2026年、KYC不要トレーダーを狙うフィッシング攻撃

2026年5月6日

KYC不要で取引する分散型トレーダーは、フィッシング攻撃者にとって非常に狙いやすいターゲットです。理由は明確です。こうしたユーザーは秘密鍵を自分で管理し、資産は中間プラットフォームを経由しません。攻撃者は一度だけ署名やシードフレーズをだまし取れば、ウォレット内の資産をすぐに移動でき、オンチェーン送金は基本的に取り消せません。CEXユーザーを狙うフィッシングでは二要素認証などを突破する必要がありますが、セルフカストディウォレットでは攻撃が成功すると、救済手段はほとんどありません。

2026年のフィッシング手口は、数年前と比べてはるかに巧妙になっています。本記事では、現在主流の攻撃パターンと、それらを見分けて防ぐための実践的な対策を整理します。

なぜKYC不要トレーダーが重点的に狙われるのか

セルフカストディウォレットのユーザーは、次のような特徴があるため攻撃者にとって魅力的です。

  • 資産をユーザー自身が直接管理しており、署名権限を得られればすぐに移動できる
  • ブロックチェーン上の送金は不可逆で、移動後に取り消すことができない
  • プラットフォーム側のリスク管理システムが異常行動をリアルタイムで監視してくれるわけではない
  • 一部のユーザーはDAppとのやり取りに不慣れで、正規のリクエストと悪意あるリクエストを見分けにくい

OWASPのフィッシング攻撃に関する体系的な分析でも、ビジュアルクローン、つまり見た目を本物そっくりに複製する手法は、現在でも非常に効果的な攻撃手段だとされています。攻撃者は数時間のうちに、ターゲットサイトとピクセル単位で似た偽サイトを作ることができます。

2026年に主流の攻撃タイプ

タイプ1:DEXフロントエンドの偽装

攻撃者はHyperliquid、dYdX、GMXなど有名DEXのフロントエンドをコピーし、検索エンジンの広告枠を購入して、偽サイトを検索結果の上部に表示させます。ユーザーがURLを確認せずにアクセスし、ウォレットを接続すると、悪意ある署名リクエストが表示される仕組みです。

見分けるポイント:

  • ドメインが本物とわずかに違う(例:oを0に置き換える、余分な文字を追加する)
  • 偽サイトのSSL証明書が新しく発行されたものであることが多い
  • 通常の操作の前に、ウォレット接続直後から署名リクエストが出る

タイプ2:悪意ある承認(Approval Phishing)

これはChainalysisの最近の調査でも増加が目立つ攻撃タイプです。攻撃者は偽のエアドロップ、NFTミント、ステーキング報酬などを装い、ユーザーに「報酬を受け取る」ための承認トランザクションに署名させます。しかし実際には、ウォレット内のトークンを攻撃者が管理するアドレスへ移動できる権限を与えてしまいます。

一度承認してしまうと、攻撃者は任意のタイミング、多くの場合は数分以内に自動でトークンを移動できます。ユーザーのウォレット上では自分から送金したようには見えない場合がありますが、オンチェーン上ではユーザーが「別のアドレスに代理送金の権限を与えた」状態になります。

タイプ3:シードフレーズ詐欺

次のような場面で、ユーザーにシードフレーズを入力させようとします。

  • ウォレット公式サポートを装い、アカウントに「異常」があるため確認が必要だと伝える
  • 「新バージョンへのシードフレーズ移行手順」と称し、移行ページに元のシードフレーズを入力させる
  • ウォレット関連ツールアプリの偽バージョンを作り、「シードフレーズ設定」手順で密かに送信する

MetaMaskの公式ドキュメントでも明確に説明されている通り、正規のウォレットアプリやサポート担当者が、どのような状況でもシードフレーズを要求することはありません。シードフレーズを聞いてくる相手は、すべて詐欺と考えるべきです。

タイプ4:Discord / Telegramの偽サポート

主要なDeFiプロジェクトのコミュニティでは、攻撃者が公式サポートを装い、DMでユーザーに「サポート」を持ちかけます。ユーザーが利用上の問題を説明すると、偽サポートは「公式診断ツール」へ誘導しますが、その実態はフィッシングページです。

タイプ5:アドレスポイズニング攻撃

攻撃者はターゲットのアドレスに少額の送金を行い、取引履歴に本物の送金先とよく似た悪意あるアドレスを残します。多くの場合、先頭と末尾の文字だけを本物に似せ、中間部分は異なります。次回ユーザーが送金する際、完全なアドレスを確認せず履歴からコピーすると、攻撃者のアドレスを誤って選んでしまう可能性があります。

高リスクな場面のチェックリスト

  • 検索結果や広告からDEX、ブリッジ、ウォレット関連サイトへアクセスする
  • エアドロップ、NFTミント、報酬受け取りページでウォレット接続を求められる
  • 署名内容が読めない、または意味が分からない状態で署名を求められる
  • 無制限承認(Unlimited Approval)を要求される
  • DiscordやTelegramのDMでサポート担当者を名乗る相手からリンクを送られる
  • 取引履歴からアドレスをコピーして送金する

OneKeyのフィッシング対策機能

OneKeyウォレットには、フィッシング攻撃に対抗するための複数の保護機能が組み込まれています。

  • 署名内容の解析:EIP-712の構造化データを含む複雑な署名リクエストを、人間が読める形式に変換し、署名前に実際の操作内容を確認しやすくします
  • トランザクションシミュレーション:署名前にトランザクション実行後の結果を予測し、資産の増減プレビューを表示することで、悪意ある承認を見つけやすくします
  • リスク警告:無制限承認など高リスクなコントラクト操作に対して、事前に警告を表示します
  • ドメイン検証:ウォレット拡張機能に接続するDAppのドメインを基本的に確認し、既知の悪意あるドメインに対して警告します
  • オープンソースで監査可能:OneKey GitHubは完全にオープンソースで、ユーザーは悪意あるコードがないか検証できます

ハードウェアウォレット版では、さらに物理的な確認レイヤーが追加されます。すべての署名はデバイス画面上で手動確認が必要なため、ソフトウェア側での署名乗っ取りを防ぎやすくなります。

また、Revoke.cashを定期的に使い、不要になったコントラクト承認を確認・削除することも推奨されます。過去の承認が悪用されるリスクを減らせます。

フィッシング被害が疑われる場合の緊急対応

悪意ある承認に署名した、またはシードフレーズを漏らした可能性がある場合は、次の対応を急いで行ってください。

  1. そのデバイス上でのすべての操作を停止し、ネットワーク接続を切る
  2. シードフレーズを漏らした場合:別のクリーンなデバイスで新しいウォレットを作成し、すべての資産を移動する
  3. 悪意ある承認の場合:すぐにRevoke.cashへアクセスし、関連する承認を取り消す
  4. Hyperliquid、dYdXなどのプラットフォームで進行中のポジションをすべて閉じ、攻撃者が含み益のあるポジションから資金を抜き取るリスクを下げる
  5. そのウォレットでログインしていたすべてのDAppアカウントを見直し、必要に応じて変更する

時間が非常に重要です。多くのドレイナー攻撃は、承認取得後わずか数分以内に自動で資産を移動します。対応が遅れるほど、資産を守れる可能性は大きく下がります。

よくある質問

Q1:フィッシングサイトは私のシードフレーズを盗めますか?

A:フィッシングサイト自体がウォレットからシードフレーズを自動的に抜き取ることは通常できません。ただし、ページ内に偽の「ウォレット確認」や「移行」フォームを埋め込み、ユーザーに自分で入力させることがあります。自分から入力しない限り、シードフレーズがページに取得されることはありません。

Q2:OneKeyハードウェアウォレットを使えば、フィッシングを完全に防げますか?

A:ハードウェアウォレットは、ソフトウェア上のマルウェアによるシードフレーズ窃取を防ぎやすくし、ユーザーが気づかない自動署名も防止できます。ただし、ユーザー自身が悪意あるリクエストを理解しないまま、またはリスクを見落としたまま手動で承認してしまうことまでは防げません。そのため、署名内容を理解することが同じくらい重要です。

Q3:正しいDEXサイトにアクセスしているか確認するには?

A:公式サイトをブックマークし、基本的にブックマークからのみアクセスしてください。プロジェクトの公式Twitter/Xアカウントや公式ドキュメントに掲載されたリンクでURLを確認しましょう。検索エンジンの広告枠に表示される結果は信用しないでください。URLの各文字を確認し、特に l と 1、0 と o のような紛らわしい文字に注意します。

Q4:無制限承認と有限承認の違いは何ですか?

A:無制限承認(Unlimited Approval)は、コントラクトに対して、指定トークンをウォレットから任意の数量いつでも引き出せる権限を与えます。有限承認は、特定の数量のみ引き出せる権限です。通常の利用では、無制限ではなく、その取引に必要な金額だけを承認するのが望ましいです。

Q5:ウォレットの承認はどのくらいの頻度で確認すべきですか?

A:少なくとも月に1回、または重要な取引を終えた直後に確認することをおすすめします。Revoke.cashを使えば、オンチェーン上の承認状態を比較的簡単に確認・管理できます。

まとめ:技術的な防御と操作習慣の二重防衛

2026年には、セルフカストディウォレットユーザーを狙うフィッシング攻撃は高度に専門化・自動化されています。「注意する」だけでは十分ではありません。能動的な保護機能を備えたウォレットを使いながら、体系的なセキュリティ習慣を身につける必要があります。

OneKeyウォレットをダウンロードし、署名内容の解析とトランザクションシミュレーションを活用してください。不要な承認を定期的に整理し、分散型永久先物を取引する場合は、OneKey Perpsを使って、より確認しやすい環境で操作することを検討できます。

リスクに関する注意:本記事は教育目的の情報提供であり、投資助言、法律助言、または安全性の保証ではありません。暗号資産のフィッシング攻撃手法は常に変化しており、本記事の方法で完全な保護を保証することはできません。オンチェーン送金で盗まれた資産は通常取り戻せないため、リスクを十分理解したうえで慎重に操作してください。

OneKeyで暗号化の旅を守る

View details for OneKeyのご購入OneKeyのご購入

OneKeyのご購入

世界最先端のハードウェアウォレット。

View details for アプリをダウンロードアプリをダウンロード

アプリをダウンロード

詐欺アラート。すべてのコインをサポート。

View details for OneKey SifuOneKey Sifu

OneKey Sifu

暗号化の疑問を解消するために、一つの電話で。