2026年にHyperliquidユーザーを狙うフィッシング詐欺

2026年5月6日

  • hyperliquid phishing scam

  • hyperliquid phishing 2026

  • hyperliquid scam alert

  • フィッシング詐欺 Hyperliquid

Hyperliquidのユーザー数が拡大するにつれ、同プラットフォームのユーザーを狙ったフィッシング詐欺は、2025年から2026年にかけて目立って増えています。手口も高度化しており、粗雑な偽サイトだけでなく、本物と見分けにくいDiscordボット、偽のエアドロップ告知、Google検索広告枠を悪用した誘導まで確認されています。

この記事では、現在よく見られるフィッシング手口を整理し、実際に被害に遭う前に見抜いて避けるためのポイントを解説します。

OWASPがフィッシング攻撃を説明しているように、フィッシングの本質は、相手をだまして機密情報を自ら入力させたり、不正な権限付与に同意させたりすることです。この前提を理解しておくと、どれほど「本物らしく」見える依頼であっても、慎重に確認する習慣を持てます。

2026年に特に活発な5つの詐欺手口

詐欺1:Hyperliquid公式サイトを装う偽サイト

攻撃者は、公式ドメインに非常によく似たドメインを登録します。たとえば、文字をわずかに置き換えるケース(hyperliquid.xyz → hyperiiquid.xyz)や、.net、.io、.vip など別のトップレベルドメインを使うケースがあります。

こうした偽サイトは、公式サイトの画面や操作感をほぼそのままコピーしていることがあります。しかし、ウォレットを接続して何らかのトランザクションに署名すると、資産が移動される可能性があります。

Hyperliquidの唯一の公式アプリ入口は https://app.hyperliquid.xyz/ です。これ以外のドメインは、必ず強く疑ってください。

詐欺2:検索エンジン広告を使ったフィッシング

攻撃者は「Hyperliquid」などの検索キーワードに広告を出稿し、偽サイトを検索結果の最上部に表示させます。広告枠は通常の検索結果より上に表示されるため、多くのユーザーが一番上のリンクを公式サイトだと思い込んでクリックしてしまいます。

対策はシンプルです。Hyperliquidには検索エンジン経由ではなく、必ずブックマーク済みの公式リンクからアクセスしてください。https://app.hyperliquid.xyz/ をブラウザのブックマークに追加しておくことは、もっとも簡単で効果的な防御策の一つです。

詐欺3:偽のエアドロップやポイント報酬

攻撃者はHyperliquid公式を装い、「限定エアドロップ」や「ポイント加速キャンペーン」といった情報をTelegram、Discord、X(旧Twitter)などで拡散します。多くの場合、「受け取りリンク」が含まれており、クリックするとウォレット接続と悪意あるトランザクション署名を求められたり、シードフレーズの入力を要求されたりします。

判断基準は明確です。公式のエアドロップやポイントプログラムは、Hyperliquidの公式サイトや認証済みの公式Xアカウントで告知されます。DMやグループチャットで個別に連絡してくることはありません。

詐欺4:偽のカスタマーサポートや技術サポート

Telegramグループ、Discordサーバー、X上で、攻撃者が「Hyperliquid公式サポート」を名乗り、困っているユーザーに直接連絡してくることがあります。ウォレットアドレスや取引履歴を尋ねたうえで、最終的に「ウォレットの検証」や「権限のリセット」を求め、実際には悪意ある承認トランザクションに署名させようとします。

Hyperliquid公式が、トラブルシューティングのためにDMで突然連絡してくることはありません。「公式サポート」を名乗るDMは、基本的に無視してください。

詐欺5:悪意あるHyperEVM DApp

HyperEVMエコシステムの拡大に伴い、同エコシステムを狙った悪意あるスマートコントラクトアプリも現れています。攻撃者は一見普通のDAppを公開し、ユーザーが操作する過程で悪意あるトークン承認(approve)リクエストを挿入します。

ユーザーが気づかないまま特定トークンに対する無制限の移転権限を与えてしまうと、その後に資産がまとめて抜き取られる可能性があります。

DAppの承認攻撃について詳しく知りたい場合は、ChainalysisによるDrainer関連の調査レポートも参考になります。

フィッシングを見抜くための基本ルール

シードフレーズと秘密鍵は絶対に共有しない

MetaMaskのシードフレーズに関する安全ガイドでも明確に説明されているように、本物のアプリ、公式サポート、正規ツールが、シードフレーズや秘密鍵の提供を求めることはありません。このルールに例外はありません。

シードフレーズ(Secret Recovery Phrase)と秘密鍵は、暗号資産の所有権そのものです。これらを入手した相手は、追加の認証なしにあなたの資産を移動できてしまいます。

誰かがどのような理由であれシードフレーズを求めてきた場合、それは詐欺だと考えてください。相手がHyperliquidチーム、有名KOL、技術サポート、その他どのような肩書きを名乗っていても同じです。

よくある質問

Q1:アクセスしているサイトが本物のHyperliquidか確認するには?

A:次の3点を確認してください。URLの完全なアドレスが https://app.hyperliquid.xyz/ であること、ブラウザのアドレスバーに有効なHTTPS証明書が表示されていること、そのリンクが以前に自分で手動追加したブックマークから開かれていることです。3つすべてを満たしていてもリスクがゼロになるわけではありませんが、比較的管理しやすくなります。

Q2:怪しいサイトでウォレットを接続しただけで、署名はしていません。危険ですか?

A:ウォレット接続(connect wallet)だけで、直ちに資産が失われるケースは通常多くありません。この操作自体は資産移動を伴わないためです。ただし、すぐにそのサイトとの接続を解除し、Revoke.cashなどで意図しない承認履歴がないか確認してください。

Q3:Hyperliquid公式に見えるメールを受け取りました。信じてもよいですか?

A:まず送信元メールアドレスのドメインが公式ドメインと完全に一致しているか確認してください。ただし、メールが本物らしく見えても、本文内のリンクはクリックしないでください。必ずブックマークから公式サイトへ直接アクセスして確認しましょう。メールフィッシングは非常に一般的な攻撃手法であり、OWASPの関連説明でも注意喚起されています。

Q4:Discord上のHyperliquid公式ボットは信頼できますか?

A:公式Discordサーバー内の認証済みボットは参考になります。ただし、そのDiscordサーバー自体に入る際は、必ず公式サイトに掲載されているリンクからアクセスしてください。検索結果や他人が共有した招待リンクから入るのは避けましょう。偽のDiscordサーバーは、本物とほとんど見分けがつかないことがあります。

Q5:フィッシングサイトらしきものを見つけたら、どこに報告すべきですか?

A:ChromeやFirefoxなどのブラウザに悪意あるサイトとして報告できます。また、Google Safe Browsingへの提出や、Hyperliquidの公式コミュニティチャンネルでの注意喚起も有効です。こうしたサイトの発見を共有することは、コミュニティ全体の保護につながります。

OneKeyハードウェアウォレットで最後の防衛線を作る

フィッシング手口がどれほど巧妙になっても、OneKeyハードウェアウォレットが提供する物理的な保護は、ソフトウェアだけでは代替しにくい防御層です。

  • 秘密鍵はハードウェアデバイスの外に出ません。偽サイトにアクセスしたり、別の情報を入力してしまったりしても、攻撃者が秘密鍵を直接取得することはできません。
  • すべてのトランザクションは、ハードウェアデバイスの画面上で物理的に確認する必要があります。署名前に、コントラクトアドレスや操作内容を再確認できます。
  • デバイス画面に表示されるトランザクション内容は、最終的に署名されるデータです。ブラウザ拡張機能や悪意あるスクリプトによる表示改ざんの影響を受けにくくなります。

この物理確認の仕組みは、ソーシャルエンジニアリング攻撃に対する有効な対策の一つです。仮に偽サイトへ誘導されてしまっても、OneKeyデバイスの画面で不審なトランザクション内容に気づけば、署名を拒否できます。

Hyperliquidを利用する際は、OneKey Perpsと組み合わせることで、取引のしやすさとセキュリティ確認のバランスを取りやすくなります。OneKeyハードウェアデバイスについては、onekey.so/download から確認できます。

まとめ

Hyperliquidの成長により、そのユーザー層は攻撃者にとってより価値の高い標的になっています。2026年もフィッシング攻撃の脅威は高まり続ける可能性があります。

ただし、セキュリティ専門家でなくても、基本原則を守るだけで多くのリスクを下げられます。公式サイトにはブックマークからアクセスする、シードフレーズは絶対に共有しない、署名前に内容を確認する、主要な資産はハードウェアウォレットで管理する——この4点を徹底してください。

OneKeyハードウェアウォレットは、こうした原則をハードウェアレベルで実行しやすくするための選択肢です。取引時はOneKey Perpsを活用し、必要に応じて onekey.so で製品情報を確認し、OneKeyの導入を検討してみてください。

リスクに関する注意:本記事は情報提供のみを目的としており、投資・金融・法務上の助言ではありません。暗号資産のセキュリティ管理は利用者本人の責任です。本記事で紹介した詐欺手口はすべてを網羅するものではありません。最新の脅威に注意し、秘密鍵やシードフレーズを求めるあらゆる依頼に対して、常に強い警戒を保ってください。

OneKeyで暗号化の旅を守る

View details for OneKeyのご購入OneKeyのご購入

OneKeyのご購入

世界最先端のハードウェアウォレット。

View details for アプリをダウンロードアプリをダウンロード

アプリをダウンロード

詐欺アラート。すべてのコインをサポート。

View details for OneKey SifuOneKey Sifu

OneKey Sifu

暗号化の疑問を解消するために、一つの電話で。