幻想とパズル：暗号の世界におけるソーシャルエンジニアリングと人間性のゲーム

セキュリティは鎖のようなもので、最も弱い部分に依存します。そして、暗号システムにおいて人間は最大の弱点なのです。市場が依然としてより複雑な暗号化保護メカニズムの構築に熱中している一方で、攻撃者はすでに近道を見つけています。パスワードを解読する代わりに、パスワードを使用する人々を操作するだけでよいのです。

人間は最も弱いつながりであり、また最も価値の低いつながりでもあります。言い換えれば、人間はハッカーにとって最も簡単に突破され悪用される脆弱性であり、企業がセキュリティに最も投資せず、改善が最も遅い弱点でもあります。

ブロックチェーン分析会社チェイナリシスの最新レポートによると、2024年に北朝鮮のハッカーは47件の高度な攻撃を仕掛け、世界の暗号資産プラットフォームから13億ドル相当の資産を盗んだ。これは前年比21％の増加だ。さらに衝撃的なのは、2025年2月21日にBybit取引所がハッキングされ、約15億ドル相当の暗号資産が盗まれ、暗号資産史上、単一の盗難事件として新たな記録を樹立したことだ。

過去の大規模な攻撃の多くは、従来の技術的な脆弱性を悪用して行われたものではありません。取引所やプロジェクトの所有者は毎年、技術的な保護に数十億ドルを投資していますが、数学とコードによって構築されているように見えるこの世界では、多くの参加者がソーシャルエンジニアリングによってもたらされる脅威を過小評価しがちです。

ソーシャルエンジニアリングの性質と進化

情報セキュリティの分野において、ソーシャルエンジニアリングは常に独特で危険な攻撃手法でした。技術的な抜け穴や暗号化アルゴリズムの欠陥を利用してシステムに侵入するのとは異なり、ソーシャル エンジニアリングは主に人間の心理的な弱点や行動習慣を利用して被害者を欺き、操作します。非常に高い技術的基準は必要ありませんが、非常に深刻な損失を引き起こす可能性があります。

デジタル時代の到来により、ソーシャル エンジニアリングのための新しいツールとステージが生まれました。この進化は暗号通貨分野ほど顕著に表れている場所はありません。初期の暗号資産コミュニティは主に技術愛好家やサイファーパンクで構成されており、彼らは一般的に警戒心が強く、一定レベルの技術リテラシーを持っていました。しかし、暗号資産の人気が高まるにつれ、関連技術に精通していない新規ユーザーが市場に参入するケースが増え、ソーシャルエンジニアリング攻撃の温床となっています。

一方、暗号資産は、匿名性が高く、取引が取り消し不可能なため、攻撃者が利益を得るための理想的な標的となります。資金が彼らが管理するウォレットに転送されると、それを回復することはほぼ不可能です。

ソーシャル エンジニアリングが暗号化の分野で非常に成功できる理由は、主に人間の意思決定におけるさまざまな認知バイアスによるものです。確証バイアスにより、投資家は自分の予想と一致する情報のみに注意を払うようになり、群集心理は簡単に市場バブルを引き起こし、FOMO感情は損失に直面したときに人々が非合理的な選択をすることにつながることがよくあります。攻撃者は、これらの心理的弱点を巧みに利用して「武器化」します。

複雑な暗号化アルゴリズムを解読しようとするのに比べ、ソーシャル エンジニアリング攻撃を仕掛ける方が安価で成功率も高くなります。巧妙に作成されたフィッシング メールや、一見正当なもののように見えるが実際には罠である求人の勧誘は、技術的な問題に正面から立ち向かうよりも効果的であることが多いです。

一般的なソーシャルエンジニアリングの手法

ソーシャルエンジニアリング攻撃の手法にはさまざまな種類がありますが、その中心となるロジックは依然として「ターゲットの信頼と情報を欺くこと」です。以下に、いくつかの一般的な方法の簡単な説明を示します。

フィッシング

電子メール/SMS フィッシング: 取引所、ウォレット サービス プロバイダー、またはその他の信頼できる機関を装ったリンクを使用して、ユーザーを騙し、シード フレーズ、秘密鍵、アカウント パスワードなどの機密情報を入力させます。

ソーシャルプラットフォームアカウントのなりすまし: たとえば、Twitter、Telegram、Discord などのプラットフォームで「公式カスタマーサービス」、「有名な KOL」、「プロジェクト パーティー」になりすまして、偽のリンクや偽のイベント情報を投稿し、ユーザーをだましてクリックやキーの入力をさせたり、暗号通貨を送信させたりします。

ブラウザ拡張機能または偽のウェブサイト: 実際の取引所やウォレットのウェブサイトに非常によく似た偽のウェブサイトを構築したり、悪意のあるブラウザ拡張機能のインストールを誘導したりします。ユーザーがこれらのページに入力したり、承認したりすると、キーが漏洩します。

偽のカスタマーサービス/テクニカルサポート

Telegram や Discord のグループでは、誰かが「管理者」や「テクニカル カスタマー サービス」を装い、入金の失敗、出金の失敗、ウォレットの同期エラーなどの問題の解決を手伝うという名目で、ユーザーに秘密鍵を渡したり、指定のアドレスにコインを転送したりするよう誘導するケースがよく見られます。

偽のカスタマーサービス/テクニカルサポート

Telegram や Discord のグループでは、誰かが「管理者」や「テクニカル カスタマー サービス」を装い、入金の失敗、出金の失敗、ウォレットの同期エラーなどの問題の解決を手伝うという名目で、ユーザーに秘密鍵を渡したり、指定のアドレスにコインを転送したりするよう誘導するケースがよく見られます。

また、彼らはプライベートメッセージや小グループを通じて被害者を誘い込み、「失われたコインの回復を手伝う」と偽って主張するが、実際にはさらなる資金を誘い出したり、鍵を入手しようとしている。

SIMスワップ

攻撃者は通信事業者のカスタマー サービスに賄賂を贈ったり騙したりして、被害者の携帯電話番号をバックグラウンドで攻撃者に転送します。携帯電話番号が盗まれると、攻撃者はSMS認証や2要素認証（2FA）などを通じて取引所、ウォレット、ソーシャルアカウントのパスワードをリセットし、暗号資産を盗むことができます。

SIMスワップは米国などで頻繁に発生しており、同様の事例は多くの国でも発生しています。

悪意のある採用/ヘッドハンティングと組み合わせたソーシャルエンジニアリング

攻撃者は採用を口実に、悪意のあるファイルやリンクを含む「求人案内」を標的の電子メールやソーシャルメディアアカウントに送信し、標的を騙してトロイの木馬をダウンロードさせ、実行させます。

攻撃の標的が暗号資産企業の社内従業員やコア開発者、あるいは大量のコインを保有する「ヘビーユーザー」だった場合、企業のインフラが侵害され、鍵が盗まれるなど深刻な結果を招く恐れがある。

2022年に起きたAxie InfinityのRoninブリッジのセキュリティインシデント。The Blockによると、この攻撃は偽の求人広告に関連していた。事情に詳しい関係者によると、ハッカーはLinkedInを通じてAxie Infinityの開発元Sky Mavisの従業員と連絡を取り、数回の面接を経て、高額の給与で採用されたと知らされたという。その後、従業員は PDF 文書で提示された偽造の承諾書をダウンロードし、ハッカー ソフトウェアが Ronin のシステムに侵入し、Ronin ネットワーク上の 9 つのバリデーターのうち 4 つをハッキングして乗っ取り、完全に制御不能になったバリデーターは 1 つだけになりました。その後、ハッカーは権限が取り消されていなかった Axie DAO を制御して、最終的な侵入を成功させました。

偽のエアドロップ/偽のコインプレゼント

TwitterやTelegramなどのプラットフォームに表示される「特定のアドレスにxコインを送金するだけで、お金が2倍になります」などの偽の「公式」アクティビティは、実際には詐欺です。

攻撃者はまた、「ホワイトリスト エアドロップ」や「テストネット エアドロップ」という名前をよく使用して、ユーザーを騙して不明なリンクをクリックさせたり、フィッシング Web サイトのウォレットに接続させたりして、キーや認証を提供させ、コインを盗みます。

2020年、オバマ、バイデン、バフェット、ビル・ゲイツなど、アメリカの多くの政界やビジネス界の著名人や、多くの有名企業のソーシャルメディアのTwitterアカウントが盗まれました。ハッカーはパスワードを盗んでアカウントを乗っ取り、メッセージを投稿し、二重返信を餌にして、ユーザーに指定されたアカウントアドレスリンクに暗号通貨資金を送金させようとしました。近年でもYouTube上ではマスク氏になりすました「倍返し」詐欺が多数発生している。

社内スタッフの侵入・離職事件

暗号通貨関連企業やプロジェクトチームの元従業員、または攻撃者から賄賂を受け取った現従業員の中には、社内システムや運用手順に精通していることを利用して、ユーザーデータベースや秘密鍵を盗んだり、不正な取引を実行したりする者がいます。

この種のシナリオでは、技術的な脆弱性がソーシャル エンジニアリングと密接に組み合わされ、大規模な損失が発生することがよくあります。

「バックドア」が埋め込まれていたり、改ざんされたりした偽のハードウェアウォレット

攻撃者は、eBay、Xianyu、Telegram グループ、またはその他の電子商取引/中古取引プラットフォームで、市場価格よりも安い価格で、または真正性保証などのギミックを付けてハードウェア ウォレットを販売します。実際には、デバイス内のチップまたはファームウェアが交換されています。ユーザーの中には、販売者が秘密鍵を事前にインポートした再生品や中古の携帯電話をうっかり購入してしまう人もいるかもしれません。購入者が資金を入金すると、攻撃者は同じ秘密鍵を使用していつでも資金を引き出すことができます。

さらに、データ侵害後、一部のユーザーはメーカー（Ledger など）を装った無料の交換デバイスやセキュリティがアップグレードされたデバイスを受け取り、パッケージには新しいニーモニック カードと操作手順書も同梱されていました。ユーザーがこれらのプリセットニーモニックを使用したり、元のニーモニックを偽のデバイスに移行したりすると、攻撃者はウォレットの資産に完全にアクセスできるようになります。

上記の例は氷山の一角に過ぎません。ソーシャル エンジニアリングの多様性と柔軟性により、暗号通貨の分野では特に破壊的な影響が生じます。ほとんどの一般ユーザーにとって、これらの攻撃を防御することは困難です。

貪欲と恐怖

上記の例は氷山の一角に過ぎません。ソーシャル エンジニアリングの多様性と柔軟性により、暗号通貨の分野では特に破壊的な影響が生じます。ほとんどの一般ユーザーにとって、これらの攻撃を防御することは困難です。

貪欲と恐怖

貪欲は常に最も簡単に操作される弱点です。市場が非常に活発な場合、群集効果により、突然人気が出るプロジェクトに殺到す​​る人が出てきます。恐怖と不確実性も、ソーシャル エンジニアリングにおける一般的な突破口となります。暗号通貨が急激な変動を経験したり、プロジェクトに問題が生じたりすると、詐欺師はプロジェクトが極度の危険にさらされていると主張する「緊急通知」を発行し、ユーザーにいわゆる安全なアドレスに急いで資金を移すよう誘導します。多くの初心者は、損失を恐れて冷静に考えることが難しく、パニックに陥りやすい傾向があります。

さらに、FOMO の考え方は暗号通貨エコシステムのいたるところに存在します。次の強気相場や次のビットコインを逃すのではないかという恐怖から、人々は急いで資金を投資し、プロジェクトに参加しますが、リスクと信頼性を区別する基本的な能力が欠けています。ソーシャル エンジニアリング攻撃者は、チャンスはつかの間であり、一度逃すと資金を倍増させる可能性はないという雰囲気を作り出すだけで、一部の投資家を罠に陥らせるのに十分です。

リスクの特定と予防

ソーシャル エンジニアリングを防ぐのが難しい理由は、人々の認知上の盲点や心理的な弱点を狙うためです。投資家として、次の重要な点に注意する必要があります。

安全意識を高める

秘密鍵とニーモニックを勝手に開示しないでください。いかなる状況でも、他人を信頼して秘密鍵、ニーモニック、または機密の個人情報を開示しないでください。本当に公式なチームがプライベートチャットでこの種の情報を要求することはほとんどありません。

「不当な利益の約束」には注意してください。 「リスクゼロで高収益」や「元本の数倍の利益」を主張する活動は、詐欺である可能性が高いです。

リンクとソースを確認する

ブラウザ プラグインまたは公式チャネルを使用して URL を確認します。暗号通貨取引所、ウォレット、分散型アプリケーション (DApps) の Web サイトの場合、ドメイン名が正しいかどうかを再確認する必要があります。

不明なソースからのリンクをクリックしないでください。相手側が「エアドロップ特典」や「公式補償」だと主張した場合は、できるだけ早く通常のソーシャルメディアや公式チャンネルで検証する必要があります。

コミュニティとソーシャルメディアのスクリーニングに焦点を当てる

公式アカウントの認証マーク、フォロワー数、インタラクション記録を確認します。見慣れないプライベート チャット グループを盲目的に追加したり、グループ内の不明なリンクをクリックしたりしないでください。

「タダのランチ」情報には疑いを持ち、さらに読み、さらに質問し、経験豊富な投資家や公式チャネルで確認してください。

健全な投資マインドセットを養う

市場の変動を合理的に捉え、短期的な急騰や急落に左右されないようにしてください。

常に最悪の事態に備え、「取り残されるのが怖い」という理由で潜在的なリスクを無視しないでください。

人間的要素の永続的な重要性

人間の本性は、ソーシャル エンジニアリングが何度も成功するための基盤です。攻撃者は、群集心理、貪欲、恐怖、不安、FOMO（取り残されることへの恐怖）などの特性を狙って、あらゆる種類の詐欺を企てます。

ブロックチェーンと暗号化の分野における技術の反復とビジネスモデルが拡大し続けるにつれて、ソーシャルエンジニアリングの手法もそれに応じて進化します。ディープフェイク技術の成熟は、近い将来、より大きな脅威となる可能性があります。攻撃者は合成ビデオと音声を使用して、プロジェクトリーダーをリアルに偽装し、被害者とリアルタイムでつながる可能性があります。多次元ソーシャルエンジニアリングも強化されます。攻撃者は、複数のソーシャルプラットフォームに長期間潜伏して情報を収集し、綿密に計画された感情操作を通じてターゲットを攻撃する可能性があります。

ソーシャル エンジニアリングが継続的に存在していることは、テクノロジーがどれだけ進歩しても、人間の要素がシステムの中核的な構成要素であり続けることを私たちに思い出させます。ソーシャル エンジニアリングの影響を完全に排除するのは非現実的かもしれませんが、コードと人の両方に注意を払うことによってのみ、より回復力のあるシステムを構築することができます。