ソーシャルエンジニアリング攻撃が暗号資産の安全性に対する重大な脅威となる

近年、暗号化通貨ユーザーを対象としたソーシャルエンジニアリング攻撃がますます横行しており、資産の安全性に深刻な脅威をもたらしています。2025年以降、ある有名な取引プラットフォームのユーザーを対象としたソーシャルエンジニアリング詐欺事件が頻発し、業界で広く注目されています。コミュニティの議論から見ると、この種の事件は単なる個別のケースではなく、組織的で持続的な詐欺の一形態です。

5月15日、この取引プラットフォームは公告を発表し、プラットフォームに"内部の人間"が存在するという以前の推測を確認しました。アメリカ司法省はこのデータ漏洩事件に対して調査を開始しました。

本稿では、複数のセキュリティ研究者と被害者から提供された情報を整理し、詐欺師の主要な手口を明らかにし、プラットフォームとユーザーの2つの観点から、このような詐欺に効果的に対処する方法について検討します。

! 暗い森のカスタマーサービス:ソーシャルワーカー詐欺がCoinbaseユーザーを標的にする場合

履歴分析

オンチェーン探偵Zachは5月7日のソーシャルプラットフォームの更新で次のように述べました:"たった一週間で、社会工学詐欺により、ある取引プラットフォームのユーザーから4,500万ドル以上が盗まれました"。

過去一年で、Zachはこのプラットフォームのユーザーが盗まれた事件を何度も公表しており、個々の被害者は数千万ドルを失っています。彼が2025年2月に発表した詳細な調査によれば、2024年12月から2025年1月の間に、同様の詐欺によって盗まれた資金の総額は既に6,500万ドルを超えています。このプラットフォームは深刻な"ソーシャルエンジニアリング詐欺"の危機に直面しており、この種の攻撃は年平均3億ドルの規模でユーザーの資産の安全性を持続的に侵害しています。Zachはさらに指摘しました：

• この種の詐欺を主導するグループは主に二つのタイプに分かれます。一つは特定のグループからの低級攻撃者で、もう一つはインドに拠点を置くサイバー犯罪組織です；
• 詐欺団の攻撃対象は主にアメリカのユーザーで、手口は標準化されており、話し方のプロセスは成熟しています；
• 実際の損失額は、公開されていない情報であるカスタマーサポートのチケットや警察への通報記録などを含まないため、オンチェーンで見える統計よりもはるかに高い可能性があります。

! 暗い森の「カスタマーサービス」:ソーシャルワーカー詐欺がCoinbaseユーザーを標的にしたとき

詐欺の手口

この事件では、プラットフォームの技術システムは侵害されておらず、詐欺師は内部社員の権限を利用して、一部のユーザーの敏感情報を取得しました。これらの情報には、名前、住所、連絡先、アカウントデータ、身分証明書の写真などが含まれます。詐欺師の最終的な目的は、ソーシャルエンジニアリング手法を使用してユーザーに送金させることです。

この種の攻撃手段は従来の「撒網式」フィッシング手法を変え、「精密打撃」へと移行し、まさに「オーダーメイド」のソーシャルエンジニアリング詐欺といえます。典型的な犯行の流れは以下の通りです：

1. "公式カスタマーサービス"としてユーザーに連絡する

詐欺師は偽造電話システムを使用してプラットフォームのカスタマーサービスを装い、ユーザーに対して「アカウントが不正ログインされました」や「出金に異常が検出されました」と電話をかけ、緊急感を演出します。彼らはその後、偽のチケット番号や「復旧プロセス」リンクを含むフィッシングメールやSMSを送信し、ユーザーに操作を促します。これらのリンクはクローンされたプラットフォームのインターフェースを指している可能性があり、公式ドメインからのように見えるメールを送信することもできます。一部のメールはリダイレクト技術を利用してセキュリティ保護を回避しています。

! 暗い森のカスタマーサービス:ソーシャルワーカー詐欺がCoinbaseユーザーを標的にしたとき

2. ユーザーに公式ウォレットをダウンロードするように案内する

詐欺師は「資産の安全性」を理由に、ユーザーに資金を「安全なウォレット」に移すように誘導し、公式ウォレットのインストールを手伝い、プラットフォーム上で管理されていた資産を新しく作成されたウォレットに移すように指示します。

3. 詐欺師が提供するニーモニックを使用するようユーザーを誘導する

従来の「助記詞をだまし取る」とは異なり、詐欺師は自分たちが生成した一組の助記詞を直接提供し、ユーザーに「公式の新しいウォレット」として使用するように誘導します。

4. 詐欺師による資金の盗取

被害者は緊張し、不安を抱き、"カスタマーサービス"を信頼している状態で、罠に陥りやすい。彼らにとって、"公式提供"の新しいウォレットは、"侵入の疑いのある"古いウォレットよりも安全であるに違いない。結果として、一旦資金がこの新しいウォレットに移されると、詐欺師はすぐにそれを移動できる。"あなたが制御できない鍵は、あなたが所有していないコイン"——社会工学的攻撃において、この概念は再び血なまぐさい形で証明された。

さらに、一部のフィッシングメールは「集団訴訟の裁定により、プラットフォームは全面的に自己管理ウォレットに移行します」と主張し、ユーザーに特定の日付までに資産の移行を完了するよう要求しています。ユーザーは緊急の時間的プレッシャーと「公式の指示」の心理的暗示の下で、操作に協力しやすくなります。

安全研究者によると、これらの攻撃はしばしば組織的に計画され、実施される。

• 詐欺ツールチェーンの完備：詐欺師はPBXシステムを使用して、発信者番号を偽装し、公式のカスタマーサービスの電話を模倣します。フィッシングメールを送信する際には、ソーシャルプラットフォーム上のボットを利用して公式のメールアドレスを偽装し、「アカウント回復ガイド」を添付して送金を誘導します。
• 目標の明確化：詐欺師は、ソーシャルプラットフォームのチャネルや暗網で購入した盗まれたユーザーデータを利用して、米国のユーザーを主要なターゲットにし、さらにはAIを利用して盗まれたデータを処理し、電話番号を分割して再構成し、バッチでTXTファイルを生成し、さらにはブルートフォースソフトウェアを通じてSMS詐欺を送信します。
• 誘導プロセスが一貫している：電話、SMSからメールまで、詐欺の道筋は通常シームレスで、一部のフィッシング表現には「アカウントに出金リクエストが届きました」、「パスワードがリセットされました」、「アカウントに異常なログインがありました」などが含まれ、被害者に「安全確認」を行わせるように誘導し続け、最終的にウォレットの移転を完了させます。

! 暗い森の「カスタマーサービス」:ソーシャルワーカー詐欺がCoinbaseユーザーを狙うとき

オンチェーン分析

チェーン上のマネーロンダリングおよび追跡システムを通じて、一部の詐欺師のアドレスを分析したところ、これらの詐欺師は強力なチェーン上の操作能力を持っていることがわかりました。以下は重要な情報のいくつかです：

詐欺師の攻撃対象は、ユーザーが保有するさまざまな資産に広がっており、これらのアドレスの活発な期間は2024年12月から2025年5月の間に集中しています。目標資産は主にBTCとETHです。BTCは現在最も主要な詐欺のターゲットであり、複数のアドレスが一度に数百枚のBTCを得ることができ、単一の取引の価値は数百万ドルに達します。

資金取得後、詐欺師は迅速に一連の洗浄プロセスを利用して資産を交換および移転し、主なパターンは以下の通りです：

• ETH類資産は、特定のDEXを通じてDAIまたはUSDTに迅速に交換され、その後、複数の新しいアドレスに分散して移転され、一部の資産は中央集権型取引所に入る。
• BTCは主にクロスチェーンプロトコルを通じてイーサリアムにクロスチェーンされ、DAIまたはUSDTに交換されて追跡リスクを回避します。

複数の詐欺アドレスはDAIまたはUSDTを受け取った後も"静置"状態にあり、まだ転送されていません。

自分のアドレスが疑わしいアドレスと相互作用し、資産が凍結されるリスクに直面しないようにするため、ユーザーは取引前にチェーン上のマネーロンダリングおよび追跡システムを使用して対象アドレスのリスク検出を行い、潜在的な脅威を効果的に回避することをお勧めします。

! 暗い森の「カスタマーサービス」:ソーシャルワーカー詐欺がCoinbaseユーザーを標的にしたとき

対策

プラットフォーム

現在の主流の安全手段は主に"技術的な"防護ですが、ソーシャルエンジニアリング詐欺はしばしばこれらのメカニズムを回避し、ユーザーの心理や行動の隙間を直接攻撃します。したがって、プラットフォームにはユーザー教育、安全トレーニング、ユーザビリティデザインを統合し、"人を対象とした"安全防線を構築することをお勧めします。

• 定期的に詐欺防止教育コンテンツを配信：Appのポップアップ、取引確認画面、メールなどを通じてユーザーのフィッシング対策能力を向上させる；
• リスク管理モデルを最適化し、「インタラクティブ異常行動識別」を導入：ほとんどのソーシャルエンジニアリング詐欺は、短期間にユーザーに一連の操作（送金、ホワイトリストの変更、デバイスのバインディングなど）を行わせることを誘導します。プラットフォームは、行動チェーンモデルに基づいて疑わしいインタラクションの組み合わせ（「頻繁なインタラクション + 新しいアドレス + 大口引き出し」など）を識別し、クールダウン期間または人工レビュー機構をトリガーする必要があります。
• カスタマーサービスのチャネルと検証メカニズムの規範化：詐欺師はしばしばカスタマーサービスを装ってユーザーを混乱させます。プラットフォームは電話、SMS、メールのテンプレートを統一し、"カスタマーサービス検証入口"を提供し、唯一の公式コミュニケーションチャネルを明確にし、混乱を避けるべきです。

! 暗い森の「カスタマーサービス」:ソーシャルワーカー詐欺がCoinbaseユーザーを標的にしたとき

ユーザー

• 身分隔離ポリシーの実施：複数のプラットフォームで同じメールアドレスや電話番号を共有しないことで、連帯リスクを低減し、漏洩確認ツールを使用して定期的にメールアドレスが漏洩していないか確認できます。
• 転送ホワイトリストと出金クールダウンメカニズムを有効化：信頼できるアドレスを事前設定し、緊急時の資金流出リスクを低減します。
• セキュリティ情報を継続的にチェックする：セキュリティ会社、メディア、取引プラットフォームなどのチャンネルを通じて、攻撃手法の最新動向を把握し、警戒を怠らないこと。現在、一部のセキュリティ機関が開発したWeb3フィッシング演習プラットフォームが間もなくオンラインになる予定であり、このプラットフォームは、ソーシャルエンジニアリング、署名フィッシング、悪意のある契約の相互作用など、さまざまな典型的なフィッシング手法をシミュレートし、歴史的な議論で収集された実際のケースを組み合わせて、シナリオの内容を継続的に更新します。ユーザーがリスクのない環境で識別能力と対応能力を向上させることができます。
• オフラインのリスクとプライバシー保護に注意：個人情報の漏洩は人身の安全問題を引き起こす可能性もあります。

今年以来、暗号化の業界従事者/ユーザーは多くの人身安全に関する脅威に直面しています。今回漏洩したデータには、名前、住所、連絡先、アカウントデータ、身分証明書の写真などが含まれているため、関連ユーザーはオフラインでも警戒を強め、安全に注意する必要があります。

要するに、疑いを持ち続け、継続的に検証することです。緊急操作に関わる場合は、必ず相手に身分証明を求め、公式なチャネルを通じて独立して確認し、プレッシャーの下で取り返しのつかない決定を下すことを避けてください。

! 暗い森のカスタマーサービス:ソーシャルワーカー詐欺がCoinbaseユーザーを標的にしたとき

まとめ

今回の事件は、ますます成熟するソーシャルエンジニアリング攻撃手法に直面して、業界が顧客データと資産の保護において依然として明らかな短所があることを再び明らかにしました。警戒すべきは、プラットフォームの関連ポジションが資金権限を持っていなくても、十分な安全意識と能力が欠如しているため、意図せずに情報を漏洩したり、そそのかされることによって深刻な結果を引き起こす可能性があるということです。プラットフォームの規模が拡大し続ける中で、従業員の安全管理の複雑さも増しており、業界で最も難しいリスクの一つとなっています。したがって、プラットフォームはチェーン上の安全メカニズムを強化するだけでなく、内部スタッフと外部サービスをカバーする"ソーシャルエンジニアリング防御システム"を体系的に構築し、人為的リスクを全体の安全戦略に組み込む必要があります。

さらに、攻撃が孤立した事件ではなく、組織的かつ大規模な継続的な脅威であることが判明した場合、プラットフォームは即座に対応し、潜在的な脆弱性を積極的に調査し、ユーザーに警告し、損害の範囲を制御する必要があります。技術的および組織的な両面からの対応があってこそ、ますます複雑化する安全環境の中で、信頼と底線を守ることができるのです。

! 暗い森のカスタマーサービス:ソーシャルワーカー詐欺がCoinbaseユーザーを標的にしたとき