フィッシング攻撃

GoPlusの警告によると、あるユーザーが悪意のあるPermit2取引に署名したため、フィッシャーによって約31.6万ドルのUSDCが盗まれました。

ブロックチェーンセキュリティ会社CertiKの最新データによると、2026年5月に暗号業界はハッカー攻撃、脆弱性の悪用、詐欺によって約6830万ドルの損失を被り、4月の6.5億ドルを超える損失規模から約90%減少し、今年3回目の損失が1億ドル未満となる月となりました。CertiKは、5月の期間中に約260万ドルの損失がフィッシング攻撃から来ていると述べています。それに対して、4月はDrift ProtocolとKelpDAOのインフラが重大な攻撃を受け、それぞれ約2.85億ドルと2.92億ドルの損失を被り、2件の事件は当月の損失総額の約95%を占め、4月は2022年3月以来最も損失が大きかった月の一つとなりました。プロトコルレベルでの大規模攻撃は減少しているものの、CertiKはフィッシング攻撃、ソーシャルエンジニアリング詐欺、ディープフェイク（Deepfake）、および認証情報の漏洩などのリスクが依然として増加していると警告しています。研究者たちは、ますます多くの攻撃者が従業員、運用システム、認証プロセスをターゲットに攻撃を仕掛けるようになっていると指摘しています。CertiKは、5月の損失の減少は超大規模なセキュリティ事件が欠如していることを反映しており、業界のセキュリティ状況が根本的に改善されたことを意味するものではないと強調しています。クロスチェーンブリッジの脆弱性、プロトコルの欠陥、内部脅威、ソーシャルエンジニアリング攻撃は、暗号業界が直面している主要なリスクであると述べています。

オンチェーンアナリスト「b-block」は月曜日にソーシャルメディアプラットフォームで、Uniswapを模倣したウェブサイトが複数のウォレットから資金を盗んでいると投稿し、詐欺師が保有する資産の価値は40万ドルを超えていると述べました。Web3マーケティング機関Green Dotsの創設者Stacy Muurは、検索エンジンの偽スポンサー結果のスクリーンショットを共有し、Googleが長年この問題を無視していることを批判し、偽のリンクが本物のリンクの上に表示され続け、ユーザーが継続的に盗まれていると指摘しました。Etherscanのデータによると、2つのマークされたアドレスは合計約146枚のETHを保有しており、その価値は約30.6万ドルです。DeFiLlamaは、Google上の偽広告がフィッシング攻撃の一般的な出所であることを指摘しました。暗号非営利団体Security Alliance（SEAL）の4月の報告によると、3月のGoogle検索でのフィッシング活動が著しく増加し、攻撃者は合法的な広告アカウントを有料または盗用して、非常に欺瞞的な偽広告を掲載し、見た目が本物のURLでGoogleの自動チェックを回避し、隠されたiframeを通じて悪意のあるペイロードを読み込んでいます。SEALは356以上の悪意のある広告リンクをブロックしており、攻撃者が毎週展開するGoogle広告の量は1年以上にわたり安定していると述べ、攻撃活動は鈍化していないとしています。報告によると、3月13日から30日までの間に盗まれた資金の総額は127万ドルに達しました。さらに、今月初めにはGoogle広告とAIチャットボットClaudeを利用した共有チャットが登場し、Macユーザーを狙った悪意のある広告活動が行われました。Malwarebytesの報告でも、Facebookが偽広告や詐欺の重災区であることが指摘されています。

慢雾は安全警告を発表し、TRONウォレットユーザーを対象とした高リスクのフィッシング活動を発見したと述べています。攻撃者は偽のTronLinkウォレットのChrome拡張機能を作成し、Unicodeの双方向制御文字とキリル文字の同形異義語を利用してブランド名を偽装しました。インストール後、この拡張機能はリモートiframeを通じて完全なフィッシングページを読み込み、「シェル-コア分離」の認証情報窃盗チェーンを形成します。悪意のある拡張機能の名前は同形異義語で偽装されており、そのChromeストアページは本物の拡張機能の高いユーザー数と良い評価を引き継ぎ、審査のハードルを下げています。ローカルコードは非常に少なく、リモートページのみを読み込むため、静的分析では悪意のある行動をほとんど検出できません。リモートフィッシングページは公式のTronLinkウェブウォレットのインターフェースを完璧に再現し、ニーモニックフレーズ、秘密鍵、Keystoreファイル、パスワードを盗み、Telegram Botを通じてリアルタイムで返送します。内蔵の逆分析機能は右クリック、開発者ツール、ドラッグ＆ドロップ、印刷を無効にし、ロシア語ユーザーの地理的および言語設定に基づいてリダイレクトして検出を回避します。SlowMistは疑わしい拡張機能を直ちにアンインストールし、ローカルストレージをクリーンアップし、異常なトラフィックをチェックすることを推奨しています。既に入力した認証情報がある場合は、直ちに新しいウォレットを作成し、資産を移動するべきです。

CertiK Alert の監視によると、2026 年全月の暗号セキュリティ事件による累積損失は約 6.51 億ドルで、そのうち約 350 万ドルはフィッシング攻撃に起因しています。これは 2022 年以来の損失が最も高い単月の記録で、2025 年の Bybit の盗難事件に次ぐものです。

Cointelegraph の報道によると、Robinhood のユーザーは最近一連のフィッシング攻撃に遭遇しました。攻撃者は Gmail のユーザー名における "." の特性と、Robinhood のアカウント作成プロセスの脆弱性を利用して、ターゲットのメールアドレスに非常に似たアカウントを登録し、その結果、Robinhood の公式メールサーバーが被害者の受信箱にフィッシングリンクを含む偽の通知メールを送信することを可能にしました。サイバーセキュリティ研究者の Alex Eckelberry は、このメールは SPF、DKIM、DMARC によって検証可能で、公式のアドレスから送信されたように見えると述べています。Robinhood は、この件はシステムや顧客アカウントが侵害されたものではなく、ユーザーの資金や個人情報には影響がないとしていますが、関連メールを削除し、疑わしいリンクをクリックしないようユーザーに警告しています。

市場の情報によると、ブロックチェーンセキュリティ会社Hackenが発表した報告書によれば、Web3プロジェクトはこの四半期にハッカー攻撃と詐欺によって4.645億ドルの損失を被った。その中で、フィッシングとソーシャルエンジニアリング攻撃が3.06億ドルを占め、主要な損失の原因となっている。1月に発生したハードウェアウォレットの詐欺は2.82億ドルの損失をもたらし、四半期の総損失の81%を占めている。スマートコントラクトの脆弱性による損失は8620万ドル、アクセス制御の失敗（キーやクラウドサービスが攻撃されたことを含む）による損失は7190万ドルである。報告書は、最大のセキュリティ事件は主にチェーン外の操作とインフラ層で発生し、従来の監査ではカバーしきれないことを指摘している。欧州の規制フレームワークMiCAとDORAは、セキュリティ監視とインシデント対応の要件を強化しており、世界の規制機関もリアルタイム監視と緊急対応基準を向上させている。

ハッカーはGoogle Playストアを模倣したフィッシングページを通じて、ブラジルでAndroidマルウェア攻撃を開始しました。現在、すべての既知の被害者はブラジルにいます。攻撃者はGoogle Playに非常に似たフィッシングサイトを構築し、ユーザーに「INSS Reembolso」という偽のアプリをダウンロードさせるように誘導しました。このアプリがインストールされると、段階的に隠された悪意のあるコードが解放され、直接メモリにロードされて実行され、デバイス上に可視ファイルを残さず、非常に高い隠蔽性を持っています。マルウェアの主要な機能の一つは暗号通貨のマイニングであり、ARMデバイス用にコンパイルされたXMRigマイニングプログラムが内蔵されており、バックグラウンドで静かに攻撃者が制御するマイニングサーバーに接続します。このプログラムはバッテリー残量、温度、デバイスの使用状況を監視し、検出を回避するためにマイニングの動作を動的に調整し、静音の音声ファイルをループ再生することでAndroidシステムのバックグラウンドプロセス管理メカニズムを回避します。一部の亜種は銀行トロイの木馬も内蔵しており、BinanceやTrust WalletのUSDT送金画面に偽のページを重ねて静かに受取先アドレスを置き換えます。さらに、マルウェアは録音、スクリーンショット、キーボード記録、リモートロックなどの多くのリモートコントロール命令をサポートしています。

GoPlusの安全監視によると、ある0x9709で始まるアドレスが悪意のあるPermitおよびApprove取引に署名し、約20万ドルのUSDCとwmtUSDTがフィッシング攻撃者に盗まれました。GoPlusは、ユーザーがチェーン上の承認（Approve）やオフライン署名（Permit）リクエストに署名する際には、取引の詳細と契約アドレスを慎重に確認し、不明な出所の悪意のあるリクエストに署名しないようにし、資産の盗難を防ぐことを強く推奨しています。

アメリカ連邦捜査局（FBI）は、トロン（Tron）ネットワーク上にFBIの名をかたる偽のトークンが出現したと警告し、ユーザーに警戒を呼びかけています。FBIニューヨーク支局はソーシャルメディアで、ユーザーがウォレットにFBIからのものであると主張するトークンを受け取った場合は注意を払い、関連するウェブサイトに個人情報を提供しないようにするべきだと述べています。公開された情報によると、この種の詐欺は通常TRC-20トークン標準に基づいて運営され、攻撃者はユーザーのウォレットにいわゆる「FBIトークン」を送信し、マネーロンダリング防止（AML）規制に違反していると主張して資産を凍結すると脅し、ユーザーに敏感な情報を提出させることでフィッシング攻撃を実施します。FBIはまた、ユーザーにインターネット犯罪苦情センター（IC3）を通じて関連する疑わしい活動を報告するよう勧めています。現在、どれだけのユーザーが影響を受けているかは不明です。

GoPlusの監視によると、あるユーザーが悪意のあるApprove取引に署名したため、フィッシャーによって約85,000ドルのsNUSDが盗まれました。

慢雾の創設者余弦がCoinbase Commerceの資産回復ページがユーザーに平文の助記詞を入力するよう直接要求することのリスクを明らかにした後、慢雾の最高情報セキュリティ責任者23pdsは、このページのサイトマップにも欠陥があり、悪意のある攻撃者がResourcesSaverなどのツールを使用してフロントエンドコードを簡単にダウンロードし、類似のウェブサイトを展開できると補足しました。これをCoinbaseなどの類似のドメインと組み合わせてフィッシング攻撃を行うと、ユーザーは簡単に騙される可能性があります。

GoPlusの監視によると、約8時間前、あるユーザーが悪意のあるPermit取引に署名した後、フィッシャーによって176万ドル相当のUSDCを盗まれました。

据 GoPlus 监测，某用户因签署恶意授权（Approve）交易，被钓鱼攻击者转走价值约 53,000 美元的 PAXG。

慢雾科技の最高情報セキュリティ責任者 23pds が警告を発表し、偽の imToken Chrome 拡張機能に注意するよう呼びかけています。Chrome ウェブストアにある偽の imToken Chrome 拡張機能は、フィッシングを通じてシードフレーズやプライベートキーを取得します。

据 GoPlus 监测，一名用户因签署多个恶意 Approve 交易，被钓鱼者转走价值约 12.7 万美元的 USDC、TIBBIR、PAXG 资产。GoPlusの監視によると、あるユーザーが複数の悪意のあるApprove取引に署名したため、フィッシャーによって約12.7万ドル相当のUSDC、TIBBIR、PAXG資産が盗まれました。

据 Scam Sniffer 监测，一名以太坊用户在签署钓鱼代币授权交易后损失了 388,051 美元。Scam Sniffer の監視によると、あるイーサリアムユーザーがフィッシングトークンの承認取引に署名した後、388,051ドルを失いました。

据 FinanceFeeds 报道，Uniswap 创始人 Hayden Adams 警告称，冒充 Uniswap 的搜索引擎广告持续出现，已有用户因此损失全部高价值加密资产。诈骗者通过购买 "Uniswap" 等关键词广告，将伪造网站置顶展示，页面设计与官方高度相似，一旦用户连接钱包并授权交易，资金即可被立即转走。该类攻击依赖用户签名授权，而非协议层漏洞。一名 X 平台用户 "Ika" 表示，在点击搜索结果中的假冒链接后，损失了价值数十万美元的加密钱包资产。其披露截图显示，伪造链接位于搜索结果顶部，具有较强迷惑性。类似事件在 2024 年 10 月亦曾发生，诈骗者曾复制 Uniswap 网站界面并通过细微按钮改动诱导用户连接钱包。安全公司 CertiK 数据显示，2026 年 1 月加密行业因漏洞利用与诈骗共损失约 3.703 亿美元，为近 11 个月新高，约为 2025 年 1 月的近四倍。其中单一社会工程学攻击案件损失约 2.84 亿美元。1 月共记录 40 起相关安全事件。分析指出，当前加密资产损失更多源于钓鱼链接、虚假广告及社会工程攻击等用户层面风险，而非底层智能合约漏洞。随着 DeFi 生态扩张，品牌仿冒与界面欺诈正在成为影响用户信任的重要隐患。

韓国光州の検察庁が押収した価値 4,770 万ドルのビットコインがフィッシング攻撃で盗まれた。

据 GoPlus 最新报告，2026 年 1 月，Web3 因主要安全事故造成的经济损失达 4.14 亿美元。安全事件类型包括智能合约漏洞、社会工程学攻击、钓鱼攻击、貔恘盘、Rugpull 等。其中，Exploit（包括合约攻击，社工欺诈，私钥泄露等）因 20 起主要事件，造成 3.75 亿美元的损失。因钓鱼攻击造成的总损失约 2000 万美元，受害者人数约 5000 人。当月在 ETH、Base、BSC 监测到新增貔貅代币（HoneyPot）390 个，相较 12 月有所降低。