【CSIRT警告】仮想通貨フィッシング詐欺が急増！8月1200万ドル被害の手口と対策を現役アナリストが解説

bgt?aid=250609106691&wid=001&eno=01&mid=s00000005993007035000&mc=1

仮想通貨フィッシング詐欺の被害が深刻化
EIP-7702署名詐欺という新たな脅威
フォレンジック調査で判明した攻撃の実態
1. 個人投資家Aさんのケース
2. 中小企業B社のケース
巧妙化する攻撃手法の特徴
現役CSIRTが教える確実な対策方法
1. 基本的な防御策
2. 技術的な対策
企業が取るべきセキュリティ対策
1. 包括的なセキュリティ監査の実施
2. 従業員教育の徹底
被害に遭った場合の対処法
2025年の展望と今後の対策
まとめ：総合的なセキュリティ対策で身を守る
一次情報または関連リンク

仮想通貨フィッシング詐欺の被害が深刻化

仮想通貨業界で働く私たちCSIRT（Computer Security Incident Response Team）メンバーにとって、この数字は決して軽視できない現実です。2024年8月だけで、フィッシング詐欺による被害額が1200万ドルを超え、前月比で72%も増加しました。

被害者数も1万5230人に達し、その中には一人で300万ドル以上を失った方もいらっしゃいます。この数字を見ると、フィッシング詐欺がもはや「他人事」ではないことがお分かりいただけるでしょう。

EIP-7702署名詐欺という新たな脅威

特に注目すべきは、EIP-7702署名詐欺の急増です。これは、イーサリアムの外部所有アカウントをスマートコントラクトウォレットとして機能させる技術を悪用した攻撃手法です。

8月だけで3件の攻撃により560万ドル以上が流出しており、この新しい攻撃手法の危険性を物語っています。従来のフィッシング詐欺とは異なり、技術的な知識がある攻撃者による計画的な犯行が増加している傾向にあります。

フォレンジック調査で判明した攻撃の実態

私たちがこれまで手がけたフォレンジック調査では、以下のような典型的な被害パターンが浮き彫りになっています：

個人投資家Aさんのケース

大手取引所を装ったメールを受信
「アカウントに異常があります」という緊急メッセージ
偽サイトでシードフレーズを入力してしまう
結果：保有していたイーサリアム全額（約50万円相当）を失う

中小企業B社のケース

カスタマーサポートを装った電話を受ける
「セキュリティ強化のため」として情報提供を要求される
社内の仮想通貨ウォレット情報を提供してしまう
結果：事業資金として保有していた仮想通貨200万円相当を失う

bgt?aid=250609106868&wid=001&eno=01&mid=s00000012042012010000&mc=1

bgt?aid=250609106866&wid=001&eno=01&mid=s00000016565003012000&mc=1

巧妙化する攻撃手法の特徴

現在のフィッシング詐欺は、以前とは比較にならないほど巧妙になっています。私たちが分析した最近の攻撃では、以下のような特徴が見られます：

1. 完璧に近い偽サイト

攻撃者は実在の取引所とほぼ同じデザインのサイトを作成します。URLも「coinbase.com」を「coinbaze.com」のように、一文字だけ変更する手法が一般的です。

2. 物理的な手紙による攻撃

デジタルだけでなく、郵送による物理的な手紙を使った攻撃も確認されています。「セキュリティ強化のお知らせ」として、QRコードや偽のサポート連絡先が記載されたものです。

3. 心理的な圧迫

「24時間以内に対応しないとアカウントが凍結されます」といった緊急性を演出し、冷静な判断を妨げる手法が使われています。

現役CSIRTが教える確実な対策方法

基本的な防御策

1. ブックマーク活用の徹底
検索エンジン経由ではなく、必ずブックマークから公式サイトにアクセスしましょう。これだけで多くの被害を防げます。

2. URL確認の習慣化
アクセス前に必ずURLの綴りを確認してください。「coinbase」が「coinbaze」になっていないかなど、細かくチェックすることが重要です。

3. 二要素認証の導入
すべての重要なアカウントで二要素認証を有効にしましょう。これにより、パスワードが漏洩しても被害を最小限に抑えられます。

技術的な対策

1. VPN の活用
IPアドレスや位置情報を隠すことで、攻撃者からの追跡を困難にします。特に公衆Wi-Fiを使用する際は必須です。

2. アンチウイルスソフトの導入
最新のアンチウイルスソフトは、フィッシングサイトやマルウェアを自動的に検知・ブロックします。リアルタイム保護機能により、危険なサイトへのアクセスを事前に防げます。

企業が取るべきセキュリティ対策

個人だけでなく、企業も標的にされるケースが増加しています。特に仮想通貨を扱う事業者や、Web3関連サービスを提供する企業は要注意です。

包括的なセキュリティ監査の実施

企業のWebサイトやシステムに脆弱性がないか定期的にチェックすることが重要です。Webサイト脆弱性診断サービスを活用することで、攻撃者に悪用される可能性のある脆弱性を事前に発見・修正できます。

従業員教育の徹底

技術的な対策だけでなく、従業員一人ひとりがフィッシング詐欺の手口を理解することが重要です。定期的な研修や模擬フィッシングテストの実施をお勧めします。

被害に遭った場合の対処法

万が一フィッシング詐欺の被害に遭った場合は、以下の手順で対処してください：

即座にアカウントのパスワード変更
金融機関やサービス提供者への連絡
警察への被害届提出
フォレンジック調査の検討

特に企業の場合は、インシデント対応チームの設置や、専門的なフォレンジック調査の実施により、被害の拡大を防ぎ、再発防止策を講じることが重要です。

2025年の展望と今後の対策

仮想通貨関連のサイバー攻撃は今後も続くと予想されます。2025年上半期だけで既に31億ドルの被害が報告されており、攻撃手法はますます巧妙化しています。

個人・企業を問わず、プロアクティブなセキュリティ対策が不可欠です。事後対応ではなく、事前の予防策に投資することで、大きな被害を防ぐことができます。

まとめ：総合的なセキュリティ対策で身を守る

フィッシング詐欺から身を守るためには、以下の3つの軸での対策が重要です：

技術的対策：アンチウイルスソフト、VPN の活用
運用面での対策：ブックマーク活用、URL確認の習慣化
組織的対策：従業員教育、Webサイト脆弱性診断サービスの実施

一つの対策だけでは完全ではありません。多層防御の考え方で、複数の対策を組み合わせることが、巧妙化する攻撃から身を守る最良の方法です。

特に仮想通貨を扱う方や企業は、今すぐにでも総合的なセキュリティ対策の見直しを行うことをお勧めします。今回紹介した対策を実践することで、フィッシング詐欺の被害を大幅に減らすことができるでしょう。

bgt?aid=250609106858&wid=001&eno=01&mid=s00000018459001011000&mc=1

一次情報または関連リンク

コインテレグラフ：フィッシング詐欺により8月の被害額1200万ドル