おはようございます。🐤
今日は詐欺にあわないように、NFTを盗まれないように、するべきこと、知っておくべきことをまとめていきたいと思います。
ブロックチェーンの世界は始まったばかりなので、技術的にも法的にも、そしてユーザーの知識やプロジェクトの側もまだまだ対応が不足しています。
OpenSeaのスマートコントラクト(プログラム)でさえ、危険性が見つかって将来の安全のためにアップデートが必要になることもあります。(参考⇒「The new contract is live! Start migrating your listings now)
基礎的なことから、わずかな危険性まで、いろんな事例を並べたのでぜひ知っておいてください。基本的には次の三つをしなければ大丈夫なのですが、詐欺師は人間心理につけこんで、不安な状態や「焦り」をうまく作り出すので、「自分は大丈夫」と思っている人でもやられてしまうことに注意です。
- DM
- メタマスクで承認(Approve)
- シードフレーズを入力
あと書いていて気づきましたが、これらのことはウィルスに感染していないことが前提です。ウィルスにやられていたらなんでもできてしまいますので、ウィルスチェックを定期的にしたり、ウィルス対策ソフトを導入して基本的な防御をしましょう。
自分が大丈夫でも、家族との共用パソコンなどは知らないうちにやられているかもしれないので注意です。
DM
よく言われる「NFTの世界は99%が優しい人で、1%が詐欺師」というようなフレーズですが、その比率はともかくここで重要なのは「間違いなく詐欺師はいる」ということです。
僕はNinjaDAO、MediaDAOをはじめたくさんのDiscordコミュニティに参加していますが、これらのコミュニティへの参加には特に個人情報も必要ありませんし、詐欺師は入ろうと思えば入り放題な状態です。
さっきの比率でいえば4万人のユーザーが参加しているNinjaDAOには400人の詐欺師がいてもおかしくはないということになります。
「優しいコミュニティの中に詐欺師はいる」
という事実をまず受けとめてください。そして詐欺師は100%「優しく」あなたを落とし穴に誘導します。
DMを内容で判断するのは危険です。機械的にすべて疑う必要があるのは、偽物がでるからです。まったく同じ画像をプロフィールアイコンにして、アカウント名がほんのわずかに違ったりしますが、フォロワーも本物と同じくらい多かったり、注意深く見ないと本物かどうか一瞬ではわからなくなっています。
こんなアカウントから流ちょうな日本語の文面でDMが来たら、一瞬油断してしまうと思います。これを防ぐには「DMは拒否」するのが一番です。TwitterやDiscordなどで、まず知人以外からのDMをオフにしてしまいましょう。
これらの設定をしても、フォローしている人やフレンドの人からのDMは届きます。しかしここでも「なりすまし」や「アカウント乗っ取り」の可能性があるので、最後まで気をつけないといけません。「どう気をつけるか」は次の項目で説明していきます。
DM(アカウント乗っ取り)
SNSはこれまでアカウントを守るためにはIDとパスワードがあるだけでした。IDとパスワードが漏れてしまったら乗っ取られます。
どうやったら漏れるかというと、PCやスマホにウィルスが入っている場合です。特に、自分は大丈夫でも家族と共有のパソコンの場合家族がウィルスにやられる行為をしてしまっていることもあります。
この対策はウィルスチェックすること、ウィルス対策ソフトを導入することなどです。
次に、もう漏れてしまっている場合でも、最新のSNSだとセキュリティ対策で防ぐことができます。二要素認証で、もうひとつのパスワードを設定するというイメージです。
二要素認証でGoogle認証をする時に気をつけないといけないのは、Google認証アプリに入力する「バックアップコード」を必ずメモしておくことです。これをメモしておかないと、スマホをなくしたり壊れたり、なんらかの理由で突然使えなくなった時にDiscordに入れなくなります。
これは結構なワナなので、みなさんご注意ください。メモしておく以外の対策としては、スマホとPCなどでアカウントを同期しておくと、仮にスマホが壊れてもPCでバックアップコードが確認できることがあります。(できない場合もあるかもしれないので、メモはしておいた方がいいです)
こうして、自分がアカウント乗っ取りされないように、そして、友達がアカウント乗っ取りされている可能性をしっかり見極めてください。特に、DMなどのメッセージに添付されているURLには注意です。
メタマスクで承認(Approve)、署名
次にメタマスクで承認です。メタマスクで詐欺のポップアップが出てくる時点で、詐欺のサイトにすでに誘導されています。これは注意深い人でもついうっかり画像をクリックしちゃったりすることがありますので、ここまでは「防ぎようがない」と考えてください。
問題はそのあとです。詐欺サイトに誘導された後でもギリギリ詐欺を回避することができます。詐欺サイトはメタマスクの認証をさせるか、シードフレーズを聞き出すかをしないとあなたから資産を奪うことはできません。
メタマスクのポップアップの文章は、注意深く読むようにしましょう。「なんかでてきた、なぜだ? まあいいやポチッ」というのは絶対に危険です。
メタマスクを最新版にアップデートすると「SetApprovalForAll」に注意するよう警告がでるようになっています。しかし詐欺師はさらにその上の手を打ってきます。OpenSeaで自分のNFTをリストする際には「SetApprovalForAll」を求められます、これを悪用するということです。だから、特に怪しいサイトでは「SetApprovalForAll」だけに注意するのではなく、すべての承認を疑うようにしてください。
また、OpenSeaの「hidden」「unhide」に対する危険です。これは「承認」ではなく「署名」となっていますが、独自コントラクトの場合だと可能性としては存在します。
ひっかかりがちなワナとして、勝手にNFTが送りつけられてきて、そのNFTにオファーがついていて「あれ、いくらかで売れるじゃん、ラッキー!」となる場合です。
こちらはトランスファーが発生するので本当に危険です。絶対に売らず、触らずの対応が賢明です。たくさんの通報があればそのうちそんなNFTは消されるので、気になるかもしれませんが触らないようにしましょう。
シードフレーズ聞き出し系
最後にシードフレーズ聞き出し系です。
さきほどのSetApprovalForAllでは、そのコレクションだけが盗まれるのですが、シードフレーズを盗まれてしまうと、NFTだけではなくETHなどのトークン、別ブロックチェーンの資産もすべて盗まれてしまうので一番気をつけないといけないところです。
しかしこの防御は単純で、「自分で入力しなければOK」です。
「なぜシードフレーズ入れちゃうの?」
「入れる人はバカなんじゃないの?」
と思ってしまう気持ちはわかります。でも、人間は注意力が不足したり、パニックに陥ると藁にもすがる気持ちになったりで、メタマスクのサポートだと信じてしまったりで、つい他人やプログラムを信用してしまうのです。誰にも起こり得る危機と考えておかないと自分もひっかかるかもしれません。
とにかく、どんな場所でもどんな場面でも、シードフレーズは絶対に入力してはいけないのです。「シードフレーズを聞き出す=詐欺」という認識です。
そして、もう一つ基本的なことですが、シードフレーズは安全な場所に保管することです。
クラウドに保存するのはお勧めできません。1passwordなどのほんとうに信頼できるアプリか、手書きメモかです。あとネットワークにつながっているプリンタで印刷することさえ注意しましょう。
まとめ
というわけで、ほんとうに大事な「気をつけること」でした。
- DM
- メタマスクで承認(Approve)
- シードフレーズを入力
これらには十分注意してください。そしてそもそもコンピュータウィルスが入っていないか、チェックを定期的にしたり対策ソフトを導入したりで対応しましょう。
あと、言ってなかったですが、公衆無線LANはセキュリティがなかったり甘かったりする場合があるので、自分で対策できる場合を除いて、取引には使わないほうが無難です。
今日の内容がみなさんのお役にたてたらうれしいです。
それではまた、DeFi~(@^^)/~~~
