更新日:2026-02-04
範囲:詐欺の手口と防ぎ方(投資助言なし/一般的な安全対策)
3行まとめ
フィッシングは「URL」「拡張機能」「承認(Approve)」の3か所で起きやすく、1回のミスで被害が拡大します。
結論は、①SRP(復元フレーズ)を絶対に入力しない、②公式導線をブックマークして検索から入らない、③承認上限は最小・使い終わったら取り消す、の3原則です。
この記事は“怖がらせる”ためではなく、海外情報を追う前提として安全な行動を固定するためのガイドです。
なぜEIGEN/EigenLayer周りでフィッシングが増えるのか
注目度が高いプロジェクトほど、偽サイト・偽サポート・偽拡張が増えます。特に「Claim」「Airdrop」「Verify」「Upgrade」など“急がせる言葉”は要注意です。
SNSでは正しい情報と偽物リンクが同じ文脈で拡散されやすく、初心者ほど「公式っぽい」見た目に引っかかります。対策は“見分ける目”より、踏まない導線を作ることです。
Connect / Sign / Approve の違い(最低限)
Connect:サイトに「あなたの公開アドレス」を見せる(これだけで資産移動は起きませんが、偽サイト判定は別問題)。
Sign:メッセージ署名。「同意した」という証明で、内容が読めない署名は危険です。
Approve:トークン承認。特定コントラクトに「あなたのトークンを動かす上限(allowance)」を与えます。被害の多くはここです。
典型例1:偽サイト(SRP入力・アカウント確認を要求)
最も危険なのは、復元フレーズ(SRP)を入力させる偽サイトです。
本物のウォレット/公式サポートは、SRPをWebフォームに入力させません。もし要求されたら、その時点で詐欺と判断してOKです。
また「アカウントをVerify/Upgradeしないと使えない」と急かす文言も典型です。
回避策
- 公式サイト・公式Docsは一度開いたらブックマーク(検索広告やDMリンクから入らない)
- 「Verify」「Upgrade」「緊急」「期限まで◯時間」など急がせる画面は一旦閉じる
- SRP、PIN、パスワード、ワンタイムコードは“絶対に”共有しない
補足:バックアップ(SRP/ウォレットバックアップ)は紙などオフラインで保管し、スクショ・写真・クラウド保存は避けてください。端末やクラウドが侵害されると、あなたが気づかないまま資産を操作され得ます。
典型例2:偽サポート(DM/メールで誘導)
「サポートです」「不正アクセスがありました」「このリンクで復旧してください」とDMが来るケースです。
本物のサポートは、先にあなたへ連絡して秘密情報を求めたり、外部リンクで復旧させたりしません。
困ったときは、必ず公式DocsのSupport導線から自分で辿り直してください(“向こうから来たリンク”ではなく、“自分で開いた公式”から入る)。
典型例3:偽のブラウザ拡張(ウォレットを装う)
ウォレット拡張を装い、偽の復元画面や偽サイン画面を出して情報を抜く手口です。見た目が本物そっくりでも、配布元が偽物なら終わりです。
Rabbyなどのウォレットは、公式が「公式サイトから導入してね」と明確に案内しています。導入は必ず公式手順で行いましょう。
回避策
- 拡張機能は“公式サイト→案内→ストア”の順で入れる(検索で拡張名だけを探さない)
- レビュー数・提供元表示・最終更新日を確認し、少しでも不自然なら入れない
- 新規に入れる拡張は最小限(入れた拡張が多いほど攻撃面が増える)
典型例4:承認(Approve)悪用(実はこれが一番多い)
DeFiでは、トークンを使う前に「このコントラクトに、あなたのトークンを動かす許可(allowance)を与える」操作が必要になることがあります。これが承認(Approve)です。
詐欺や事故の典型は、承認上限が“実質無制限”になっているのに気づかずOKしてしまうこと。
「送金していないのに抜かれた」は、多くが承認を悪用されるパターンです。
回避策(コピペ用チェック)
- 承認の相手(コントラクト名/サイト)を確認。知らない相手なら中断
- 承認上限は必要最小限(可能ならSpending Capで手動調整)
- 使い終わったら承認を取り消す(revoke)。月1回でも見直す
典型例5:偽Claim / 偽Mint(“無料”を餌にする)
「無料でClaimできます」「限定NFTをMintできます」などの誘導で偽サイトへ飛ばし、署名や承認をさせるパターンです。
特に危険なのは、“Claimボタン=安全”と思い込むこと。実際には、裏で承認や署名を要求される場合があります。
無料・限定・緊急という言葉が並んだら、いったん保留して一次情報(公式Docs/公式ブログ)を確認するのが安全です。
10秒安全チェック(接続前・署名前・承認前)
接続(Connect)の前
- URLはブックマークから開いたか
- “今やる理由”が本当にあるか(急かされていないか)
署名(Sign)の前
- 内容が読めるか(意味不明なら拒否)
- 「復旧」「確認」「アップグレード」を名目にしていないか
承認(Approve)の前
- 相手(コントラクト)を信用できる根拠があるか
- 上限は必要最小限か(無制限は原則避ける)
もし「やってしまったかも」と思ったら(一般的な初動)
- 怪しいタブ/拡張を閉じ、拡張機能を確認(不審なものは削除)
- 承認(allowance)を確認して取り消す(revoke)
- 重要資産は新しい安全なアドレスへ移す検討(端末が怪しい場合は別端末で)
- 端末のスキャン、パスワード変更(使い回しをやめる)
“被害を止める”が最優先です。焦って追加操作をすると二次被害が増えるので、一旦落ち着いて上から順に対応しましょう。
FAQ
Q. 「公式っぽいURL」なら安全?
A. 似た文字のドメイン、広告枠、短縮URLなどで偽物に誘導されます。ブックマーク運用が最強です。
Q. 何を見ても不安で進められない
A. それが正常です。まずは少額でテスト、承認を最小にする、分からない署名は拒否、を徹底してください。理解が追いつくまで“やらない”のも立派な安全策です。
コメント