が主催する会議には参加しない。自身が主催するか、それが不可能ならTelegram(テレグラム)やWhatsapp(ワッツアップ)など他の手段を提案する(ただし、それ自体が危険信号の可能性もある)。
チョイ氏は、「これは完全に私の責任だ」と述べ、同情や金銭を求めるものではなく、純粋に注意喚起のために情報を公開したと強調。誰もが被害に遭う可能性があると警鐘を鳴らした。
現時点では、資産がどのような手法で奪われたのかは特定されていないものの、本件が事実であれば、多くのユーザーにとって非常に警戒すべき事例と言えるだろう。詐欺の手法が日々巧妙になっていることを理解し、不審な人物との接触には十分気をつけたいところだ。
関連:仮想通貨詐欺が金融詐欺の50%超え──NY司法長官が緊急提言
関連:ワシントン州スポケーン市、仮想通貨ATMを禁止──詐欺多発受け全会一致
※価格は執筆時点でのレート換算(1ドル=148.19円)
