ソーシャルエンジニアリング攻撃が暗号資産の安全性を脅かし、Coinbaseのユーザーが主要な被害者となる

近年、社会工学攻撃は暗号資産分野におけるユーザーの資金の安全性に重大な脅威となっています。2025年以来、ある取引プラットフォームのユーザーを対象としたソーシャルエンジニアリング詐欺事件が頻発し、広範な関心を引き起こしています。コミュニティの議論から見て取れるように、この種の事件は個別のケースではなく、持続的かつ組織的な特徴を持つ詐欺のタイプです。

5月15日、ある取引プラットフォームが公告を発表し、プラットフォーム内部に"内鬼"が存在するという以前の推測を確認しました。報道によると、アメリカ司法省はこのデータ漏洩事件に対する調査を開始したとのことです。

この記事では、複数のセキュリティ研究者や被害者から提供された情報を整理し、詐欺者の主な手口を明らかにし、プラットフォームとユーザーの両方の視点から、このような詐欺に効果的に対処する方法について考察します。

履歴分析

ブロックチェーン探偵Zachは5月7日の通信更新で次のように述べました："わずか1週間で、社会工学的詐欺により、ある取引プラットフォームのユーザーから4500万ドル以上が盗まれました。"

過去1年間、Zachはこのプラットフォームのユーザーが盗まれる事件を何度も公表しており、個別の被害者の損失は1,000万ドルを超えることもあります。彼は2025年2月に詳細な調査を発表し、2024年12月から2025年1月の間に、同様の詐欺によって盗まれた資金の総額が6,500万ドルを超えていることを明らかにし、このプラットフォームが深刻な"ソーシャルエンジニアリング詐欺"の危機に直面していることを示しました。この種の攻撃は年間3億ドルの規模でユーザーの資産の安全性を持続的に侵害しています。彼はさらに指摘しました：

• この種の詐欺を主導するグループは主に二つのタイプに分かれます。一つは特定のサークルから来る低級な攻撃者、もう一つはインドに拠点を置くサイバー犯罪組織です；
• 詐欺団体の攻撃対象は主にアメリカのユーザーであり、手口は標準化され、話し方のプロセスは成熟している；
• 実際の損失額は、公開されていない情報である取得不可能なカスタマーサポートのチケットや警察の報告書などが含まれていないため、チェーン上で見える統計よりもはるかに高い可能性があります。

! 暗い森のカスタマーサービス:ソーシャルワーカー詐欺がCoinbaseユーザーを標的にする場合

詐欺の手口

この事件では、プラットフォームの技術システムは攻撃されておらず、詐欺者は内部従業員の権限を利用して、一部のユーザーの敏感情報を取得しました。これらの情報には、名前、住所、連絡先、アカウントデータ、身分証明書の写真などが含まれます。詐欺者の最終的な目的は、ソーシャルエンジニアリング手法を利用してユーザーに送金を促すことです。

このタイプの攻撃方法は、従来の「網を撒く」フィッシング手法を変え、「精密攻撃」に移行し、「テーラーメイド」のソーシャルエンジニアリング詐欺と呼ばれています。典型的な犯行パターンは以下の通りです：

1. "公式カスタマーサービス"の身分でユーザーに連絡する

詐欺師は偽の電話システムを使用してプラットフォームのカスタマーサービスを装い、ユーザーに「アカウントが不正ログインに遭遇した」とか「出金の異常が検出された」と電話をかけ、緊急感を演出します。その後、彼らは偽のフィッシングメールやSMSを送信し、虚偽のチケット番号や「復旧プロセス」のリンクを含めて、ユーザーを操作するように誘導します。これらのリンクは、クローンされたプラットフォームのインターフェースに誘導される可能性があり、さらには公式ドメインからのように見えるメールを送信することもできます。一部のメールは、リダイレクト技術を利用してセキュリティ保護を回避しています。

! 暗い森の「カスタマーサービス」:ソーシャルワーカー詐欺がCoinbaseユーザーを標的にしたとき

2. ユーザーに特定のウォレットをダウンロードするように導く

詐欺師は「資産の安全性」を理由にユーザーを「安全なウォレット」に資金を移動させるよう誘導し、特定のウォレットのインストールを手伝い、プラットフォームに保管されていた資産を新しく作成されたウォレットに移すよう指示します。

3. 詐欺師が提供するニーモニックを使用するようユーザーを誘導する

従来の「フレーズを騙し取る」とは異なり、詐欺師は自ら生成したフレーズのセットを直接提供し、ユーザーに「公式の新しいウォレット」として使用するように誘導します。

4.詐欺師による資金の盗取

被害者は緊張と不安の中で"カスタマーサービス"を信頼しやすく、罠に陥りやすい。彼らにとって、"公式提供"の新しいウォレットは"疑わしく侵入された"古いウォレットよりも安全であると見える。その結果、資金がこの新しいウォレットに転送されると、詐欺師はすぐにそれを移動させることができる。"あなたが管理しないものはあなたのものでない"という理念が再び血なまぐさい形で証明された。

さらに、一部のフィッシングメールは「集団訴訟の判決により、プラットフォームは完全に自己管理ウォレットに移行します」と主張し、ユーザーに4月1日までに資産の移行を完了するよう求めています。ユーザーは切迫した時間的プレッシャーと「公式の指示」という心理的暗示のもとで、操作に協力しやすくなります。

安全研究者によると、これらの攻撃はしばしば組織的に計画され、実施される。

• 詐欺ツールチェーンの整備：詐欺師は特定のシステムを使用して、発信者番号を偽造し、公式カスタマーサポートの電話を模倣します。フィッシングメールを送信する際には、ソーシャルプラットフォーム上のボットを利用して公式メールアドレスを偽装し、「アカウント復旧ガイド」を添付して送金を誘導します。
• 目標を正確に：詐欺師は、通信チャネルや暗号化されたダークウェブから購入した盗まれたユーザーデータを依存し、米国のユーザーを主要なターゲットとして特定し、さらにはAIを利用して盗まれたデータを処理し、電話番号を分割・再構成し、バッチでテキストファイルを生成し、爆破ソフトを通じてSMS詐欺を送信します。
• 誘導プロセスの一貫性：電話、SMS、メールの流れが通常シームレスで、一般的なフィッシングの表現には「アカウントに出金リクエストが届きました」、「パスワードがリセットされました」、「アカウントに異常なログインがあります」などが含まれ、被害者を「安全確認」へと持続的に誘導して、最終的にウォレットの移転を完了させます。

! 暗い森のカスタマーサービス:ソーシャルワーカー詐欺がCoinbaseユーザーを標的にしたとき

オンチェーン分析

私たちは一部の詐欺者のアドレスを分析し、これらの詐欺者が強力なオンチェーン操作能力を持っていることを発見しました。以下は重要な情報です：

詐欺師の攻撃対象は、ユーザーが保有するさまざまな資産に及び、これらのアドレスの活発な時間は2024年12月から2025年5月に集中しています。ターゲット資産は主にBTCとETHです。BTCは現在最も主要な詐欺対象であり、複数のアドレスが一度に得る利益の金額は数百枚のBTCに達し、単一の取引価値は数百万ドルです。

資金を取得した後、詐欺師は迅速に一連の洗浄プロセスを利用して資産の交換と移転を行います。主なパターンは以下の通りです：

• ETH類資産は通常、あるDEXを通じてDAIやUSDTに迅速に交換され、その後、複数の新しいアドレスに分散移転され、一部の資産は中央集権型取引所に入ります；

• BTCは主にクロスチェーンブリッジを介してイーサリアムにクロスチェーンされ、その後DAIまたはUSDTに交換され、追跡リスクを回避します。

複数の詐欺アドレスはDAIまたはUSDTを受け取った後も"静置"状態にあり、まだ転送されていません。

疑わしいアドレスとの相互作用を避けるために、資産が凍結されるリスクに直面しないように、ユーザーは取引前にターゲットアドレスのリスク検査を行い、潜在的な脅威を効果的に回避することをお勧めします。

! 暗い森の「カスタマーサービス」:ソーシャルワーカー詐欺がCoinbaseユーザーを狙うとき

対策

プラットフォーム

現在の主流な安全手段は主に"技術レベル"の保護ですが、ソーシャルエンジニアリング詐欺はしばしばこれらのメカニズムを回避し、ユーザーの心理や行動の脆弱性を直接攻撃します。したがって、プラットフォームはユーザー教育、安全訓練、ユーザビリティデザインを統合し、"人に向けた"安全防線を確立することをお勧めします。

• 定期的に詐欺防止教育コンテンツを配信：アプリのポップアップ、取引確認画面、メールなどを通じてユーザーのフィッシング防止能力を向上させる；
• リスク管理モデルを最適化し、「インタラクティブ異常行動識別」を導入：大多数のソーシャルエンジニアリング詐欺は、短期間にユーザーに一連の操作（送金、ホワイトリスト変更、デバイスバインドなど）を誘導します。プラットフォームは、行動チェーンモデルに基づいて疑わしいインタラクションの組み合わせ（「頻繁なインタラクション + 新しいアドレス + 大額の引き出し」など）を識別し、クールダウン期間または手動レビュー機構をトリガーする必要があります。
• カスタマーサービスのチャネルと検証メカニズムを規定する：詐欺師はしばしばカスタマーサービスを装ってユーザーを惑わせるため、プラットフォームは電話、SMS、メールテンプレートを統一し、"カスタマーサービス検証入口"を提供し、唯一の公式コミュニケーションチャネルを明確にし、混乱を避けるべきである。

! 暗い森の「カスタマーサービス」:ソーシャルワーカー詐欺がCoinbaseユーザーを標的にしたとき

ユーザー

• 身分隔離ポリシーの実施：複数のプラットフォームで同じメールアドレスや電話番号を共有することを避け、連帯リスクを低減します。漏洩確認ツールを使用して、定期的にメールアドレスが漏洩していないか確認できます。

• 転送ホワイトリストと出金クールダウンメカニズムを有効化：信頼できるアドレスを事前設定し、緊急時の資金流出リスクを低減します。

• セキュリティ情報を継続的にチェック：セキュリティ会社、メディア、取引プラットフォームなどのチャネルを通じて、攻撃手法の最新動向を把握し、警戒を保つことが重要です。現在、複数のセキュリティ機関が開発したWeb3フィッシング訓練プラットフォームがまもなくローンチされる予定であり、このプラットフォームは、ソーシャルエンジニアリングフィッシング、署名フィッシング、悪意のある契約インタラクションなど、さまざまな典型的なフィッシング手法をシミュレーションし、過去の事例を組み合わせて、シナリオ内容を継続的に更新します。ユーザーがリスクのない環境で識別能力と対処能力を向上させることができます。

• オフラインリスクとプライバシー保護に注意：個人情報の漏洩は人身の安全問題を引き起こす可能性があります。

これは杞人の憂えではなく、今年に入ってから、暗号化関連の従事者やユーザーは多くの人身安全に関する脅威に直面しています。今回流出したデータには、名前、住所、連絡先、アカウントデータ、身分証明書の写真などが含まれているため、関連するユーザーはオフラインでも警戒を強め、安全に注意する必要があります。

要するに、疑念を持ち続け、継続的に検証することです。緊急の操作に関わる場合は、必ず相手に身分証明を求め、公式の手段を通じて独立して確認し、プレッシャーの下で取り返しのつかない決定を下すのを避けてください。

! 暗い森の「カスタマーサービス」:ソーシャルワーカー詐欺がCoinbaseユーザーを標的にしたとき

まとめ

本事件は、成熟しつつあるソーシャルエンジニアリング攻撃手法に直面した際、業界が顧客データと資産の保護において依然として明らかな短所を抱えていることを再び露呈しました。警戒すべきは、プラットフォームの関連職務に資金権限がない場合でも、十分な安全意識と能力が欠如していると、意図せず情報を漏洩したり、反転されることで深刻な結果を招く可能性があることです。プラットフォームの規模が拡大するにつれて、人的安全管理の複雑さも増し、業界で最も克服が難しいリスクの一つとなっています。したがって、プラットフォームはチェーン上の安全メカニズムを強化する一方で、内部スタッフと外部サービスをカバーする"ソーシャルエンジニアリング防御システム"を体系的に構築し、人為的リスクを全体的な安全戦略に組み込む必要があります。

さらに、攻撃が孤立した事件ではなく、組織化され、規模のある継続的な脅威であると判明した場合、プラットフォームは直ちに対応し、潜在的な脆弱性を積極的に調査し、ユーザーに警告し、損害の範囲を制御する必要があります。技術と組織の両面での二重対応があってこそ、ますます複雑化する安全環境の中で、真に信頼と限界を守ることができます。

! 暗い森のカスタマーサービス:ソーシャルワーカー詐欺がCoinbaseユーザーを標的にしたとき