【メタマスクでハッキンングされた時の対処法】原因・実例

今回は、メタマスクのウォレットで仮想通貨がハッキングされた時の対処法について、実例を元に解説します。

私のメタマスク
ハッキングされた可能性がある。

ウォレットの仮想通貨がBNB・BCOIN共に0になっていて
メタマスク上の履歴は更新されていないけど、
BSCスキャンでは3日前に身に覚えのない出金履歴がある。
送付先は見たことないアドレス。

本日これについて調査し、トレザーを検討する。 pic.twitter.com/02ExVmSHtu
— Miori (@mioriescom) January 29, 2022

心当たりは、
ちょうど3日前頃、BOMB CRYPTOログイン時に
Google上にメタマスクのシークレットリカバリーフレーズを問われて答えた。

それが詐欺だった可能性がある。
そう思うと、ログインの絶妙なタイミングでシークレットリカバリーフレーズが出てくるため、かなり巧妙。
皆様もお気をつけください
— Miori (@mioriescom) January 29, 2022

メタマスク上でハッキングされた実際の例
1. BSCでの被害
2. イーサリアムメインネットワークでの被害
原因
対策
1. 追記(最終的な対策)
別事例
1. 別事例での解決策

メタマスク上でハッキングされた実際の例

BSCでの被害

メタマスク（MetaMask）の「Binance Smart Chain Main Network」（バイナンススマートチェーンメインネットワーク）上にある仮想通貨が、0になっていました。

元々は、当時の日本円で約500円分のBNBと、1BCOINが入っていました。

それが、両方とも0になっていました。

上の画像のメタマスクでのアクティビティの履歴は更新されていませんでしたが、下の画像のBSCスキャンにて判明しました。

イーサリアムメインネットワークでの被害

「Ethreum Main Network」（イーサリアムメインネットワーク）の方は、0.0113RTH（日本円で約3,390円）抜かれていました。

イーサリアムメインネットワークの方も、アクティビティには履歴はありませんでしたが、Ethreum scan（イーサリアムスキャン）の方で、送った履歴が確認できました。

一番上に貼ってあるツイート時には、イーサリアムの送付には気づいていませんでしたが、イーサリアムスキャンを確認すると出てきました。

つまり、被害総額は4,120円でした。

原因

今回はのハッキングは、うっすら心当たりがありました。

ちょうどハッキングされた3日前（2022年2月27日頃）、BOMB CRYOTOというNFTのゲーム（詳細→【 BOMB CRYPTO 】始め方・まとめ）にログイン時、

メタマスクのシークレットリカバリーフレーズを問われたことがありました。

ボムクリプトがちょうどメンテナンスでログインできず、キャッシュの消去なども試していたため、その履歴消去によりシークレットリカバリーフレーズを問われたのだと思い込み、入力してしまいました。

今考えると、それが原因なのではないかと思われます。

また、シークレットリカバリーフレーズの入力が、絶妙なタイミングで、かつあたかも正規のメタマスクかのように出てくるため、注意が必要です。

※私のように、どれだけキャッシュや履歴をクリアしたとしても、シークレットリカバリーフレーズは入力しないようにしましょう。

また、メタマスクは2段階認証もないため、ハッキングの被害にあいやすいとのことでした。

対策

メタマスクのシークレットリカバリーフレーズは、変更することができません。

そのため、シークレットリカバリーフレーズを知られてしまった場合は、ウォレットを新たに作成しなければなりません。（でないと永久にハッキングされることになってしまいます。）

また、今後はトレザーなどのオフラインの機械（送金時にオフラインでボタンを押さないと送金できない仕組みになっている機械）を購入して、ハッキング対策することに致しました。

詳細→【コールドウォレットとは】メリット・デメリットを踏まえて分かりやすく解説・【トレザーとは】コールドウォレットの1つ

追記(最終的な対策)

トレザー検討中に、以下の疑問が発生しました。

実際にハッカーはPancakeSwapにてスワップしている履歴があったし、
スピードと流れからしても相当仮想通貨界に詳しいし慣れていると感じました。

BNBやETH等の主要通貨をハードウォレットにより封鎖したとしても、
対応外のマイナーコインは通知すら来ずに通ってしまうのではないか？と疑問に思った
— Miori (@mioriescom) February 10, 2022

この通り、ハッカーは私たちと同様、メタマスクとPancakeswapを繋げることができるため、トレザー対応以外のマイナーコインにスワップされたらトレザーを使用していても送金されてしまう可能性があるなと考えました。

そのため今回はトレザー導入をやめることにいたしました。

トレザーはパンケーキスワップなどと繋げることができないウォレットや仮想通貨取引所であれば有用ですが、スワップできてしまうとトレザーで捕手できる仮想通貨が限られているためリスクだと考えました。

そのため、今回のハッキングに対する最終的な対策は以下にしました。

私はこのメタマスクアカウントにボムクリプトしか繋げていなかったので、
・メタマスクの資金を一回全部仮想通貨取引所へ避難
・一応ぽちぽちクリックするけど40BCOIN貯まったらハッカーより先に利確して仮想通貨取引所へ送金
としてますよ☺️🏦

そして、
— Miori (@mioriescom) February 27, 2022

ハッカーは2週間に1回くらいはハッキング成功した履歴のメタマスクに入金されたか確認しているとわかったため、ハッカーより先に移動しています。

また、ハッキングされたメタマスクを「Danger」という名前に変更し、どのアプリにもつなげないようにしています。

現在では新しいGoogleアカウントの新しいメタマスクを使用しています。

皆様もどうかお気をつけくださいませ。

その他にも、フィッシング詐欺の例ではApprove（承認）をクリックしただけで資金を抜かれるというパターンも続出しています。詳細→【ウォレット内の仮想通貨が消えた時の対策】パターン・原因についても解説／ハッキング・フィッシング詐欺

他のハッキング事例→【ウォレットに知らない仮想通貨が入っていた時の対処法】ハッキング・フィッシング詐欺

フリーアカウント作成 | Binance

バイナンスにアカウントを登録

別事例

このような内容の相談をいただきました。

メタマスクにてフィッシング詐欺もしくはハッキングされた状態でのご相談です。

資金移動され、ガス代を支払えない状態での内容です。

別事例での解決策

このご相談に対し、下記の解決策を提案させていただきました。

乗っ取られてしまった場合は、シークレットフレーズまでのどこまでの乗っ取りかは分かりかねますが、別のウォレットに保存する方が安全かと思われます。

ハッカーは定期的にそのウォレットをチェックしていると思うので、ガス代だけ振り込んですぐに全額移すという方法をとらないとこのまま抜かれ続けてしまうと考えられます（><）

(実際に私がそうでした)

その瞬時の移動時にガス代をまた取られる可能性もありますが、ハッカーは1度乗っ取ると、そのウォレットの全て(ETHチェーンからBNBチェーンまで)引き出せる可能性があるので、やはりウォレットの再作成が安全かと思われます。

フィッシング詐欺の方なのかどうもれたかによっても異なると思いますが、ハッカーは凄腕集団なのであらゆる手段で資金移動させてくると考えられます。

また、トレザー関しては、種類によっても対応通貨が決まっているため、その種類の仮想通貨のみの対応になります。そのため対応通貨はどレザー等により管理できますが、対応通貨以外に関しては私は守れるのか不安なので、ウォレットの再作成が再安全だと考えております。

つまり

フィッシング詐欺・ハッキングなど、ハッカーがどこまで知っているのかにもよりますが、ウォレットを再作成した方が良いと考えられます。

その後のご返答

ご返信ありがとうございます。12個のシークレットフレーズは外部に漏れないように保管しているのですが、漏れている可能性もあるかもしれませんね。僕の場合、ETHもBNBもやられてしまっています。

ウォレットの再作成は先ほどしたので、とにかくまずはETHを安全に保管しトレザーの対応外の通貨（TokenのClaim後の作業ですが）を避難させようと考えています。トレザーとFlashbotsを組み合わせていけるかトレザーが届き次第トライしてみます。MetamaskのSupportは期待しない方がいいですよね？

そうなんですね（><）

メタマスクの対応は毎回どの方でも同様に

①「ウォレット再作成」を勧めてくる

②そのアカウントがもし、中央集権型(バイナンス等の本人確認できら仮想通貨取引所)の口座に資金移動させていたらそのアカウントを通報するという方法を勧めてくるようです。

(私の時もそうでしたし、他の方々もそのように回答されているのをお見受けしました)

ですが、現在は対応している可能性もございますし念の為聞いてみるのは方法として1つあるかと思われます。