ウォレット認証詐欺の手口と対策|承認ボタン一つで資産が消える仕組みを知る
公開日:
※当サイトはアフィリエイトプログラムを利用しています。
2025年、Bybitで約1,700億円が流出。2024年、DMM Bitcoinで約482億円が消失。
どれほど堅牢なシステムを築いても、最後に狙われるのは、操作する人の脆弱性です。
「ただの確認ボタン」だと思って押したあなたのその指が、ウォレットを空にする引き金になる。
そんなウォレット認証詐欺が、現在進行形で猛威を振るっています。
この記事では、承認ボタン一つで資産を失うウォレット認証詐欺手口と、あなたの資産を守るためにはどうすればいいのかを解説。
この記事に出てくる用語集
Web3の言葉は独特です。まず言葉の意味を押さえておくと、手口の理解が早くなりますよ。
- ウォレット
- 暗号資産を管理するデジタル財布。MetaMaskが代表的。
銀行口座と決定的に違うのは、管理するのは自分だけで、銀行のような「運営者」が存在しないという点。
つまり盗まれても「銀行に連絡して止める」といった対処ができないのです。 - シードフレーズ(リカバリーフレーズ)
- ウォレットを復元するための12〜24個の英単語の並び。
あなたのシードフレーズを知っている人は、どんな端末からでもあなたのウォレットに完全にアクセスできます。
絶対に誰にも教えてはいけない情報であり、正規のサービスが入力を求めることはありません。 - スマートコントラクト
- ブロックチェーン上で自動的に動くプログラム。
「条件Aが満たされたら資産Bを移動する」という処理を、人の手を介さず自動で実行する仕組みになっています。
便利な技術である反面、悪意あるスマートコントラクトに許可を与えると、自動で資産を奪われるということに。 - 承認(Approve)
- スマートコントラクトに「私のトークンを操作してよい」と許可を与える操作。
DeFiやNFTの売買では必要な操作ですが、詐欺師はこの許可を悪用してウォレットを空にします。
MetaMaskなどに確認画面が出ますが、内容を読まずに承認する人が多く、それが被害の入口になっています。 - 署名(Sign)
- 「この操作に同意します」という意思表示。ウォレットでの署名は、契約書にサインするのと同じ意味を持ちます。
Permit署名のように、署名するだけで資産移動の権限を渡してしまう仕組みもあります。 - Wallet Drainer(ウォレットドレイナー)
- 「drainer=排水」という文字通り、ウォレット内の資産を根こそぎ抜き取るよう設計された悪意あるスマートコントラクト。
承認ボタンを押した瞬間に発動し、数秒でウォレットが空になります。
闇市場で販売・貸し出しされていて、技術知識のない詐欺師でも使えるんですね。 - dApp(分散型アプリケーション)
- ブロックチェーン上で動くアプリ。ウォレットを接続して使います。
DeFi(分散型金融)やNFTマーケットプレイスが代表例。
偽のdAppサイトに誘導され、ウォレット接続と同時に資産を抜き取られる手口が多発しています。 - ガス代
- ブロックチェーン上の取引を処理するための手数料。
通常の承認操作にはガス代がかかりますが、Permit署名はガス代がゼロで完結するため、「何もしていないのに消えた」という被害が起きやすい特徴があります。
ウォレット認証詐欺とは?
ウォレット認証詐欺とは、正規の操作画面に見せかけた承認・署名を被害者に実行させ、ウォレット内の資産を自動的に奪い取る詐欺です。
フィッシング詐欺は「偽サイトに個人情報を入力させる」手口。
ウォレット認証詐欺はそれと似ていますが、奪われるのはパスワードではなく「資産を動かす権限」そのものです。
パスワードは盗まれても、すぐに変更すれば被害を止められます。
しかしウォレット認証詐欺は、承認の瞬間にスマートコントラクトが自動で動き、気づいたときには資産の移動が完了。
ブロックチェーン上の取引は原則として取り消せません。
| 比較項目 | 一般的なフィッシング詐欺 | ウォレット認証詐欺 |
|---|---|---|
| 奪われるもの | ID・パスワード・クレジットカード情報 | 資産を動かす「承認権限」 |
| 被害発生のタイミング | 情報を盗まれた後、攻撃者が手動で悪用 | 承認の瞬間、スマートコントラクトが自動で資産を移動 |
| 被害の速さ | 数時間〜数日 | 数秒 |
| 被害の取り消し | 条件により可能(カード会社・銀行への連絡等) | ほぼ不可能 |
| 被害者の操作 | 偽フォームに情報を入力する | 正規に見える承認画面でOKを押す |
「自分でOKを押したのだから自己責任」だと言われてしまいかねない手口です。
だからこそ、押す前に確認する習慣が唯一の防衛になるのです。
ウォレット認証詐欺手口4パターン
「Approve(承認)」と「Transfer(送金)」の違いを簡単に解説しますね。
Transfer(送金)はあなた自身が「10 ETHを、コントラクトAのアドレスへ送る」という指示を出し、実行。
資産はウォレットから直接移動します。
Approve(承認)は「コントラクトBが、私のETHを動かして良い(承認)」という許可だけを与えます。
資産は移動しませんが、コントラクトBは「鍵(権限)」を手に入れます。
その後、コントラクトBは好きなタイミングで資産を移動できます。
Approve詐欺(ERC-20トークン無制限承認)
ERC-20とは、イーサリアムブロックチェーン上で使われるトークンの規格。
USDT(テザー)やUSDC、各種DeFiトークンのほとんどがこの規格に基づいています。
このトークンをDeFiやNFTマーケットで使うには、スマートコントラクトに「私のトークンを操作してよい」という承認(Approve)を与える必要があります。
これ自体は正規の仕組み。
問題は「どれだけの量を承認するか」。
正規のサービスは必要な量だけを承認するよう設計されていますが、詐欺師が用意した偽のdAppは、MetaMaskの承認画面に「無制限(Unlimited)」の操作権限を要求します。
あなたがOKを押した瞬間、そのスマートコントラクトはあなたのウォレット内の該当トークンをいつでも・いくらでも移動できる状態に。
実際の引き出しはその後すぐに、あるいは時間差で行われます。
MetaMaskの承認画面で確認すべきこと
承認画面に「Unlimited」「∞」「最大値」などの表示があったら要注意!
MetaMaskには承認量を手動で制限する機能があります。見知らぬサイトで無制限承認を求められたら、即座に拒否しましょう。
Permit署名詐欺(オフチェーン署名悪用)
Approve詐欺の「進化版」とも言える手口です。
2024〜2025年にかけて急増し、現在は大規模フィッシング被害の主な原因の一つに。
通常のApprove操作はブロックチェーン上に記録され、ガス代(取引手数料)が発生しますが、Permit署名はその点が根本的に違います。
Permitはオフチェーン(ブロックチェーンの外)で完結するので、ガス代がゼロ、ブロックチェーン上への記録もなし。
MetaMaskに表示される画面は「署名のリクエスト」というシンプルな確認だけです。
「署名しただけ」「何もした覚えがない」という感覚が生まれやすく、「なぜトークンが消えたかわからない」という被害報告の多くが、このPermit署名に起因しています。
2025年のデータでは、100万ドルを超える大規模フィッシング被害の38%がPermit系署名に起因。
1件で約10億円相当を失った事例も報告されています。
Permit署名の見分け方
MetaMaskのポップアップに「Permit」「DAI_PERMIT」「ALLOWANCE」といった文字が含まれていたら要注意。
正規のサービスがPermit署名を求める場面もありますが、見知らぬサイトでこれが出たら即座に拒否してください。
偽のウォレット接続UI・フィッシングdApp
本物そっくりに作られた偽のdAppサイトに誘導し、ウォレット接続と同時に悪意ある承認を実行させる手口です。
誘導経路はさまざま。
- ☝️DiscordやエックスのDMで「限定ミント開始」「エアドロップ受け取り」と案内される
- ☝️Googleで「OpenSea ログイン」などと検索した際、広告枠に偽サイトが表示される
- ☝️SNSのインフルエンサーアカウントが乗っ取られ、フォロワーに偽サイトのリンクが拡散される
偽サイトに到着すると、画面には「ウォレットを接続してください」というボタンが表示され、MetaMaskの画面が開くと接続を承認するよう求められます。
ここまでは正規のdAppと見分けがつきません。
しかし接続の裏では、資産移動の権限を渡す承認リクエストが同時に実行されています。
「ウォレットを接続する操作」と「資産を差し出す承認」が、同じ画面で行われているわけ。
MetaMaskの画面をよく読まないと、この違いに気付けません。
確認のポイント
MetaMaskの接続画面には「接続のみ」と「承認を含む操作」の2種類があります。
「接続」だけなら資産は動きません。
承認・署名・Permitなどの文言が含まれていたら、必ず内容を確認してから判断してください。
Wallet Drainerの仕組み
Wallet Drainerとは、ウォレット内の資産を自動で根こそぎ抜き取るよう設計されたスマートコントラクトです。
上記の3つの手口はすべて、最終的にこのDrainerを発動させるための「入口」です。
Drainerの恐ろしさは、技術力のない人間でも使えるビジネスとして流通している点にあります。
闇市場では「Drainer as a Service(DaaS)」として販売・貸し出しが行われているんですよ。
詐欺師はDrainerを購入またはレンタルし、偽サイトを用意して被害者を誘導するだけ。
Drainerの制作者は、奪った資産の一部(5〜25%程度)を手数料として受け取る仕組みだとか。
2023〜2024年に爆発的に増加し、Drainerによる被害総額は数百億円規模になりました。
「ツールを買えば誰でも詐欺師になれる」環境が整ってしまっている現状を表しています。
Drainerが標的にするもの
ETH(イーサリアム)・ERC-20トークン(USDT・USDCなど)・NFT(ERC-721・ERC-1155)を問わず、ウォレット内のあらゆる資産が対象。
価値の高いものから順に自動で処理されるため、気づいたときには高額資産から消えています。
なぜ「承認した覚えがない」が起きるのか
被害者の多くは「何もしていない」「よくわからないまま操作した」と言います。
それは嘘でも油断でもなく、詐欺師が意図して作り出した状況なのです。
MetaMaskの画面は「読むもの」ではなく「押すもの」になっている
MetaMaskの承認画面には、コントラクトアドレス・許可する操作の範囲・承認量など、重要な情報が書かれているのですが、多くの人は「なんか出た→OK」という流れで処理しています。
DeFiやNFTを日常的に使う人ほど、この傾向が強いかもしれません。
操作に慣れるほど確認が形式化し、詐欺師が最も利用する「慣れの隙」が生まれます。
署名は承認より軽く見える
Permit署名の被害者が「何もしていない」と感じるのには理由があります。
通常の承認(Approve)はガス代(手数料)が発生するため「何かをした感覚」があるでしょ?
一方Permit署名は、MetaMaskに出るのが「署名リクエスト」という画面で、見た目が軽い感じ。
「サインをしただけ」という感覚のまま、資産移動の権限を渡してしまうのです。
急ぎの演出が確認を省かせる
「ミントは今夜23時まで」「エアドロップの受け取り期限は本日中」といった、あなたを焦らせる演出は詐欺の王道です。
急かされると人は確認を省略してしまいがち。
急いでいるときほど立ち止まる。これが最も有効な防衛策になります。
【実例】大手でも防げない「人間」の脆弱性と巨額流出
下記の「Ronin Network」の事例が示すように、どれだけシステムを強固にしても、従業員一人へのフィッシング攻撃(偽の求人など)で全てが崩壊します。
ユーザーにとっては、「システムを信じるな、仕組み(分散化)を信じろ」という教訓が刻まれた数年間となりました。
Bybitハッキング事件(2025年)
セキュリティ対策が万全とされていた大手取引所において、高度な内部侵入または管理鍵の窃取により、約1,700億円(一部では2,200億円)相当の資産が流出した。
これはCEX(中央集権型取引所)のリスクを再認識させる結果となった。
Bybit
・Bybit(バイビット)セキュリティインシデント:時系列とよくある質問
世界最大級の取引所であっても、内部システムの深部まで侵入されれば防げないことを証明しました。
どれほど強固な「システム」も、管理権限(鍵)を奪われれば無力。
中央集権型(CEX)に資産を集中させるリスクを世界が再認識しました。
DMM Bitcoin(2024年5月)
国内取引所における約482億円相当のビットコイン流出事件。
秘密鍵の管理プロセスが突かれ、日本の規制当局によるさらなる規制強化のきっかけとなった。
財務省関東財務局
・株式会社DMM Bitcoinに対する行政処分について
日本国内の厳格な規制下にある取引所で発生したんですよね。
「秘密鍵の管理プロセス」という、運用の根幹を突かれた事件です。
「日本の取引所なら100%安全」というある種神話の崩壊もあったのでは?と思います。
資産の全額補償は行われましたが、再開までの長期にわたる資金拘束はユーザーに大きな機会損失を与えました。
Ronin Network(2022年/2025年再分析)
北朝鮮のハッカー集団「ラザルス」による約800億円の窃盗。
従業員へのソーシャルエンジニアリング(偽の求人広告など)が起点であり、人間の脆弱性がシステムの最大のリスクであることを示した。
kaspersky dialy
・5億ドル相当の仮想通貨強奪事件
北朝鮮のハッカー集団「ラザルス」による犯行。システムを直接壊したのではなく、「偽の求人広告」で従業員を騙し、PCを乗っ取るという「人間」を標的にした攻撃でした。
システムの最大のリスクは人間にあります。どんなにコードが完璧でも、操作する人間が騙されれば終わり。
コードを信じろ
大手取引所のハッキング事件が教えてくれた教訓はシンプルです。
どんなに有名な企業も、優秀なエンジニアも、人間である以上、ミスや騙し(ソーシャルエンジニアリング)といったリスクをゼロにはできないということ。
あなたが信じるべきは、運営者の「安全宣言」ではなく、あなたの目の前の画面に表示される「実行されようとしているプログラム(コード)」そのものです。
ウォレット認証詐欺で騙されないための習慣
ウォレット認証詐欺を完全に見抜く方法はありませんが、確認する習慣を持つ人とそうでない人では、被害に遭うリスクが大きく変わります。
- 目次
- ・承認画面の「詳細を表示」を必ず開く
- ・無制限承認(Unlimited)は即拒否
- ・Permit署名は文言を確認してから判断する
- ・Revoke.cashで定期的に承認を取り消す
- ・接続先のURLを自分で確認する
- ・急ぎの演出に乗らない
承認画面の詳細を表示を必ず開く
MetaMaskの承認画面には「詳細を表示」というリンクがあり、ここを開くと、コントラクトアドレス・承認する操作の種類・許可する数量が確認できます。
「詳細を表示」を開く習慣を持つだけで、多くの罠に気付ける。
面倒に感じるかもしれませんが、これが唯一の確認手段なのです。
無制限承認(Unlimited)は即拒否
正規のサービスであれば、必要な量だけを承認するよう設計されています。
承認画面に「Unlimited」「∞」「最大値」という表示があったら、詐欺の可能性が高いと判断してください。
MetaMaskでは承認量を手動で変更できます。
どうしても承認が必要な場合は、実際に使う量だけに制限しましょう。
Permit署名は文言を確認してから判断する
MetaMaskの署名リクエスト画面に「Permit」「ALLOWANCE」「DAI_PERMIT」などの文字が含まれていたら、通常の接続ではなく資産移動の権限を渡す操作です。
正規のサービスがPermit署名を求める場面もゼロではありませんが、見知らぬサイトでこの画面が出たら、即座に拒否してください。
Revoke(承認の取り消し)
上記で解説したように、フィッシングサイトで承認ボタンを押した瞬間、Wallet Drainerが起動し、数秒で資産が奪われるケースも珍しくありません。
さらに、ブロックチェーン上の取引は一度実行されると取り消し不可能です。
こうした不可逆性の中で、唯一あとから対処できる手段が「Revoke(承認の取り消し)」なんですね。
重要なポイントは、以下の時間差にあります。
- ・「承認(Approve)」した瞬間
- ・実際に資産が抜き取られる瞬間
この2つは必ずしも同時ではありません。詐欺の多くは以下のパターンで実行されます。
- ・承認直後に即座に資産を抜き取る
- ・数日〜数ヶ月後、ユーザーが油断したタイミングで実行
- ・ウォレット残高が増えたタイミングを狙って実行
つまり、資産がまだ残っている限り、被害を未然に防ぐ余地があるということなんです。
過去の承認をすべて点検・削除しよう
DeFiやNFTを利用している場合、すでに数十〜数百の承認が残っている可能性があります。その中には
- ・終了したプロジェクト
- ・信頼性の低いサービス
- ・悪意あるコントラクト
が含まれている可能性も否定できません。
これらは過去に承認したスマートコントラクトの一覧を確認・取り消しできる無料ツールです。
ウォレットアドレスを入力するだけで、承認済みコントラクトの一覧が表示されます。
| ツール名 | 何ができるか |
|---|---|
| Revoke.cash | 承認済みコントラクトの一覧表示・取り消し |
| Wallet Guard | アクセス先サイトの危険度をリアルタイム警告 |
| Pocket Universe | 承認前にトランザクションをシミュレートして確認 |
使っていないプロジェクトへの承認や、見覚えのないコントラクトは即座に取り消してください。
月に一度確認する習慣をつけるだけで、リスクを大きく下げられますよ
接続先のURLを自分で確認する
SNSやDiscordのDMに貼られたリンクは踏まないことが原則。
MetaMask・OpenSea・自分が使う取引所は、ブックマークから開くか、アドレスバーに直接入力する習慣をつけましょうね。
Googleの検索結果で「スポンサー」と表示されている広告欄も踏まない。
これだけで多くの偽サイトへの誘導を防げます。
急ぎの演出に乗らない
「今夜23時まで」「残り3枠」は詐欺師が意図して作る焦りです。
本物の機会なら、公式サイトとSNSを落ち着いて確認すれば必ず裏が取れます。
急いでいるときほど立ち止まる。それが最も有効な防衛策です。
- ✅MetaMaskの承認画面で「詳細を表示」を開いた
- ✅「Unlimited(無制限)」承認を求められていない
- ✅「Permit」「ALLOWANCE」などの文言の意味を確認した
- ✅接続先のURLをブックマークまたは直接入力で開いた
- ✅SNS・DMのリンクからウォレットを接続していない
- ✅Revoke.cashで定期的に不要な承認を取り消している
- ✅「急ぎ」の演出に急かされて判断していない
- ✅「失っても許容できる額」の範囲内で考えている
ウォレット認証詐欺被害に遭った時の対処法
予防策を知っていても、被害に遭う可能性はゼロではありません。
「おかしい」と気づいた時点で、少しでも早く動くことが重要です。
気づいた時点ですぐにやること
- 怪しい承認・署名を実行してしまった場合
Revoke.cashで該当コントラクトへの承認を即座に取り消して。
すでに資産が移動されていた場合は取り戻せませんが、追加被害を防げます。 - シードフレーズを入力してしまった場合
そのウォレットはすでに侵害されているとみなし、残存資産を新しいウォレットに即座に移動して。
古いウォレットはそのまま使い続けないでください。 - 資産を別のウォレットに移す
侵害されたウォレットに残っている資産は、新しいウォレットに速やかに移動させて。
移動操作自体も新しいウォレットから行うのが原則です。
証拠として記録を残す
詐欺師はサイトを即座に消しますので、気づいた時点ですぐに保存してくださいね。
- ✅フィッシングサイトのURL・スクリーンショット
- ✅誘導されたメッセージ・DM・メールのスクリーンショット
- ✅ブロックチェーンエクスプローラー(Etherscan等)での被害トランザクション記録
- ✅被害に遭った金額・日時・送付先アドレスの記録
相談窓口
- 消費者ホットライン
- 電話番号188(いやや!)。
最寄りの消費生活センターに繋がります。投資・詐欺トラブル全般の相談を受け付けています。 - 警察庁 サイバー犯罪相談窓口
- 各都道府県警察のサイバー犯罪相談窓口へ。
被害届の提出も検討してください。記録が多いほど受理されやすくなります。 - 金融庁 金融サービス利用者相談室
- 電話番号0570-016-811。
暗号資産を含む金融商品に関するトラブルの相談窓口です。
被害回復の現実
正直に言うと、ウォレット認証詐欺による暗号資産被害は、回収が極めて困難です。
ブロックチェーン上の取引は原則として取り消せず、「承認した覚えがない」という主張はコード上では通りません。
「被害額を取り戻してあげる」と近づいてくる業者は、例外なく二次詐欺(リカバリー詐欺)です。絶対に応じないでください。
ただし、同じ手口による被害者が複数いる場合、記録を持ち寄ることで集団訴訟や当局への情報提供につながる可能性はゼロではありません。
一人で抱え込まず、相談窓口に連絡することをお勧めします。
二次詐欺(リカバリー詐欺)に注意
「あなたの被害を回復できる」「資金を取り戻す方法がある」と接触してくる個人・業者は詐欺です。
暗号資産の被害回復を謳う業者に追加で支払いをしてしまう二次被害が多数報告されています。
公的な窓口以外には相談しないことが原則です。
編集後記
この記事を書きながら感じたことを二つ。
一つは「Wallet Drainer」の話。詐欺情報を追いかけて20年近くなりますが、正直呆れました。
フィッシングキットやマルウェアが闇市場で売られているのは以前から知っていましたが、コードを一行も読めない人間でも精巧な詐欺攻撃を実行できるインフラが、丸ごと売られているんですよ。
chainalysis
・2025年、なりすまし手口とAI活用の約急増で暗号資産詐欺・不正被害額が過去最高の170億ドルに
Chainalysisはこれを「詐欺の産業化」と呼んでいますが、言葉にするとあっさりしすぎていて実態の異常さが伝わりにくい感じ。
技術的な敷居がなくなった詐欺は、もはや「悪意さえあれば誰でもできるもの」になっている。
難しいコードの理解なんて必要なく、しかもAIの併用で効率化さえできますからね。読んでいてゾッとする話だと感じます。
もう一つは、「コードを信じろ」ってことです。フィッシングの見分け方などで度々「ドメインを確認してね」と伝えてきましたが、ウオレットも同じ。
人間はミスをしますが、正しく組まれたプログラムと数学は裏切りません。
どんな仕組みなのかを理解すれば、「Web3」に対する漠然とした知識が確たるものとなります。
私は一時期暗号資産の勉強をし、ウオレットについても「学んだつもり」でいたんですよ。
今回「Web3」に関する詐欺対策記事を書くことで、知らないものがあったり、しっかり理解できていなかった部分があったりと、改めて知識の補強ができました。
私自身も良い学びの機会となったことが個人的に最大の収穫だと感じます。
関連記事
Web3フィッシング詐欺の手口と対策|承認一つで全資産を失う罠と防衛習慣
ラグプル詐欺の手口と騙されない人の習慣|知ってるつもりが一番危ない
Web3詐欺とは?知っておくべき10の手口と被害に遇わないための対策