こんにちはIssaです。
今回は、人気なNFTを狙う詐欺師の手口とその対策をご紹介します。
自分が気に入って買った(貰った)NFTが盗まれないためにも詐欺の手口と対策をしっかり把握しておこう!
こんな方におすすめ
- NFT詐欺にはどんな手口があるのか知りたい
- NFT詐欺の対策方法を知りたい
NFTの取引(購入・売却)にはイーサリアムが必要です。
イーサリアムを買うなら、初心者でも使いやすい
がおすすめです。
Coincheck(コインチェック)
- アプリダウンロード数3年連続国内No. 1!
- 画面の見やすさ・使いやすさが抜群で初心者にもおすすめ!
- 国内最大級の取扱銘柄数!
- 最短当日で取引可能!
\ 3年連続ダウンロード数No.1! /
目次
【前提】NFT詐欺は投資のプロでも騙されるという事実
以前僕は「プロの投資家のNFTが大量ハッキングされた」というツイートをしたよ!
↑元ネタはこちら
実は、NFT業界ではプロの投資家でも詐欺に遭うという被害が相次いでいます。
しかもいわゆるブルーチップ(優良で高価)のNFTが詐欺の被害で盗まれているのです。
これは海外プロジェクトのNFTだけが狙われるのではなく、日本産のNFTも盗まれる事例が頻繁に起こっています。
日本の有名プロジェクト「CryptoNinja Partners(CNP)」も大量の盗難被害に遭っているのです。
NFTは最新の技術であるため詐欺の手口も最新で非常に巧妙です。
さらに詐欺師は日本人のみならず外国人(どこの国なのかすらも不明)もいるため油断はできません。
しかし、このNFT詐欺は
自己防衛できる
のも事実です。
正しい対策方法を知ることで、詐欺に遭う確率をグンッと減らすことができます。
代表的なNFT詐欺の手口4選
NFT詐欺の手口は世の中に多数存在します。
今回はそんな詐欺の手口の中から代表的な手口4選をご紹介します。
代表的なNFTの詐欺の手口は以下の通りです。
NFT詐欺の手口
- DM・メンションで偽ミントサイトへの誘導
- 詐欺NFTのエアドロップ
- PCをウイルス感染させる
- NFTプロジェクト自体が詐欺(ラグプル)
⒈DM・メンションで偽ミントサイトへの誘導
ほとんどのNFT詐欺はこの手口だといっていいほど乱用されています。
偽ミントサイトは外観は公式サイトと非常によく似ているサイトに設計されていますが、中身は全く違う詐欺サイトとなっており「取引するとNFTを全て抜くプログラム」が実装されています。
つまり、偽ミントサイトに接続しそこでNFTをミントすると自分の持っていたNFTが全て抜かれてしまうのです。
さらにこの偽ミントサイトの最初の誘導口は
Twitterの「DM」と「メンション」
です。
詐欺師はTwitterで偽アカウントを作り、たくさんの人をミントサイトへ誘導するためDMしたり、あなたのアカウントをメンションしツイートしたりしています。
さらに厄介なのは詐欺師がNFT業界のインフルエンサーや大物のTwitterアカウントによく似た偽アカウントを作ってくることです。
Twitterで偽アカウントから偽ミントサイトに誘導され保有していたNFTが抜かれるまでの流れの一例を見てみましょう。
(例)偽ミントサイトへの誘導方法
- Twitterで偽アカウントから「AL(優先購入券)が当たりました」とメンション付きで引用リツイートされる
- 信じたAさんは引用元のツイートに添付されていた「URL」に接続しミント(署名)する
- そのURLは実は偽ミントサイトでありAさんのウォレットに入っていたNFTと仮想通貨は全部抜かれる
このような事例が多数存在します。
この手口の内容としては
- メンション付きのツイートは引用リツイートとなっており、引用元であるツイートも偽アカウントのツイートとなっている
- この引用元のツイートには「URL」がついておりこれがまさに「偽ミントサイトのURL」となっている
- 偽ミントサイトに接続しNFTをミント(署名)すると「NFTやイーサリアムを全て抜くプログラム」が仕組まれている
実際のツイートがこちらです。
有名プロジェクト「Live Like A Cat(LLAC)」のファウンダー(創設者)である「Shuheiさん」のアカウントによく似た「偽アカウント」を作成し「偽ミントサイト」を添付しツイートしています。
そしてそのツイートを「別の偽アカウント」がメンション付きで引用リツイートしているのです。
このように偽ミントサイトへの誘導はTwitterのDMやメンションで行われることが大半であり詐欺の王道となっているのです。
⒉詐欺NFTのエアドロップ
詐欺師は詐欺のNFTを僕たちのウォレットに送ってきたり(エアドロップ)します。
僕たちのウォレットアドレスは、現実の銀行口座番号と違い常にオープンになっています。
この透明性の確保はWeb3の特徴でもありますが、悪用されているのも事実なのです。
世界最大級のNFTマーケットプレイスであるOpenSeaでも、個々のウォレットアドレスは公開されていますしそのウォレットに入っているNFTはもちろん、イーサリアムなどの仮想通貨がいくら入っているのかさえも見ることができてしまうのです。
詐欺師はこの透明性が確保されたウォレットアドレスを悪用します。
例えば、OpenSeaで自分のアカウントの「Hidden(非表示)」に入ってるNFTを見たことあるでしょうか?
これは僕の「Hidden(非表示)」に入っているNFTです。
僕はこのNFTを買ってもいませんしgiveaway(配布)も受けていません。
が、このNFTが入っているのです。
そしてこの身に覚えのないNFTに「オファー」が入っていたら超危険です。
ここで詐欺NFTのエアドロップから詐欺にかかった例を見てみましょう。
(例)詐欺NFTのエアドロップ
- Aさんのウォレットに見知らぬNFTが入っていた
- そのNFTに1ETHのオファーが入っていた
- Aさんはなぜかわからないが、勝手に入っていたNFTが高額で売れると思ったためオファーを受け入れる
- その後AさんのウォレットにあるNFTと仮想通貨は全て抜かれる
詐欺NFTのエアドロップから詐欺に引っ掛かるまでの流れはこんな感じです。
この詐欺の内容として、
- 詐欺師は不特定多数のウォレットに詐欺NFTをエアドロップする
- 詐欺師はその送ったNFTに高額のオファーを出す
- 実はそのNFTにはオファーを受け入れた際にウォレット内を抜くプログラムが仕組まれている
となります。
基本的に見知らぬNFTが送られてきた時は「詐欺」と思って間違いないでしょう。
OpenSeaの「Hidden」以外にも「Collected」に入っている場合があるので注意が必要です。
⒊PCをウイルス感染させる
あまり身近ではありませんが、PCをウイルスに感染させてウォレット内にあるNFTや仮想通貨を抜く詐欺も存在します。
PCをウイルスに感染させる例を見てみましょう。
(例)PCをウイルスに感染させる
- Aさんは個人クリエイターで自分でNFTを出品している
- ある日AさんのTwitterに詐欺師がDMで「あなたのNFTが気に入ったので是非一緒にNFTを作りましょう」と話を持ちかける
- Aさんはコラボ企画として面白そうと感じたため詐欺師の話を受け入れ企画を進める
- 話が進む中、詐欺師はDMで「僕たちが作ったNFTのミントサイトはこれにしよう、実際にミントしてみて!」とファイルを添付して送る
- Aさんは疑いもなくそのミントサイトのファイルを開いたら、PCがウイルス感染しAさんのウォレット内に入っていたNFTが全て抜かれる
- その後、詐欺師のTwitterアカウントは消去され連絡が取れなくなる
このような事例が過去にありました。
この内容として、
- 詐欺師はTwitterのアカウント自体偽物だった
- ファイルにはウォレットの秘密鍵を抜くプログラムが組み込まれていた
という感じです。
MetaMaskなどのウォレットには「秘密鍵」という大切な鍵が入っています。
この秘密鍵は「ブロックチェーン上にある自分の資産(NFT、仮想通貨)を引き出すために使う鍵」であり、失くしてはならないものです。
これをPCをウイルス感染させハッキングさせてしまうのですから、非常に危険です。
- PCをウイルス感染させ
- 秘密鍵を抜き
- 最後に資産(NFT、仮想通貨)を抜く(2.3は同時並行)
という詐欺のやり方もあるので注意が必要です。
⒋NFTプロジェクト自体が詐欺(ラグプル)
これは今まで紹介したハッキングとは違い、プロジェクトそのものが詐欺だったという話です。
このような詐欺を「ラグプル(Rug Pull)」と呼んだりします。
実はこのラグプルは、海外ではめちゃめちゃ当たり前に行われているのです。
流れはこんな感じ。
NFTプロジェクトが詐欺
- あるNFTプロジェクトが立ち上がり運営(ファウンダー)マーケティングに注力しミント当日まで知名度を上げる
- その中で今後の展望(ロードマップ)やNFT購入者特典は、他にはないほど魅力的で有益なプロジェクトであることを示していく
- 運営の努力の甲斐がありミント当日は即完売しプロジェクトは成功する
- NFT保有者は運営の今後にも期待する
- そんな最中、運営からの発信が途絶え運営のウォレット内を見ると売り上げたイーサリアムがなくなっており運営が売上を持ち逃げしたことが発覚する
このような流れです。
最近の事例でいくと、2023年1月4日に高級なNFT「MAYC(Mutant Ape Yacht Club)」をモチーフにした二次創作NFT「Mutant Ape Planet」のファウンダー(創設者)がラグブルの疑いで逮捕されました。
このコレクションは販売で290万ドル(3億円以上)を売り上げましたが、その後運営側は今まで行っていたことやこれから行われること(ホルダー特典など)を全て中断し、売上金を持ち逃げして飛んでしまったのです。
海外では大小問わずプロジェクトの運営が飛ぶ話はよくあるためそこまで話題になりませんが「逮捕」されるまでいくとこのように大きな話題になります。
NFT業界はハッキングで資産を盗まれる以外にも「商品(NFT)が詐欺で資産が盗まれる」こともあることを注意しなければなりません。
NFT詐欺の対策6選【全て実行しよう】
これまでの通り、NFT業界は詐欺が蔓延しています。
ではこのような詐欺への対策はどのように行っていけばよいのかご紹介します。
NFT詐欺への対策は以下の通りです。
NFT詐欺対策
- 「ウォレット」を使い分ける
- Twitterの「DM・メンション」は無視する
- サイトの「URL」を確認する
- 「署名」する際は内容を確認する
- 「見知らぬNFT」には触れない
- プロジェクトの「ファウンダー」を詳細まで確認する
⒈「ウォレット」を使い分ける
NFT詐欺の対策として一番重要なことは「ウォレットを使い分ける」ということです。
そもそも盗難の対象となるNFTをウォレットに入れなければいいのです。
使用用途に合わせたウォレットの使い分けの一例として
- ミント用のウォレット
- 保管用のウォレット
に分けるという方法があります。
そして、それぞれのウォレットをさらに
- ホットウォレット(ミント用)
- コールドウォレット(保管用)
に分けることで盗難の確率はグンっと下がるのです。
ウォレットの種類
- ホットウォレット ⇨ 常にインターネットに接続されているウォレット 例:MetaMask
- コールドウォレット ⇨ インターネットから切り離したウォレット 例:Ledger Nano
ウォレットには「秘密鍵」というブロックチェーン上のデータを取り出す大切な鍵が入っています。
その秘密鍵がインターネットを経由して外部に漏れると、ウォレットの中身(NFT、仮想通貨)が盗まれるのです。
その点で見ると、ホットウォレットは「秘密鍵がインターネットに接続されている状態」であるためセキュリティ面では非常に危険ですが、利便性に優れます。
一方コールドウォレットは「秘密鍵がインターネットから切り離されている状態」ですのでセキュリティ面に優れますが、利便性は劣ります。
「ホットウォレット」と「コールドウォレット」について詳しく書いた記事があるからこちらも読んでね!
ホットウォレットは「MetaMask」が有名ですが、コールドウォレットは「Ledger Nano」 がおすすめです。
コールドウォレットの中にもさまざまな種類が存在しますが、その一種である「ハードウェアウォレット」は外部電子機器のようなもので資産を管理することを言います。
ハードウェアウォレットはインターネットと完全に切り離されていますが、手動で繋げることもでき利便性にも優れています。
そしてハードウェアウォレットの圧倒的シェアを誇るものがこの「Ledger Nano」 
です。
▶︎▶︎Ledger Nanoを購入する
使い方もネットで情報がいっぱい出ているから扱いやすいよ!初期設定はこちらを参考にしてね!
自分の資産を守ためにも
- 大切なNFTをMetaMaskに保管しない
- ミントしたらハードウェアウォレットに保管する
ことを意識しましょう。
⒉Twitterの「DM・メンション」は無視する
次に大切なのは「DMを無視する」ことです。
NFT詐欺の手口として「DMからURLが送られる」といったものがありました。
偽サイトのURLを踏まないためにも基本的にDMは無視しましょう。
偽アカウントの特徴として、
- フォロワーが少ない
- ツイートが少ないあるいは全くない
- 偽アカウントが有名どころのアカウントを一人もフォローしていない
- 日本語がおかしい
などといったものがあります。
そしてメンションされるのも危険です。
例えば自分がフォローしているアカウントからのメンションや、自分が応募したAL・Giveaway企画でメンションされる分には心配はいりません。
しかし、身の覚えのない件で身の覚えのないアカウントからのメンションは非常に危険です。
リプライ、フォローすることなく、添付されたURLも絶対に踏まないように注意しましょう。
⒊サイトの「URL」を確認する
もしあなたが偽アカウントかどうか分からず、偽サイトの「URL」を踏みそうになったらその「URL」を確認しましょう。
ご存知の通り、URLはそれぞれ世界に1つしかなく一語一句被るURLは存在しません。
なので、URLさえしっかり見れば偽サイトであることが気づけるのです。
例えば、世界最大級のNFTマーケットプレイス「OpenSea」のURLはどちらになるでしょうか。
- 「https://opensea.io」
- 「https://opensea.com」
答えは「1」です。「2」は偽サイトです。
よく見るとURL末尾のドメインが「.io」と「.com」で違うのがわかります。
ドメインを変えただけで中身は全く同じサイトであるという手法は、詐欺師が常套手段として使ってきます。
他にもこんな例があります。
- https://opensea.io
- https://0pensea.io
正しい答えは「1」ですが、どこが違うのでしょう。
一見わかりづらいですがアルファベットの「o(オー)」を数字の「0(ゼロ)」に変えていることがわかります。
このように少しだけURLを変えた偽サイトを作ることがほとんどです。
しかし、公式サイトのURLを把握していなければ偽サイトに気づくことができません。
では、どのように公式サイトを調べるかというと、
- Discord(コミュニティ)内に公開されている公式サイトをチェックする
- プロジェクトの公式アカウント(フォロー、フォロワー数、ツイート数、ツイート内容を要確認)に出ている公式サイトをチェックする
が主になります。
また、ミント当日にTwitterで偽アカウントから偽ミントサイトが公開される事例もあります。
現在多くのプロジェクトは購入者が偽ミントサイトへのアクセスを防ぐため、Twitter上ではなくDiscord内でのみ公式ミントサイトを公開する動きが出てきています。
基本NFTプロジェクトはDiscordを使用してコミュニティ運営をしているので、Discord内からのサイトを見るようにしましょう。
Discordが存在しないNFTプロジェクトは少し疑った方がいいかも!
⒋「署名」する際は内容を確認する
あなたがもし「Twitterの偽アカウント」にも「偽サイト」にも気付けなかった場合、絶対ここで気づくようにしましょう。
絶対気づくべきことは「署名する内容」です。
通常自分のウォレット(MetaMask)をサイトに接続したりと何かする際には「署名」が求められます。
この署名とはいわば「契約」なのです。
この「署名(契約)内容」を読まずに進めるのは非常に危険です。
署名の内容はしっかり読むようにしましょう。
英語で分からない場合は多少面倒でも「DeepL」などの翻訳ツールを使い文章を確認してください。
そして今回は、非常に危険な署名内容「Set Approval For All」について紹介します。
「Set Approval For All」は『相手に全ての権限を与えることを許可する』といった内容です。
非常に怖い文言ですね ……
しかし、OpenSea上で自分のNFTを販売したりする際にはこの「Set Approval For All」は用いられます。
が、ミントする際に「Set Approval For All」という文言が出てきたら非常に危険です。
基本的にミント時にはこの文言は出てきません。
ミント時にこれが出てきたら、ハッカーに対し「自分の資産を自由に操っていいよ」という契約を結ぶことを意味します。
ミントの際にこの「Set Approval For All」という文言がどこかにでもあったら100%詐欺だと疑うようにしましょう。
⒌「見知らぬNFT」には触れない
先ほど、NFT詐欺の手口として「詐欺NFTをエアドロップする」といったものを紹介しました。
この見知らぬNFTをエアドロップされた場合の対処法としては「何もしない」ことです。
OpenSea上で自分のウォレットに見知らぬNFTがあった場合は「何もせず触れないこと」が重要です。
先ほど説明した通り、見知らぬNFTに高額オファーがあってそれを承認した場合、あなたの資産は全て失います。
この見知らぬNFTを削除する方法もありますが、基本は触らなくて大丈夫です。
そのうち勝手に消えたりするので、自分から行動することは控えましょう。
⒍プロジェクトの「ファウンダー」を詳細まで確認する
最後の対策としては「プロジェクトの詳細」までしっかり確認しましょうということです。
さらにプロジェクトの詳細を確認すると同時に「ファウンダー(創設者)は誰なのか」までを確認していく必要があります。
ただ、これを見極めるのは正直難易度が高いです。
NFTの世界は誰でも自由にプロジェクトを立ち上げることができ、数ヶ月前まで無名だった人がプロジェクトのファウンダーをやることで有名になったりする例もありますので、一概に無名だから詐欺とは限りません。
しかし、それでも見極めることが必要なのです。
例えばあなたはどちらのファウンダーのプロジェクトを信用しますか?
- Twitterフォロワー100人
- 1ヶ月に1回ペースのツイート
- プロジェクトのロードマップが不明確
- だけどホルダー特典が大胆
- Twitterフォロワー5千人
- 毎日3回の頻度でNFTに関するツイート
- プロジェクトの方向性が明確
- NFTインフルエンサーも注目している
少しわかりやすく大袈裟な差をつけましたが、間違いなく信用的な面では後者の方が信用できます。
要はファウンダーの信用度はどれくらいなのかを数量的に見る必要があるのです。
その1つの指標が「Twitterのフォロワー」であったり「毎日の発信内容」であったり「誰が絡んでいるプロジェクトなのか」であったりとします。
僕はNFTを買う(ミントする)時、運営が売上金を持ち逃げする最悪のケースを覚悟して買うよ!それでもしっかり自分で調べたりして検討するんだ!
「DYOR」を極めて詐欺を防ごう
今回はNFT詐欺の手口とその対策を紹介してきました。
NFT業界は日々進化を遂げている反面、詐欺師たちのスキルも進化を遂げています。
そんな中、最後にお伝えしたいことは「DYORを極める」ということです。
「DYOR」は「Do Your Own Research」の略で、Web3の世界でよく使われるスラングの言葉です。
この言葉は「自分で調べましょう」ということを意味します。
何度も言いますがWeb3(NFT)の世界には詐欺師が紛れています。
そんな中、分からない態度を丸出ししたり、分からないことを無闇にツイートしたりすると詐欺師のカモになります。
分からなければ自分でググる。つまり自分で調べることが必要なのです。
匿名の相手に分からないことを聞いて、もしそれが詐欺師だったらあなたの資産は全てなくなります。
最終的には自己防衛するしか方法がないのです。
自己防衛するためには自分で調べ、自分で考えるしか方法はありません。
「DYOR」を極めて大切な資産を守りましょう。
\ 3年連続ダウンロード数No.1! /
【政治・地方創生にもNFTを活用!?】さまざまなNFTの活用事例7選▶︎▶︎
【イーサリアムだけじゃない】OpenSeaが対応しているブロックチェーン一覧▶︎▶︎
【ビットコインで資産形成】Coincheck(コインチェック)でビットコインを積立しよう▶︎▶︎
