.png)
お金の匂いのするところに犯罪者あり
暗号資産を狙った犯罪は増加している
2021年の暗号資産に関する犯罪は、過去最高の140億ドル(約1兆6000億円)を記録し、前年と比べて80%増加したとロイターが報じています。
参考:21年の暗号資産絡みの犯罪、過去最高の140億ドル=調査会社
暗号資産の人気の高まりと共に犯罪者も増加していることが伺えます。
DeFiの脆弱性を狙ったサイバー攻撃を筆頭に、犯罪の種類は多岐にわたっており、暗号資産には常に犯罪がつきまとっていることを念頭におく必要があります。
そのため、どのような犯罪が存在するかを知っておくことは身を守る上で非常に大切です。
そこで、当記事では暗号資産に関連する犯罪の例をご紹介いたします。
なぜ暗号資産には犯罪が多いのか
その前になぜ暗号資産には犯罪が多いのでしょうか。主な理由は3つあると考えています。
- 個人の特定が困難な上に送金が簡単
- 多額の資金が動いている
- オープンソース
個人の特定が困難な上に送金が簡単
暗号資産はブロックチェーンに支えられています。ブロックチェーンでの暗号資産の取引には個人情報を必要としません。必要なのはウォレットのアドレスだけです。
そのため、犯罪に使われたアドレスを知ることはできても、それが誰のものなのか、個人を特定することは極めて困難です。
加えて、盗んだり騙したりして奪った暗号資産を自分のアドレスに送金するのも簡単です。
身元がバレにくく、簡単に送金できるというブロックチェーンの特性は犯罪者にとって実に都合がいいのです。
多額の資金が動いている
暗号資産業界は近年急速に成長しており、多くの億り人を輩出してきました。
その魔力に魅せられて世界中のお金が暗号資産に注ぎこまれています。
当然、お金が動くところに犯罪者は集まります。
多くの人を惹きつけているということは同時に悪事を働かす人間をも惹きつけていることを忘れてはなりません。
オープンソース
ブロックチェーンの世界では、ソースコードをGitHubなどに一般公開していることがよくあります。
そうすることで透明性を担保したりプロジェクト参画者を誘致したりできるメリットがあります。
その一方で、オープンであるが故に、脆弱性を見つけやすいというデメリットもあります。
開発者が気づいていないセキュリティホールを見つけることができれば、そこを起点に資金を盗める可能性があるわけです。
暗号資産に関する犯罪の例
先に暗号資産を送って系の詐欺
どんな理由であろうと相手が先に入金や送金を要求してきたら詐欺と疑うべきです。
「おめでとう!あなたは当選しました」
ある日、以下のようなダイレクトメッセージ(DM)がSNSに届くことがあります。
暗号資産を3倍にして送り返してあげる
「暗号資産を送ってくれれば、今なら3倍にしてお返しします」といったプロモーション案内を送ってくるケースもあります。
実際にはこんなストレートな物言いではなく、もっとそれらしい説明を添えてきます。
上述した通り、相手が先に送金を要求してきているので、これも詐欺です。
ウォレットの秘密鍵(ニーモニックやシードフレーズ)の盗難
どんな事情だろうと、どんな相手であろうと絶対に第三者に秘密鍵(ニーモニックやシードフレーズ)を教えてはいけません。
あの手この手で自然と聞き出してくる
暗号資産を管理するためにはウォレットが必要ですが、ウォレット作成時にはあなた専用の暗号鍵が与えられます。
暗号鍵はニーモニックやシードフレーズ等とも呼ばれます。
ウォレット作成時に10数個の英単語が表示されて、「これをメモして大切に保存してください。」といったメッセージを見たことがありますか?
それが秘密鍵です。
見知らぬ人から「パスワードを教えて」と言われたら警戒するでしょうが、「ニーモニックを教えて」と言われたら、暗号資産初心者はついうっかり教えてしまうことがあるでしょう。
しかし、これを教えてしまったら、ウォレット内の全ての暗号資産が根こそぎ抜き取られてしまいます。
あなたの秘密鍵を聞いてきたらその人は100%詐欺師です。
絶対の絶対です。例外はありません。絶対です。
犯人は狡猾です。そして単独とは限りません。詐欺師はあなたの弱みや不安を狙って攻撃をしかけてきます。
たとえば、何か手続きがうまくいかなくて困っている時に、それをSNSに相談したとします。
詐欺師は二人組で、一人が困っていた時にもう一人に助けてもらったんだと自然に会話してみせます。
そして、「あなたも困っているのか?だったら彼に助けてもらいなよ。」と言われ、DMが届きます。
その後のやり取りの中で秘密鍵をうっかり教えてしまうことがあり得ます。
あるいは、相手は人ではなくてWebサイトかもしれません。
何らかの形で公式サイトを装ったWebサイトに誘導されて、そのURL(リンク)にアクセスして、指示に従っていると「ニーモニックを入力してください。」という画面が出て「公式だから大丈夫だろう」と思いこんで、ついニーモニックを入力してしまうケースもあります。
犯人のハードウェアウォレットを使わせる
ウォレットの一種にハードウェアウォレット(USBメモリのような機器)があります。
一番有名なハードウェアウォレットはLedger nanoシリーズでしょう。
ただ、2万円前後とやや高価です。
これを逆手に「キャンペーンに当選した」等と偽って新品を装った改造品を送り付けてくるケースがあります。
受け取った人は嬉々としてPCに接続して暗号資産を入金してしまいます。
その後、組み込まれていたウィルスが起動して暗号資産をそのまま犯人のアドレスに転送しまうのです。
中古品のものを買うのも同様の理由で危険です。
PINコード設定済のものを何も知らずに使ってしまえば、相手はあなたの暗号資産を奪うことが可能です。
あるいは、改造品の可能性だってあります。
新品と中古品の差額(数千円~一万円程度)をケチったがために、何百万円もの資産を失うかもしれません。
ハードウェアウォレットは必ず正規店で新品を買うようにしましょう。
ロマンス詐欺
出会い系やマッチングアプリで仲良くなった人から、暗号資産の投資話を持ち掛けられて、信じて入金したものの、出金できずに最後は音信不通となって逃げるというロマンス詐欺があります。
相手は外国人であることが殆どです。
相手は信用させるために、最初の頃は予定通りに配当を出したり、出金を行わせたりすることがありますので注意が必要です。
そうやって信用させた後に多額の資金を入金させてドロンというのは詐欺の王道手段です。
面識のない人間の投資話は詐欺だと疑ってかかるべきです。
MLMを使ったポンジスキーム詐欺
アービトラージやAIを使うことで、リスクなく儲けられるといった投資案件が存在します。
それらの投資案件(ハイプ案件)は月利10%などと高利回りで、マルチレベルマーケティング(MLM)形式であることが大半です。
MLMは多段階の紹介報酬の仕組みのことで、ねずみ講のような構造(同一ではない)です。
MLMを使った投資案件はほぼ間違いなくポンジスキーム詐欺です。
実際には運用されていないか、あるいは運用していてもごく少額です。
仕組みが本物であるか否かは関係ありません。
月利10%を毎日損失なく紹介報酬付きで与え続けることなど不可能だと考えるべきです。
それが可能なのは集めたお金を配っているだけだからです。
過去の事例としては、プラストークン、WoToken、ビットクラブ、プランスゴールド(PGA)など枚挙にいとまがありません。
この手の投資案件は最後は必ずある日突然運営が飛んで終了します。
甘い話には必ず裏があることを知るべきです。
なお、巨額詐欺事件後には、「救済案件」や「訴訟するから寄付して」などといったハイエナが現れて2次被害が発生します。
ハイエナは得てして善人ぶります。
被害者は少しでも取り返そうと冷静さを失っている状態のため、この手の2次被害に遭いやすいです。
投資案件にはくれぐれも手を出さないようにしましょう。
ラグプル・ICO詐欺
もっともらしく見えるプロジェクトを立ち上げて、投資家にプロジェクトトークンを販売した後にその利益を持ち逃げしたり、トークンを不特定多数にばら撒いて値段を吊り上げてから自分の持ち分を一気に売り切って逃げることをラグプルと呼びます。
ラグプルで有名な事件と言えば、Netflixで話題となった「イカゲーム」から着想を得たSquid Gameプロジェクトがあげられるでしょう。
プロジェクトトークンであるSQUIDは1トークン約1円で販売され、その後取引が開始し、価格が高騰したところを見計らって自分の持ち分を売り切って逃げたのです。被害額は約2億円。
なお、ラグプルはプロジェクトトークンだけでなくNFTプロジェクトでも発生します。
ラグプルと同様な詐欺にICO詐欺があります。
こちらも、もっともらしく見えるプロジェクトを立ち上げて、投資家にプロジェクトトークンを販売した後、調達した資金でろくに開発を進めずにプロジェクトを終了させて利益を持ち逃げする行為です。
上場することなく、投資家は電子ゴミを抱えて泣き寝入りせざるを得ないケースが散見されました。
ノリで投資するのではなく、投資に値するプロジェクトかしっかりと自分で調査するしかありません。
偽物のNFT販売・NFTウォッシュトレード
最も有名なNFTのマーケットプレイスであるOpenSea。
ここには様々なNFTが販売されていますが、全てが本物とは限りません。
実は本物をコピーした偽物のNFTが沢山混ざっています。
アカウントの名前やアイコンは本物そっくりにして、販売しているNFTも本物をコピーしたものであるため、NFTをOpenSea内で直接検索する場合は要注意です。
デジタルデータ故にパッと見では見分けがつきません。
ですが、NFTの販売者情報を確認することで、本物か偽物かはすぐに判断できます。
NFTはあくまでそのデータの所有者が誰なのかを特定できる仕組みなだけで、画像データのコピーができないわけではありません(スクリーンショットを止めることは誰にもできませんので)。
購入する前には、そのNFTの大元の販売者をきちんと確認するようにしましょう。
また、人気のあるNFTに見せかけるために、同じ人物が複数名を装ってNFTの売買を繰り返して意図的に取引高を増やし価格操作することをウォッシュトレードと呼びますが、そういった手口があることも理解しておきましょう。
ウィルス・ランサムウェア攻撃
怪しいサイトやメールのリンクをクリックしてウィルスに感染し、暗号資産を送金する際に送金先を勝手に変更してしまうPhorpiexと呼ばれるウィルスが存在します。
詳しくはForbes記事をご覧ください。
他に端末を制御不能にして身代金を要求するランサムウェア攻撃と呼ばれるウィルスも存在します。
怪しいリンクをクリックするだけで感染することがありますので、リンク先のURLを確認するクセをつけておきたいところです。
取引所へのハッキング
中央集権型の取引所に対するハッキングはよくニュースになります。
最も記憶に残っているのはやはり2018/1にコインチェックのホットウォレットにあるNEM(580億円相当)がハッキングにより盗まれた事件でしょう。
この事件をきっかけにビットコインは大暴落し、冬の時代が到来しました。
「昔のセキュリティが甘い時代だったからでしょ」と思われるかもしれませんが、そんなことはありません。
事実、2021/8にも日本の暗号資産取引所であるリキッドがハッキングを受けて、110億円相当の暗号資産が盗まれています。
取引所には多額の資金が預けられていることは誰でも想像できます。
ハッカーがそこを狙わないわけがありません。
取引所はあなたの資産を保管しておくウォレットではありません。名前の通り取引する場所です。
取引所に預けっぱなしという行為はハッキングだけでなく企業倒産など、リスクのある行為であることは十分認識しておきましょう。
スマートコントラクトの脆弱性を狙った攻撃(エクスプロイト)
中央集権型の取引所だけが狙われるわけではありません。
お金の集まるところが狙われます。他にお金の集まるところといえば、ICOやDeFiなどです。
2016/6にはThe DAOのICOの脆弱性を狙われて52億円相当のETHが盗まれたThe DAO事件、2021/8にはクロスチェーンプラットフォームのPoly Networkの脆弱性で670億円相当の暗号資産が流出したPoly Network事件、2022/2にはソラナとイーサリアムを繋ぐブリッジ「ワームホール」の脆弱性を突かれて360億円相当のwETHが盗まれたワームホール事件が発生しました。
いずれもスマートコントラクトの脆弱性を狙った攻撃です。
この手の犯罪は他にも多数報告されています。
これについて投資家のできる対策は殆どありません。
ソースコードの品質を自らの目でチェックできるのが理想ですが、そんなことができる人はごく一部です。
自衛としてはプロジェクトやシステムを鵜呑みにせずに、一ヶ所に多額の資金を投じないことぐらいでしょう。
【番外】インフルエンサーによる煽り
最後に犯罪ではないものの、注意が必要なのはインフルエンサーの存在です。
インフルエンサーは多くのフォロワーを抱えています。
特定の銘柄を推したり、チャートで上げ下げを予想したりすることで、フォロワー数の多いインフルエンサーは一時的に価格操作することが可能です。
マイナーな銘柄の場合は、その効果は顕著です。
インフルエンサーは「この銘柄を買った」等と発言を繰り返し、フォロワーが買いたくなるように仕向けていきます。
そうやって自分のフォロワーの力で価格を釣り上げてから、自らは高値で売り逃げるのです。
参考:人気YouTuberがファンを巻き込んだ仮想通貨の価格操作で5700万円相当をゲットしたという告発
伝統的な株式市場でこのような行為をすると相場操縦とみなされて、金商法違反になるのですが、暗号資産の場合はグレーゾーンです。
インフルエンサーに振り回されないように、過度な信用は禁物です。
暗号市場の犯罪から身を守るための8つの心得え
(1) 自分の視点ではなく相手の視点で考えてみる
なぜ相手はあなたにその話を持ち掛けているのか、相手のメリットやモチベーションは何なのか、相手側の心理を考えてみましょう。
もしくは、立場を逆にして、あなただったら相手と同じ行動を起こしますか?と考えるのもいいでしょう。
人間は面倒なことを本質的に避けようとします。
あるいは良い思いができる情報を見返りなく他人に教える人もまずいません。
そこに合理的な理由が見当たらない場合、詐欺を疑った方がいいでしょう。
それと、相手が警戒することは詐欺師も織り込み済みです。
だから、ロマンス詐欺では最初に仲良くなることに注力してきますし、投資詐欺では最初の頃は実際に良い思いをさせて油断させます。
美味しい話には必ず裏があることは知っておきましょう。
(2) リンクの付いたDMは即削除する
突然送られてくるリンク付きのダイレクトメッセージ(DM)は原則として無視すべきです。
無視するどころかさっさと削除しましょう。
中身をじっくり読んではいけません。それらしいことが書いてあって惑わされてしまうからです。
公式があなたにいきなりDMを送ることはまずありません。本物のプロジェクトであれば、彼ら彼女らにそんな暇はありません。
それらは詐欺師の撒き餌なのです。
(3) リンクを不用意にクリックしない
(2)と関連しますが、第三者が提示したリンクを不用意にクリックしないことです。
TelegramやDiscordなどのチャットアプリで、例えばあなたが何らかのアプリのURLを質問したとして、詐欺師が「ここだよ。」としれっと詐欺URLを提示してくる可能性があります。
それが短縮URLだったら、なおさら警戒しましょう。
本物そっくりの詐欺サイトがゴロゴロ存在しますので、信頼のおける人物のリンク以外は無視するか様子を見るのが良いでしょう。
(4) URLが正規のものか確認する
(3)と関連しますが、そのURLは本物でしょうか?
1文字だけ異なるとか、「.com」が「.net」に変わっているとか、よくあることです。
雰囲気で判断せずに、しっかりと一字一句チェックしましょう。
これだけリンク(URL)について注意喚起するのはインターネットにアクセスする端末がPCからスマホに変わりつつあるからです。
スマホの画面は小さいため、どのアプリもURLを積極的に見せる作りにはまずなっていません。
そのせいでURLを意識しない人は沢山いるでしょう。
そこを詐欺師は狙っているのです。
(5) 気軽にウォレットに接続したり、トランザクションに署名したりしない
気づかないうちに詐欺サイトに誘導されていて、そこでウォレットに接続してトランザクションに署名したら、実はそれは詐欺師のアドレスに送金するトランザクションだったなんてことが起こり得ます。
そうなったらもう後の祭りです。
ウォレット内の資産は丸ごと抜き取られてしまっているでしょう。
ウォレット接続には細心の注意を払うようにしましょう。
(6) オンラインウォレットに多額の資金を保管しない
(5)に関連しますが、もしもの場合に備えてMetaMask等のオンラインウォレットには多額の資金を保管しないようにしましょう。
オンラインウォレット(ホットウォレット)は便利ですが、それは見方を変えれば、犯罪者にとっても狙いやすい財布だということです。
ポケットに入れている財布を盗むのと家の中に置いている金庫を盗むのはどちらが容易か?と考えれば、答えは明確です。
多額の暗号資産はハードウェアウォレットなど、インターネットから隔離されたところに保管するのが最も安全です。
ただし、デバイスを紛失したり壊したりといった別のリスクがありますので、その点はトレードオフになります。
(7) 1つのウォレットに資金を集中させない
ウォレットを分散して管理するのもいいでしょう。
ウォレットには色々な種類が存在します。
複数のウォレットに資産を分散させることで、盗難時の被害を最小限に食い止められます。
管理の手間は増えますが、それは仕方ないことです。
大事な金融資産ですから、面倒でもしっかりと安全対策を施しましょう。
(8) スマートコントラクト内(DeFi等)に多額の資金を集約させない
暗号資産の業界ではオープンソースであることが多いです。
ソースコードが丸見えであるということは、攻撃する側にとっては好都合です。
「バグはどこかに必ず存在するはずだ」という前提の元に、あまり多くの資金をスマートコントラクトのどこか一ヶ所に集約しないことです。
投資する銘柄やプラットフォームを分散させることで、この手の攻撃の被害を抑えることが可能です。
まとめ
暗号資産に関連する犯罪について説明してきました。
事例の中には心当たりのある方もいらっしゃるのではないでしょうか?
暗号資産界隈では毎日のようにあちこちで犯罪もしくは犯罪まがいの行為が起きています。
犯罪天国といっても過言ではありません。
各国政府が消費者保護のために規制しようとするのは、やむを得ない面があります。
億り人というキラキラした世界には、同じかそれ以上の闇が潜んでいることは留意しておくべきです。
知識と知恵を身に着けて上手に暗号資産を楽しみましょう!
