本ページはプロモーションを含みます。
暗号資産(仮想通貨)ウォレットのマイイーサウォレットとエレクトラムにてフィッシング詐欺が確認されました。
コインキャッツ
イーサリアム
マイイーサウォレット(MyEtherWallet)
公式の注意勧告
個人情報を提供するよう求めるフィッシングメールについての警告をツイートしました。
Attention #MEWfam,
There's another phishy email going around asking users to give up personal information. Don't believe the hype!
#1. We will never email you first (only reply to support).
#2. We will never ask for your private key (or other sensitive info).
#3. Be skeptical! pic.twitter.com/654TLIt5ar— MyEtherWallet.com (@myetherwallet) February 4, 2019
ユーザーに個人情報を聞き出そうとするのフィッシングメールが確認されました。信じてはいけません!
#1私達から先にあなたにメールを送ることは決してありません(問い合わせへの返信のみです)
#2私たちはあなたの秘密鍵(または個人情報)を求めることは決してありません。
#3。疑ってください!!
わかりやすく
なぜマイイーサウォレットは標的にされやすいのか考察
セキュリティーが甘い訳ではないと思います。
プライベートキーを入力しても大丈夫という「勘違い」が起きやすい環境にあるのではないでしょうか。
フィッシング攻撃
その前に!!プライベートキーの大切さを復習する?
仮想通貨(暗号資産)の秘密鍵と公開鍵を分かりやすく解説!
対策
マイイーサウォレットのユーザーは日常的にプライベートキーやニーモニック(パスフレーズ)の入力を求められます。
日常的に入力していると「これは大切なもの」「誰にも教えてはいけない」という感覚が鈍くなっていくのではないでしょうか。慣れってこわいですね。
フィッシング詐欺 手口
そんなタイミングで「ここにも入力してね」というメールが届いたとしたら…。ホイホイ入力してしまいそうになるかも?←絶対にダメです!!
フィッシング詐欺 押してしまった
実際、マイイーサウォレットのフィッシング詐欺は何度も起きています。
これはシェアの高さもあります。同じ確率で詐欺が成功すると仮定した場合、利用者が多い方が成功件数が多くなるので。成功率
しかし、それだけではないんじゃないか。「ユーザーの脇が甘くなりやすく、詐欺の成功率も高いのではないか」というのが、今回の考察です。
「マイイーサウォレットだめじゃん」と感じるかもしれませんが、それは違います。高級時計のコピーが作られても、高級時計の会社は悪くないのと同じです。マイイーサウォレットが素晴らしく、偽物を作る価値があるものだから、詐欺が起きています。
つまり、何が言いたいのかというと「危機管理の意識を高めよう!」です。
詐欺って意外と身近に潜んでいます。
犯人を捕まえられない警察を非難してしまったり、企業のセキュリティに責任転嫁してしまったりしがちですが、私たちがするべきことは被害に遭わないために、事件を省みて注意することです。
エレクトラム
今回の詐欺は、セキュリティアップデートを装って、ユーザーを騙すタイプです。
エレクトラム4.0.0へのセキュリティアップデートを要求されますが、本来のウォレットの最新バージョンはエレクトラム3.3.3です。
公式の注意勧告
アップデートするよう求めるフィッシングについての警告をツイートしました。
The latest version of Electrum (version 3.3.3) will notify users when a new release of Electrum is available. Release announcements are signed by us, and verified by Electrum using a hardcoded Bitcoin address. This feature is optional and can be disabled. https://t.co/Y2DXoUyOgk
— Electrum (@ElectrumWallet) January 26, 2019
最新版のエレクトラム(バージョン3.3.3)は、最新版のエレクトラムが利用可能になったときにユーザーに通知します。リリースアナウンスは私達によって署名され、そしてハードコードされたBitcoinアドレスを使ってエレクトラムによって検証されます。この機能はオプションであり、無効にすることができます。 https://electrum.org/#download
ウェブサイトでも注意喚起を掲載しました。
3.3.3よりも古いバージョンであると、フィッシング攻撃に脆弱です。悪意あるサーバーが偽のバージョンアップをダウンロードするようにユーザーに要求するメッセージを表示することができてしまいます。
まとめ
偽物が出てきてしまうことを、本物は止めることができません。ユーザーがきちんと判断するしかない問題です。
最近では、接続先の偽のWebサイトを本物のWebサイトとほとんど区別がつかないように偽造するなど、どんどん手口が巧妙になってきています。
フィッシング詐欺であると、ひと目では判別できないものもありますので、注意してください。
