ウェブ3.0モバイルウォレット新型フィッシング攻撃：モーダルウィンドウ詐欺

最近、ウェブ3.0ウォレットを対象とした新しいフィッシング技術がセキュリティ専門家の注目を集めています。この攻撃手法は「モーダルフィッシング攻撃」と呼ばれ、主にモバイルウォレットアプリのモーダルウィンドウを利用してユーザーを誤導します。

攻撃者はモバイルウォレットに偽の情報を送信し、正当な分散型アプリ（DApp）に偽装し、ウォレットのモーダルウィンドウに誤解を招く内容を表示させて、ユーザーに悪意のある取引を承認させるように誘導します。このフィッシング技術は現在、複数のプラットフォームで広く使用されています。

! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃

モーダルフィッシング攻撃の原理

モーダルウィンドウは、モバイルアプリケーションで一般的なユーザーインターフェイス要素であり、通常は取引リクエストなどの重要な情報を表示するために使用されます。ウェブ3.0ウォレットでは、これらのウィンドウが取引の詳細、リクエスト者の身元などの重要な情報を表示し、ユーザーが確認して承認するかどうかを決定するためのものです。

しかし、研究によると、これらのモーダルウィンドウのいくつかのUI要素は攻撃者によって制御される可能性があり、フィッシング攻撃に利用されることがあります。主に2つの脆弱性が存在します：

1. Wallet Connectプロトコルを使用する際、攻撃者はDAppの情報表示を制御することができます。例えば、名称、アイコンなど。
2. 一部のウォレットアプリでは、攻撃者がスマートコントラクト情報の表示を操作できる。

! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃

典型的な攻撃事例

ケース1：Wallet Connectを通じたDAppフィッシング

ウォレットコネクトは、ユーザーのウォレットとDAppを接続するための人気のオープンソースプロトコルです。ペアリングプロセス中に、ウォレットはDAppが提供するメタ情報を表示します。これには、名前、ウェブサイト、アイコンなどが含まれます。しかし、これらの情報は検証されていません。

攻撃者は、これらのメッセージを偽造し、有名なDApps(Uniswapなど)になりすまして、ユーザーを騙して接続させることができます。 接続が確立されると、攻撃者は悪意のあるトランザクションリクエストを送信してユーザーの資金を盗むことができます。

! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃

ケース2：MetaMaskスマートコントラクト情報フィッシング

MetaMaskなどのウォレットは、取引承認画面でスマートコントラクトのメソッド名を表示します。攻撃者は誤解を招く名称のスマートコントラクトメソッド（例："SecurityUpdate"）を登録し、取引リクエストがウォレットの公式なセキュリティ更新からのものであるかのように見せかけることができます。

偽造されたDApp情報を組み合わせることで、攻撃者は非常に欺瞞的な取引要求を作成し、ユーザーに悪意のある操作を承認させることができます。

! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃モーダルフィッシング

予防に関する推奨事項

1. ウォレットの開発者は常に外部から受け取ったデータを信頼できないものと見なし、ユーザーに表示されるすべての情報を検証する必要があります。

2. ウォレットコネクトなどのプロトコルは、DApp情報の検証メカニズムの追加を検討すべきです。

3. ウォレットアプリはフィッシングに使用される可能性のある敏感な単語を監視し、フィルタリングする必要があります。

4. ユーザーは未知の取引リクエストを承認する際に警戒を怠らず、取引情報を慎重に確認するべきです。

5. ウォレット提供者は、モーダルウィンドウなどの重要なUI要素のセキュリティ設計を強化すべきです。

! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃

総じて、ウェブ3.0エコシステムの発展に伴い、ユーザーと開発者は共に進化し続けるネットワークの脅威に対処するために、セキュリティ意識を高める必要があります。すべての取引リクエストに対して、適度な疑念と慎重な姿勢を維持することが重要です。

! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃