- アイスフィッシングとは、暗号資産ウォレットの「トークン承認(approve)」を悪用し、被害者に攻撃者への送金権限を与える署名をさせることで、秘密鍵を奪わずに全資産を奪う詐欺のことだ。
- マイクロソフトが2022年に命名した手口で、シードフレーズの漏洩がなくても、一度の承認署名で攻撃者が後から自由にトークンを引き出せる状態を作られてしまう。
- 仕組みを知っておけば、承認画面で「SET APPROVAL FOR ALL」や無制限承認に署名しないという具体的な防御行動が取れ、ウォレット接続による全資産流出を防げる。
【深掘り】これだけは知っておけ
アイスフィッシング(Ice Phishing)は、2022年2月にマイクロソフトのMicrosoft 365 Defender Research Teamが命名・警告した暗号資産特有のフィッシング手口です。氷に穴を開けて魚を捕る「アイスフィッシング(氷上釣り)」になぞらえた名前で、被害者に「トークン承認(approve)」のトランザクションに署名させることで、攻撃者のアドレスに対する送金権限を委譲させる手口を指します。マイクロソフトの分析では、2021年12月にBadgerDAO(DeFiプラットフォーム)が被害を受けたCloudflareのAPIキー漏洩を起点とする攻撃で、約1億2,100万〜1億3,000万ドル相当の暗号資産が盗まれた事件がアイスフィッシングの代表例として紹介されています。
仕組みはこうです。Ethereumなどのスマートコントラクト型ブロックチェーンには、ERC-20トークンを第三者に操作させる「approve」関数があります。DeFiのスワップやステーキングで正規に使われる機能ですが、攻撃者が偽サイトでウォレットを接続させ、approveの送金先(spender)を自分のアドレスに変更した署名要求を出します。ウォレットUIには十分な情報が表示されないため、被害者は通常のスワップだと思って署名し、その瞬間に攻撃者は被害者のウォレットから自由にトークンを引き出せる権限を得ます。秘密鍵もシードフレーズも一切流出していないのに、資産が消えるのです。
対策として、Revoke.cash・Etherscan Token Approvals などのサービスで、過去に行ったトークン承認を確認し、不要なものを取り消す習慣をつけてください。また、ウォレット接続するDApps(分散型アプリ)は必ず公式URLからアクセスし、検索広告やSNSの怪しいリンクは踏まないこと。MetaMaskが「eth_sign」リクエストに対して警告を表示した場合は、絶対に署名しないでください。アイスフィッシング攻撃を防ぐ最も確実な方法は、承認内容を必ず確認することと、不要な承認を定期的に解除することの二点です。
アイスフィッシングの典型的な流れ
| ステップ | 攻撃者の行動 | 被害者の状況 |
|---|---|---|
| 誘導 | 偽サイトや乗っ取った正規サイトに誘導 | 正規取引のつもりでアクセス |
| 承認署名 | spenderを攻撃者にしたapprove要求 | 意味を理解せず署名 |
| 引き出し | 後日、承認権限で全トークンを送金 | 気づかぬうちに資産が消失 |
典型的なフレーズ・文脈
(偽スワップ画面の署名要求)Approve USDC for トランザクション。Allowance: Unlimited。Spender: 0x4a8…(攻撃者アドレス)。ガス代0.005 ETH。署名ボタンを押すと処理が開始されます。
「Unlimited」承認で「Spender」が攻撃者アドレスになっているアイスフィッシング攻撃の典型的な署名要求画面の例です。署名すると全USDCを後から引き出されます。
マイクロソフトは、暗号資産のトークン承認を悪用するアイスフィッシング攻撃について、BadgerDAOの約1.2億ドル被害事例を挙げ、シードフレーズが漏れていなくてもウォレットが空になる新しいタイプの脅威だと警告しています。
マイクロソフトのアイスフィッシング警告を解説する報道番組のキャスターを想定した表現です。
「Unlimited」や「SET APPROVAL FOR ALL」に絶対署名しないでください。Revoke.cashで過去の承認を確認し不要なものは即解除を。被害は0570-050588へ。
Web3セキュリティ専門家が、アイスフィッシング対策として無制限承認の禁止と承認解除の習慣化を助言する場面を想定しています。
困ったときの相談窓口
アイスフィッシングで資産が流出した場合は、以下の窓口に相談できます。
| 窓口名 | 電話番号 | 受付時間 | 対応内容 |
|---|---|---|---|
| 金融庁 詐欺的な投資に関する相談ダイヤル | 0570-050588 | 平日 10:00〜17:00(Webは24時間) | 暗号資産投資の相談 |
| 警察相談専用電話 | #9110 | 平日 8:30〜17:15(各都道府県で異なる) | 詐欺被害の届け出 |
| IPA安心相談窓口 | 03-5978-7509 | 平日 10:00〜12:00、13:30〜17:00 | サイバー犯罪の相談 |
【まとめ】3つのポイント
- 正体は承認権限の悪用:秘密鍵を奪わずに、トークン承認の署名だけで全資産を奪える詐欺です。
- BadgerDAO事件で約1.2億ドル被害:マイクロソフトが2022年に命名した新型の脅威です。
- Unlimited承認に絶対署名しない:「SET APPROVAL FOR ALL」も同様。Revoke.cashで定期的に承認を解除しましょう。
よくある質問
-
Q過去にどんなトークン承認をしたか確認できますか?
-
A
Revoke.cashやEtherscanのToken Approvalsページで、自分のウォレットアドレスが承認しているコントラクトを一覧で確認できます。不審な承認や無制限承認が見つかった場合、その場で取り消す(revoke)操作ができます。取り消しにはガス代がかかりますが、資産流出のリスクを考えれば必要な投資です。最低でも月1回は確認し、使っていないDAppsへの承認は速やかに解除する習慣を持ちましょう。
-
Qアイスフィッシングで資産を奪われた場合、取り戻せますか?
-
A
ほぼ不可能です。署名された承認は正当な操作と扱われるため、ブロックチェーン上では「正規の取引」として処理されます。資産が攻撃者のウォレットに移されると、その後は複数のアドレスを経由してマネーロンダリングされ、追跡が困難になります。被害発覚直後にウォレット内に残っているトークンの承認を全てrevokeし、可能なら別のウォレットに資産を退避させることが最低限の対応です。
-
QDeFiの正規プロジェクトでも危険ですか?
-
A
BadgerDAOの例のように、正規プロジェクトのフロントエンドがハッキングされてアイスフィッシング攻撃の踏み台になるケースがあります。Cloudflare APIキー漏洩で悪意あるスクリプトが正規サイトに注入され、ユーザーは見た目上正規サイトを操作しているのに被害に遭いました。対策として、署名内容を必ず確認し、必要最小限の承認に留めること、ハードウェアウォレットで物理的に確認画面を持つことが有効です。
-
Qアイスフィッシングとフィッシングの違いは何ですか?
-
A
奪うものが違います。従来のフィッシングは秘密鍵やシードフレーズなどの「認証情報」を盗もうとする手口です。アイスフィッシングは認証情報を奪わず、被害者に「承認の署名」をさせて送金権限を委譲させる手口です。秘密鍵を慎重に管理していても、承認の意味を理解せず署名すれば被害に遭うため、Web3独自の新型脅威として警戒が必要です。
コメント