MetaMaskに「偽の二重認証」新型フィッシング詐欺が登場、シードフレーズを騙されて入力されることが最大のリスク

最近、MetaMask ユーザーは高度に偽装された新しいフィッシング詐欺のリスクに直面しています。ブロックチェーンセキュリティ企業の SlowMist は、攻撃者が「二要素認証（2FA）」を有効にするという名目で、ユーザーにウォレットの助記詞を自主的に漏らすよう誘導し、資産を直接盗み取っていると警告しています。この種の MetaMask フィッシング詐欺はターゲットが非常に絞られており、暗号通貨ユーザーの安全に現実的な脅威をもたらしています。

公開された情報によると、被害者は通常、MetaMask 公式を装ったメールを受け取り、ブランドロゴやセキュリティのヒントを含む内容で、「資産の安全を守るために直ちに二要素認証を有効にしてください」と記載されています。緊急性を演出するために、メールにはカウントダウンの表示が付いていることが多く、プレッシャーの下で迅速に「今すぐ有効にする」ボタンをクリックさせようとします。

リンクをクリックすると、ユーザーは攻撃者が作成した偽のページにリダイレクトされます。このページは外観が非常に精巧に模倣されており、唯一の目的はユーザーにウォレットの助記詞を入力させることです。助記詞はウォレットの最高権限と同等であり、一度漏洩すると、攻撃者は短時間で資産を移動でき、ほぼ追跡不能となります。

実際、この種のフィッシングメールには決定的な欠点も存在します。セキュリティ専門家は、詐欺ページやメールには微細な異常がしばしば見られると指摘しています。例えば、スペルミスやデザインの不一致、ドメイン名の偽装などです。今回の事件では、ユーザーがアクセスしたドメイン名は「mertamask」であり、公式の「metamask」ではありませんでした。さらに、送信者のメールアドレスも無関係なアカウントから送信されていることが多く、Gmail などの公共メールドメインを使用している場合もあります。

特に強調すべき点は、MetaMask 公式はメールを通じてユーザーにアカウントの検証やセキュリティ機能の有効化、助記詞の入力を求めることは絶対にありません。こうした要求はほぼ間違いなく詐欺行為です。

この事例は孤立したものではありません。最近では、暗号通貨ユーザーは複数のフィッシングやマルウェア攻撃に次々と遭遇しています。具体的には、偽の MetaMask アプリのアップデート、Trust Wallet のブラウザ拡張に仕込まれた悪意のあるコード、Cardano ユーザー向けに拡散されている虚偽の Eternl Desktop アプリなどです。これらの攻撃は複数の EVM 互換ネットワークに及び、多くの被害者が出ています。

Scam Sniffer のデータによると、2025 年の暗号通貨フィッシング詐欺による総損失は前年比で約 88% 減少していますが、セキュリティ専門家は、攻撃手法がより巧妙かつ「信頼できる」ものになりつつあると警告しています。MetaMask ユーザーにとって最も重要なセキュリティ原則は変わらず、「助記詞を絶対にどのサイトやメールにも漏らさないこと」と、「公式のチャネルを通じてウォレットのアップデートやセキュリティ情報を入手すること」です。