MetaMaskユーザーは、偽の2FAメールを使ったフィッシング詐欺に注意してください。今すぐ赤信号を見分けてウォレットを守る方法
デジタル資産保有者は再び攻撃を受けています。大規模なMetaMaskの2FAセキュリティ検証を装ったフィッシング詐欺がインターネット上に出回っています。
攻撃者は、受取人に即座にセキュリティ設定を更新するよう促す説得力のあるメールを送信しています。
これらのメッセージは、被害者が特定の期限までに行動しない場合、ウォレットの機能に制限がかかると主張しています。しかし、これらの警告は完全に偽であり、デジタル資産を盗み取ることを目的としています。
この詐欺は、被害者の資金喪失の恐怖を利用して仕組まれています。
ユーザーは、MetaMaskサポートチームからの公式通知とまったく同じように見えるメールを受け取ります。こうしたメールには、よく知られたFoxのロゴやプロフェッショナルなブランディングが含まれています。
また、メールには新しい2要素認証(2FA)の要件が今や義務付けられていると説明されています。さらに、「本人確認」のために、1月4日までにリンクをクリックするよう指示しています。
🚨 新しい#metamaskフィッシング詐欺警告
攻撃者は「2FAセキュリティ検証」フローを装い、見た目が似たドメインを通じてユーザーを偽のセキュリティ警告やカウントダウンタイマー、「真正性チェック」へリダイレクトしています。
最終段階では、ウォレットのリカバリーフレーズを一度だけ要求します… pic.twitter.com/3bX9U1wZbs
— SlowMist (@SlowMist_Team) 2026年1月5日
セキュリティ研究者の23pds(SlowMist所属)は、このキャンペーンを最初に警告した一人です。彼は、これらのメールがユーザーを「タイポスクワッティング」ドメインにリダイレクトしていると警告しました。
背景として、これらは本物のアドレスに似ているものの、わずかなスペルミスがあるウェブサイトです。ユーザーがこれらのサイトを訪れると、カウントダウンタイマーが表示され、迅速に行動して資格情報を提供するよう促されます。
もしユーザーがこの情報を提供してしまうと、攻撃者はウォレットをインポートし、数秒以内にすべての資金を盗み取ることが可能です。
Halbornのサイバーセキュリティ専門家は、以前から暗号通貨企業に対してより積極的な対策を呼びかけています。
彼らは、どんなシステムもすべての詐欺メールを防ぐことはできないため、常に送信者の実際のメールアドレスを確認すべきだと述べています。さらに、詐欺師は「MetaMaskサポート」などの名前を使って身元を隠す傾向がありますが、実際のアドレスはランダムな文字列です。
これを踏まえ、安全を保つ最良の方法の一つは、暗号ウォレットの仕組みを理解しておくことです。
MetaMaskはセルフカストディアルサービスです。
つまり、あなたの情報のデータベースを持っているわけではなく、サポートチケットを開かない限り、彼らはあなたに連絡を取ることはありません。もし、「ウォレットがロックされている」や「停止されている」と主張するメールを受け取った場合、それはほぼ間違いなく詐欺です。
また、ConsenSys(ウォレットの背後にある会社)のセキュリティチームも、どんな状況でもリカバリーフレーズを求めることは絶対にないと明確に規則を発表しています。
彼らはまた、機能を有効にするためにApple IDやGoogleアカウントの詳細を必要としません。「2FAを有効にする」ためにシードフレーズを求めるウェブサイトには、すぐにタブを閉じるべきです。
関連記事:SlowMist、HitBTCからの返信なしで公開警告を発する
このような詐欺を見分けるには、投資家は細部に注意を払う必要があります。
詐欺師はしばしば専門的な言葉を使いますが、小さなミスを犯すこともあります。メール本文の文法エラーや不格好なフォーマットに注意してください。
送信者の名前をクリックして、「差出人」欄を確認し、完全なメールアドレスを確認しましょう。正規のメールは通常、@metamask.io や @metamask.zendesk.com のドメインから送信されます。
もう一つの赤信号は、即時の行動を求める要求です。
実際のブロックチェーンソフトウェアのアップデートは、ブラウザ拡張機能やモバイルアプリを通じて行われ、これらの通知はアプリ内で表示され、メールの受信箱には表示されません。
もし疑わしい場合は、ブラウザにアドレスを手入力して公式ウェブサイトに直接アクセスしてください。
