暗号資産を持っている人なら、一度は「ウォレットを接続してください」「署名してください」という画面を見たことがあるはずです。その操作に慣れた瞬間こそ、攻撃者が狙っているタイミングです。暗号資産の盗難で最も多いのは、システムを破られるハッキングではなく、利用者自身が騙されて資産を差し出してしまうフィッシングです。この記事では、なぜこの手口が暗号資産犯罪の主流になったのか、その構造を技術と市場の両面から解説します。
暗号資産フィッシングとは何か — 結論から
暗号資産フィッシングとは、本物そっくりの偽サイトや偽メッセージで利用者を騙し、秘密鍵・シードフレーズ・ウォレット署名を「本人の意思で」差し出させて資産を抜き取る手口です。
ここで決定的に重要なのは、攻撃の入り口が「技術」ではなく「人間の判断」だという点です。サーバーのセキュリティを突破するのではなく、利用者が自分の手で「承認」ボタンを押すように仕向けます。防御側がどれだけ堅牢なシステムを組んでも、最後にボタンを押すのは人間である以上、この攻撃は成立してしまいます。
そしてもう一つ、ブロックチェーン特有の事情が被害を致命的にします。それは「取引は取り消せない」という性質です。一度送金が確定すれば、銀行のように組み戻すことも凍結することもできません。攻撃者にとっては「成功すれば確実に逃げ切れる」標的であり、被害者にとっては「気づいたときには手遅れ」な攻撃なのです。
用語の意味 — 攻撃を理解するための最低限の言葉
フィッシング(Phishing)は「fishing(釣り)」をもじった造語で、餌をまいて獲物を釣る行為を指します。暗号資産の文脈では、餌は「無料エアドロップ」「ウォレットの緊急確認」「人気NFTの先行ミント」といった、思わずクリックしたくなる誘い文句です。
攻撃の仕組みを理解するには、次の用語を押さえておく必要があります。
シードフレーズと秘密鍵
シードフレーズは、ウォレットを復元できる12〜24個の単語列です。これを他人に知られた時点で、その資産は実質的に相手のものになります。秘密鍵はウォレットそのものを操作する権限の根幹であり、シードフレーズはそれを人間が扱える形に変換したものだと考えてください。重要なのは、これらは「再発行できない」ことです。銀行の暗証番号なら変更できますが、シードフレーズが漏れたら、できることは新しいウォレットへ資産を移すことだけです。
署名(サイン)とApprove
署名は、取引を承認する行為です。偽サイトの多くは、直接「送金」させるのではなく、この署名を悪用します。なぜなら、利用者は「送金」には警戒しても「署名」には無防備だからです。
中でも危険なのがApprove(承認)です。これはトークンの引き出し権限を第三者に与える操作で、本来はDEX(分散型取引所)などで正規に使われる機能です。攻撃者はこれを悪用し、「無制限の引き出し権限」を自分に付与させます。被害者は「何も送っていない」と思ったまま、後から資産を抜かれることになります。
ドレイナー(Drainer)
ドレイナーは、署名一発でウォレット内の資産を根こそぎ抜くために作られた攻撃用ツール群です。後述しますが、これが「商品」として売買されている点が、現代のフィッシングを理解する鍵になります。
なぜ生まれたのか — 暗号資産が攻撃者にとって理想的な標的である理由
「止める主体」が存在しない構造
従来の金融詐欺との決定的な違いは、暗号資産には取引を止める主体がいないことです。
銀行であれば、不正送金を検知して凍結したり、組み戻したりできます。これは中央に管理者がいるからこそ可能な対応です。ところがブロックチェーンには管理者がいません。取引はネットワークが確定させた瞬間に不可逆となり、誰も巻き戻せません。
攻撃者の視点に立つと、この性質は「成功すれば確実に逃げ切れる」ことを意味します。さらに資産が自己管理ウォレット(セルフカストディ)にある場合、それを守っているのは利用者本人の判断だけです。攻撃者はサーバーを破る技術力を持つ必要すらなく、人を一人騙せば目的を達成できます。
低いハードルと高い報酬が攻撃を産業化させた
ここで攻撃者が直面する損益計算を整理すると、フィッシングがなぜ主流化したかが見えてきます。技術的ハードルが低く、成功報酬が高く、回収されるリスクがない——この三つが同時に揃っている犯罪は、ほかにそう多くありません。
普通のサイバー攻撃は、防御を破るための高度な技術が必要で、しかも盗んだものが現金化しにくく追跡されやすい、という割に合わなさを抱えています。一方フィッシングは、偽サイトを作って人を誘導するだけで、盗んだ暗号資産はそのまま価値を持ち、取引は取り消されません。この構造が、技術力のない者まで犯罪に引き寄せました。
Web3の「日常操作」が攻撃を見えなくした
もう一つ見逃せないのが、Web3におけるUX(操作体験)の問題です。
Web3では「ウォレットを接続してください」「この取引に署名してください」という操作が日常的に繰り返されます。利用者はこれらに慣れきっているため、偽の署名要求が紛れ込んでも違和感を抱きにくくなっています。正規の操作と攻撃の操作が、画面上ではほとんど区別できないのです。
つまりフィッシングは、Web3が利便性のために導入した仕組みの「裏面」として生まれました。署名を求める操作が当たり前になればなるほど、その当たり前を装う攻撃も成功しやすくなる、という皮肉な関係にあります。
なぜ重要なのか — 影響は個人の損失で終わらない
投資家:自由の代償としての全責任
自己管理ウォレットを使う投資家にとって、資産防衛はもはや取引所任せにできません。
中央集権取引所であれば、不正ログイン対策やシステム防御は事業者の責任です。しかし自己管理ウォレットでは、署名一つの判断ミスが全損に直結します。「秘密鍵は自分が管理する」という暗号資産ならではの自由は、「全責任を自分が負う」という義務と表裏一体です。この非対称性を理解しないまま参入した投資家ほど、フィッシングの標的になりやすいと言えます。
市場:信頼コストの上昇が新規参入を阻む
被害が増えるほど、新規参入者は萎縮します。
「結局よく分からないまま盗られるのではないか」という不安は、業界が取り込みたい一般層をそのまま遠ざけます。フィッシングは個人の損失にとどまらず、市場全体が負担する「信頼コスト」を押し上げているのです。技術がどれだけ進化しても、入り口で人が騙され続ける限り、暗号資産は「危ないもの」というイメージから抜け出せません。
技術:ウォレットUXへの根本的な問い
フィッシングは、ウォレットの設計思想そのものに課題を突きつけています。
署名する内容が、人間に読めない16進数の羅列で表示される限り、利用者は「自分が何に同意しているのか」を理解できません。攻撃が成立する根本原因は、利用者の不注意である以上に、技術側の不親切さにあります。だからこそ、後述するように防御の最前線はウォレットUXの改善に移りつつあります。
国家:制裁回避と資金洗浄の経路
盗まれた資産は、ミキサーと呼ばれる資金洗浄ツールを経由して、国際的な犯罪資金や制裁回避の資金に流れていきます。
一国の捜査権が及ばない取引が国境を越えて移動するため、各国の規制当局はフィッシングを単なる「個人の被害」として無視できません。暗号資産フィッシングは、国家安全保障の文脈でも論じられる問題になっています。
どう使われるのか — 攻撃の実際のパターンと実例
実際の攻撃手法は、おおむね次のパターンに収束します。それぞれが「人間のどの心理を突くか」を意識して設計されている点に注目してください。
偽サイト誘導型
検索広告やSNSで、正規プロジェクトそっくりのドメインに誘導する手口です。たとえば「pancakeswap」を「pancakeswep」とするように、一文字だけ変えたドメインを使います。利用者がウォレットを接続し、悪意ある署名をした瞬間に資産が抜かれます。検索結果の広告枠に偽サイトが表示されるケースもあり、「検索して一番上に出てきたから本物だろう」という思い込みを突いてきます。
エアドロップ詐欺
身に覚えのないトークンがウォレットに届き、それを「請求」しようとサイトに接続させる手口です。
タダで何かがもらえるという心理が罠になります。利用者が請求しようとした瞬間、ドレイナーによって署名を促され、資産を抜かれます。「無料」という餌は、暗号資産フィッシングで最も効果的な誘導文句の一つです。
Permit/Approve悪用
送金画面に見せかけて、実際にはトークンの引き出し権限を攻撃者に与える署名をさせる手口です。
これが厄介なのは、署名した瞬間には資産が動かないことです。被害者は「何も送っていない」と思って安心しますが、攻撃者は付与された権限を使って、後から好きなタイミングで資産を抜き出します。被害に気づくのが遅れるため、複数のウォレットを巡回して根こそぎ抜かれることもあります。
偽サポート・なりすまし
DiscordやX(旧Twitter)で「公式サポート」を装い、トラブル解決と称してシードフレーズを聞き出す手口です。
ここで攻撃者は、「本物の運営は絶対にシードフレーズを尋ねない」という原則を逆手に取ります。困っている利用者に親切を装って近づき、解決のためと称して聞き出すのです。技術ではなく、人間の「助けてほしい」という心理を直接狙う点で、最も古典的かつ効果的なソーシャルエンジニアリングと言えます。
詐欺の産業化 — Drainer-as-a-Service
著名な実例として、Inferno DrainerやAngel Drainerといった「Drainer-as-a-Service」が知られています。
これらは攻撃ツールがサブスクリプション商品として売買されている仕組みです。技術を持たない者でも、分け前を払えば攻撃に参加できます。つまり現代のフィッシングは、ツール開発者・誘導役・資金洗浄役が分業する「産業」として成立しているのです。個人の犯行ではなく組織化されたビジネスである以上、攻撃の量も質も上がり続けています。
問題点 — なぜ被害が救済されないのか
「自己責任」で片付けられる構造
最大の問題は、被害が「自己責任」として処理されがちなことです。
署名したのは本人である以上、法的にも技術的にも救済の枠組みが乏しいのが現実です。取引所を経由した取引であれば一部凍結の可能性が残りますが、自己管理ウォレットからの流出は事実上手の打ちようがありません。被害者が泣き寝入りせざるを得ない構造そのものが、攻撃者をさらに大胆にさせています。
規制と捜査の限界
攻撃者の特定は極めて困難です。
資産はブロックチェーン上で追跡できても、その先にいる人物にたどり着けません。匿名性とミキサーが捜査を阻むからです。どのアドレスへ資金が流れたかは分かっても、そのアドレスを誰が握っているのかは分からない——この「最後の一歩」が埋まらない限り、検挙には至りません。
技術が解決しきれない理由
技術面の限界も根深い問題です。
ウォレットの署名表示が分かりにくく、「内容を読めば防げる」という前提が現実には機能していません。近年は取引シミュレーション機能やフィッシングサイト検知を備えたウォレットも増えていますが、攻撃側もそれを回避する手を絶えず更新しています。防御機能が一つ普及すれば、攻撃側はそれを迂回する新手を編み出す——終わりのないいたちごっこが続いているのが実情です。
今後どうなるか — 攻防の主戦場はどこへ向かうか
防御の進化 — 「読めない署名」をなくす方向へ
防御側は「署名内容を人間が理解できる形で見せる」方向に進んでいます。
具体的には、署名する前に「資産がどう動くか」を予測して表示する取引シミュレーション機能や、既知の悪性ドメイン・悪性コントラクトを自動でブロックする機能が、ウォレットの標準装備になりつつあります。攻撃の根本原因がUXの不親切さにある以上、ここが今後の主戦場になるのは必然です。「同意する前に何が起きるか分かる」ウォレットが当たり前になれば、フィッシングの成功率は大きく下がります。
AIが攻防の両側を高度化させる
一方で攻撃側は、AIを使い始めています。
本人そっくりの文面・音声・なりすましアカウントを大量に生成できるようになり、「文章が不自然だから偽物だ」という従来の見分け方が通用しなくなりつつあります。これからは、攻撃と防御の両方がAIで高度化する局面に入ります。防御側もAIで異常な取引パターンを検知し、攻撃側もAIで本物らしさを作り込む——人間の目視に頼った対策はますます限界を迎えるでしょう。
規制と「不可逆性」の揺らぎ
規制面では、各国がオンチェーン分析企業と連携し、不正資金の流れを追跡・凍結要請する動きを強めています。
注目すべきは、ステーブルコインの発行体が当局の要請で特定アドレスを凍結する事例がすでに出ていることです。これは「取引は不可逆」というブロックチェーンの大前提に、部分的な例外が生まれつつあることを意味します。
ここに、暗号資産の根本的な綱引きがあります。完全な匿名性と自由を守るのか、それとも追跡可能性を受け入れて安全を取るのか。フィッシング対策は、この「自由 対 安全」のトレードオフをめぐる議論の最前線に位置しています。今後の規制動向が、暗号資産という仕組みそのものの性格を決めていくことになります。
関連用語
フィッシングへの理解を深めるために、次の用語もあわせて押さえておくとよいでしょう。
- シードフレーズ/秘密鍵
- セルフカストディ(自己管理ウォレット)
- スマートコントラクトのApprove/Permit
- 資金洗浄とミキサー
- ソーシャルエンジニアリング
- マルチシグ/ハードウェアウォレット
- オンチェーン分析(チェーン分析)
